GitHubで公開された『system_prompts_leaks』が5万6千スターを突破した。Claude Code、Opus 4.8、ChatGPT GPT-5.6、Gemini、Grokといった主要AIの内部指示書が丸ごと閲覧できる状態にある。プロンプトを競争優位と信じてきた企業には冷や水だが、エンジニア視点で見れば、これは設計思想の巨大な教科書が無償で流通し始めたことを意味する。

何が起きたか

asgeirtj/system_prompts_leaks は、Anthropic の Claude Fable 5、Opus 4.8、Claude Code、Claude Design、OpenAI の ChatGPT GPT-5.6 など、主要商用AIの「システムプロンプト」を抽出・整理して公開しているリポジトリだ。スター数は 56,908 に達し、GitHubの人気リポジトリの上位に食い込む勢いで伸びている。システムプロンプトとは、モデルに人格・禁止事項・出力形式・ツール呼び出しの流儀を叩き込む土台の指示文で、通常はエンドユーザーからは見えない。ここが丸見えになった意味は大きい。Claude Code に関しては、コード生成時のツール使用ルール、bashstr_replace_editor の使い分け、拒否条件、思考ステップの構造まで含まれていると想定され、エージェント実装者にとっては一次資料級の価値がある。

なぜこのニュースが重要か

このニュースの核心は「プロンプトはもはや秘匿資産ではない」という前提の確定だ。筆者はこれを、ソフトウェア業界における OSS 化の第二波と読む。かつてアルゴリズムやフレームワークがクローズドからオープンへ流れたのと同じ現象が、いまプロンプト層で起きている。特に Claude Code のシステムプロンプトは、Anthropic が長期間チューニングしたエージェント設計のベストプラクティスの塊で、月間検索20万を超えるこのプロダクトの中身が読めるインパクトは大きい。自作の Devin クローンや社内コーディングエージェントの品質は、これで一気にベースラインが底上げされる。一方で、リークを前提にしない設計をしてきた企業は脆弱だ。プロンプトに顧客識別子や単価テーブル、内部APIのエンドポイントを埋め込んでいた場合、ジェイルブレイク一発で吐き出される構造が改めて可視化された。守るべきはプロンプトではなく、その周辺のアクセス制御とデータレイヤーである。

技術的な深掘り

Claude Code の設計を読み解くと、単なる「コードを書くBot」ではなく、ツール実行の粒度・ファイル編集の差分適用・エラーハンドリング時のリトライ戦略まで、極めて手続き的に定義されているはずだ。推定だが、プロンプトの大半は「何をするか」ではなく「何をしないか」と「どの順序で確認するか」に費やされている。これは Anthropic 流の Constitutional AI の思想がエージェント層にも貫徹していることの現れで、模倣する側は「禁止条項の書き方」こそコピーすべき本質になる。逆に、Opus 4.8 と Claude Code でシステムプロンプトが分岐している事実は、同一モデルウェイトの上に複数のペルソナ・製品を載せる Anthropic の製品戦略を露呈させる。つまりモデル本体の差別化は薄れ、プロンプト+ツールセット+UI で製品を切り分けるフェーズに入った。この構造を理解せずに「Claude API を叩けば Claude Code になる」と思っている開発者は、いつまで経ってもあの品質にたどり着かない。差はプロンプト設計と、その裏のツールランタイムにある。

経営者として次に取るべき動き

第一に、自社プロダクトのシステムプロンプトを「いつか公開される前提」で書き直させること。機密の埋め込みを禁止し、権限チェックはアプリ層とDBの Row Level Security に寄せる。第二に、Claude Code や GPT-5.6 のリーク済みプロンプトを、社内エンジニアに読解課題として配布すること。ツール定義の粒度、拒否構文、思考の分節化パターンを写経させるだけで、社内エージェントの品質は数週間で一段上がる。第三に、プロンプトを資産計上する発想を捨て、ツールAPI・評価データセット・ドメイン知識ベースへ投資を移すこと。プロンプトはコモディティ化した。次の堀は、あなたの会社しか持たない業務データと、それを安全に叩ける実行環境の側にある。