GitHub上に公開されたリポジトリ「system_prompts_leaks」が5万5,793スターを突破した。Claude Code、Opus 4.8、ChatGPT GPT-5.6など主要AIの内部指示文が丸ごと露出する事態に、エンジニアと経営者はどう向き合うべきか。技術的な意味と、明日から取るべき手を整理する。
何が起きたか
asgeirtj氏がGitHubで公開したリポジトリ「system_prompts_leaks」が、公開から短期間で5万5,793スターを集めた。収録されているのは、Anthropic系のClaude Fable 5、Opus 4.8、Claude Code、Claude Design、そしてOpenAIのChatGPT GPT-5.6、加えてGemini、Grokといった主要生成AIの「システムプロンプト」だ。システムプロンプトとは、ユーザーの入力に先立ってモデルへ与えられる、振る舞い・トーン・安全策・ツール使用ルールを規定する最上位の指示文である。通常はベンダー内部に閉じており、ユーザーが直接目にすることはない。それが丸ごと抽出され、比較可能な形で並んだことで、AI開発者・プロンプトエンジニア・研究者が一斉に飛びつき、スター数の急上昇につながっている。
なぜこのニュースが重要か
このリポジトリの価値は「他社のプロンプトが読める」ことではない。設計思想そのものがリバースエンジニアリングされた点にある。特にClaude Code(月間検索ボリューム20万超、Anthropicが投入する開発者向けエージェント)は、コード生成AIの事実上のリファレンス実装だ。そのシステムプロンプトが公開されたということは、Anthropicがどのようにツール呼び出しを制御し、どこで安全側に倒し、どのような自己修正ループを回しているかが、明文化された仕様書として世界中のエンジニアに配布されたに等しい。
これはOSSの世界で何度も繰り返された「ブラックボックスの民主化」イベントである。かつてLinuxがUNIXの設計を模倣可能にし、Kubernetesがボーグの思想を外に開いたように、システムプロンプトの流出は、フロンティアLLMの「振る舞い層」の設計を全プレイヤーの共通知識に変える。自社で数百時間かけてチューニングした社内プロンプトが、Claude Codeの流出版と大差ないという現実に直面する企業も出てくるはずだ。
技術的な深掘り
エンジニア視点で最も注目すべきは、Claude Codeのシステムプロンプトに含まれると推定されるツール使用のガードレール記述である。コード生成エージェントは、ファイル読み書き、シェル実行、Web検索といった破壊的な操作を扱う。ここでのプロンプト設計は、単なる「丁寧に答えて」ではなく、<tool_use>ブロックの発火条件、失敗時のリカバリ戦略、コンテキスト圧縮のタイミングといった、分散システムの制御ロジックそのものに近い。
もう一つ、Opus 4.8とClaude Fable 5の比較から読み取れるのは、Anthropicがモデルごとに異なる「人格プリセット」を運用している点だ。同じ基盤モデルでもプロンプトで振る舞いを切り替える手法は、業界ではよく知られていたが、実際の文面が公開されたことで、プロンプトの階層構造・トークン配分・優先順位表現の具体的なパターンが手に入る。これは自社エージェント開発者にとって、教科書10冊分の価値がある。
一方で、警戒すべきはこの流出がプロンプトインジェクション攻撃の攻撃面を広げることだ。内部指示のトリガーワードや制約表現が露出すれば、それをすり抜けるための敵対的入力の設計が容易になる。セキュリティチームは、自社AIの脱獄耐性テストを、この流出版を教師データとして再実施する必要がある。
経営者として次に取るべき動き
第一に、社内プロンプトの資産管理を今週中に見直す。 Gitでの版管理、アクセス権の最小化、機密度分類の三点セットは必須。プロンプトはコードと同格の知的資産であり、Notion共有のままでは論外だ。
第二に、流出リポジトリを競合分析の教材として即座に活用する。 自社の社内AI・カスタマーサポートBotのシステムプロンプトを、Claude CodeやGPT-5.6の設計と並べて棚卸しする。おそらく3割以上の記述が冗長か非効率であることに気付くはずだ。
第三に、差別化ポイントをプロンプトから独自データへ移す投資判断を下す。 指示文はもはやコモディティ化した。勝負は、自社の業務ログ・顧客データ・ドメインノウハウをどうRAGやファインチューニングに落とし込むかに移る。プロンプト職人への依存を減らし、データパイプラインに予算を寄せる時期が来ている。
