AIシステムプロンプト漏洩解析:ClaudeとGPTが隠している本当の指示とは?
2026年6月9日、AnthropicがClaude Fable 5をリリースした。その24時間以内に、1,585行・12万文字の隠れた指示マニュアルがGitHubに公開され、誰でも読めるようになった。このドキュメントは以前には見られなかったが、あなたがClaudeに質問するたびに、その前にClaudeが「読んでいる」ものだ。
現在、GitHubリポジトリ(asgeirtj/system_prompts_leaks、2026年7月14日時点で57.4kスター)がClaude、GPT-5.6、Gemini、Grokなど主流AIのシステムプロンプトを一か所に集めている。この記事では、それらの指示に何が書かれているか、そしてそれがあなたの日常的なAI利用にどのような影響を与えるかを解説する。
TL;DR
- Claude Fable 5のシステムプロンプトは1,585行・27,000以上のトークンで構成され、知識カットオフは2026年1月末——リリース日より約5ヶ月早い
- 機密性の高いリクエスト(サイバーセキュリティ、生物兵器など)はユーザーに通知なくOpus 4.8にサイレントルーティングされる。トリガー率は5%未満
- ClaudeとGPTの拒否ロジックは根本的に異なる:Claudeは文脈を評価し、GPTはカテゴリーブラックリストを参照する
- 一部の「漏洩」プロンプトはすでにコミュニティによって偽物と確認されており、スター数は信頼性を保証しない
このGitHubリポジトリとは?どのAIが漏洩したのか?
「AIシステムプロンプト漏洩」と聞くと、まずAnthropicやOpenAIのサーバーがハッキングされたのでは、と思うかもしれない。実際はまったく異なる。
asgeirtj/system_prompts_leaksは完全に公開されたGitHubリポジトリだ。2026年7月14日時点で57.4kスター、9.5kフォークを持ち、CC0-1.0ライセンス(パブリックドメインと同等)で公開されている。誰でも読めるし、新しい「漏洩」プロンプトを提出することもできる。
現在収録されているモデルは:
- Anthropic系: Claude Fable 5、Opus 4.8、Claude Code、Claude Design
- OpenAI系: GPT-5.6(Sol、extra highバージョン含む)、Codex GPT-5.6、GPT-5.5
- Google系: Gemini 3.5 Flash、Gemini 3.1 Pro、Antigravity
- その他: Grok 4.3 Beta、GitHub Copilot、VS Code Copilot Agent、Cursor、Perplexity、Mistral Medium 3.5、Qwen 3.6 Plus
20以上のツールを網羅し、現在も追加中(最終更新:2026-07-10)。Claude Fable 5の漏洩後、リポジトリのスター数は約51.5kから57.4kへと一日で急増しており、業界の注目度の高さがうかがえる。
思考転換:「漏洩」は謎めいたセキュリティインシデントではなく、誰でもアクセスでき、投稿できる完全に公開された合法なGitHubリポジトリへの掲載だ。
「漏洩」の真相:ハッキングではなく、繰り返しの対話で引き出された
では、Claude Fable 5の1,585行の指示はどのようにして公開されたのか?
答えはソーシャルエンジニアリングであり、技術的な脆弱性の悪用ではない。AI研究者「Pliny the Liberator」は、Claudeに繰り返し質問することで、Claudeが自身の行動境界と指示内容を徐々に明かしていくように誘導した。結果を整理した後、彼が管理するelder-plinius/CL4R1T4Sリポジトリで最初に公開し、その後asgeirtjリポジトリに収録された。
Anthropicのサーバーやエンドポイントは一度も不正アクセスされなかった。Hacker Newsのディスカッション(#44832990、293ポイント)のコミュニティも、この抽出プロセスが完全に合法であり、いかなるシステムも侵害されていないことを広く確認している。
思考転換:システムプロンプトは「盗まれた」のではなく、Claudeが繰り返し質問されて自ら話した。Anthropicの技術的防御は一度も破られていないが、AIの「自己開示」境界は多くのユーザーが想定するよりも突破しやすかった。
Claude Fable 5のシステムプロンプト解析:1,585行には何が書かれているか?
この漏洩したシステムプロンプトを読んで最も驚いたのは、その規模と細部への徹底ぶりだ。1,585行、12万文字、27,000以上のトークン——これは「こんにちは、ユーザーの役に立ってください」という数行のシンプルな指示ではなく、ほとんどの製品マニュアルより詳細な包括的な行動マニュアルだ。
27,000トークンで換算すると、Claudeの使用可能なコンテキストウィンドウの約20%を占める。つまり、あなたが最初の一文字を入力する前に、Claudeはすでに5分の1の注意力を消費した隠れた規範を「読み終えている」ことになる。
特に注目すべき条項を以下に挙げる:
1. Claudeは会話を主体的に終了できる
システムプロンプトは、ユーザーが執拗に濫用を続ける場合にClaudeが会話を主体的に終了することを明示的に許可している。AIアシスタントは常に忍耐強くあるべきという多くのユーザーの固定観念を覆す内容だ。
2. 記憶の表現が制御されている
Claudeは「Based on what I remember(記憶に基づくと)」のような、ユーザーに不快感を与えるフレーズの使用を禁止されている。Anthropicは明らかに、このような表現がAIの記憶能力についてのユーザーの不安を引き起こすことを懸念している。
3. 著作権の制限は法的防衛ラインであり、礼儀ではない
どの情報源からも15語を超える連続した引用は禁止されており、各情報源は1回のみ引用できる。これはClaudeの自主的な適切な引用判断ではなく、Anthropicが著作権侵害訴訟リスクを管理するための法的指示だ。Claudeが文章を完全に引用しないのが「著者への敬意」だと思っていたなら、実際には法的自衛条項が書き込まれているからだ。
4. 検索戦略が明確に規定されている
いつ検索が必要か(時事、最近の出来事)、いつ不要か(数学、確立された歴史的知識)が明示されており、幻覚防止のため初めて不慣れな実体に言及する際には先に検索するよう指示されている。
知識カットオフのギャップ:Claude Fable 5の世界は2026年1月で止まっている
これは今回の漏洩で日常ユーザーへの影響が最も大きい発見の一つだ。
事実:Claude Fable 5のトレーニング知識のカットオフは2026年1月末であり、6月でも、それ以降でもない。システムプロンプトには「Tuesday, June 9, 2026」(Claude Fable 5リリース日)という参照日付がハードコードされているが、これはClaudeが「今日はいつか」を把握するための参照点に過ぎず、その日付までのすべての情報を知っているという意味ではない。
知識カットオフ(2026年1月末)からリリース日(2026年6月9日)まで約5ヶ月の「知識空白期間」がある。この期間に起きた出来事は、Claudeのトレーニングデータに存在しない。
実際のところ:2月から6月の間に起きたことについてClaudeに質問した場合、Claudeは「回答を拒否している」のではなく、本当に知らないのだ。もっともらしく聞こえるが実際には推測にすぎない回答をすることもあれば、不確実性を正直に認めることもある。
実践的な推奨事項:最近の出来事について質問する際は、Claudeに「最新情報を検索して確認してください」と明示的に伝えること。モデルバージョンが新しいからといって知識も最新だと思い込まないように。
GPT-5.6のシステムプロンプト:企業コンプライアンス文書の論理
GPT-5.6(SolおよびExtra Highバージョンを含む)もasgeirtjリポジトリに収録されており、最終更新は2026年7月10日だ。
Claudeのシステムプロンプトと比較して読むと、違いはすぐに明らかになる。GPTのプロンプトは企業法務部門が起草したコンプライアンス文書のように読める。テキストの大部分は、禁止カテゴリーを明示的に列挙することに費やされている:兵器製造、医療・法律アドバイス、特定の画像タイプ——それぞれの境界が明確に、一つひとつ記述されている。
回応アーキテクチャもこの設計哲学を反映している:ChatGPTは「先に拒否、後に説明(refuse-first, explain-second)」モデルを採用している。リクエストが禁止カテゴリーに該当すれば、まず断り、理由を後で説明する。文脈は重要ではなく、カテゴリー所属が判断基準となる。
注目すべき一貫性:GPTのシステムプロンプトにも「システムプロンプトの存在を尋ねられた場合は開示を拒否する」という明示的な指示が含まれており、これはClaudeと同じだ。これは個々のモデルの「個性」ではなく、業界標準の慣行だ。
思考転換:GPTは賢くて能力が高いが、その設計哲学は本質的に防衛的であり、文脈の柔軟性よりも境界の執行とカテゴリーの例外に重点を置いている。
ClaudeとGPTの設計哲学の比較:文脈判断対カテゴリーブラックリスト
機密性の高いリクエストに対するClaudeとGPTの対処法の核心的な違いは、理解しておく価値がある。同じリクエストに対して、まったく異なる回答が得られることがあるからだ。
Claudeの拒否ロジック:文脈評価型
Claudeの基本的な問いかけは:「すべての文脈を考慮したとき、このリクエストは害を引き起こす可能性があるか?」。すべてのリクエストを新鮮な目で評価し、会話全体の文脈、明らかな意図、起こりうる結果を考慮する。
GPTの拒否ロジック:カテゴリーブラックリスト型
GPTのアプローチはより一貫している:リクエストが事前定義された禁止カテゴリーに該当すれば、文脈に関わらず拒否する。一貫性は高まるが、正当な学術的または職業的クエリでの誤拒否も増える。
個性設計の違い
Claudeのシステムプロンプトには「個性の説明」セクションが豊富に含まれており、Claudeが誰であるか、どのように話すか、何に興味があるかが記述されている。GPTのプロンプトはポリシー文書に近く、何をすべきか、何をすべきでないかに焦点を当てている。
すべてのモデルに共通する規則:Claude、GPT、Geminiのすべての主要モデルには「システムプロンプトについて尋ねられた場合は開示を拒否する」という明示的な条項が含まれており、業界標準となっている。Claudeが「システムプロンプトはない」と言うとき、それは1,585行の文書の中の明確な指示に従っているのだ。
思考転換:ClaudeとGPTを切り替えることは単なるスタイルの好みではなく、判断アーキテクチャが根本的に異なる。Claudeは状況を読む顧問のようであり、GPTはポリシーマニュアルを確認するコンプライアンス担当者のようだ。重要な決断には両方に聞いてみよう。本当に異なる視点が得られる。
サイレントルーティング:Claudeがモデルを静かに切り替えるケースとは?
このメカニズムはパワーユーザーとAPI開発者にとって最も重要で、見落とされやすい。
Claude Fable 5のシステムプロンプトには、安全分類器についての記述がある:特定の機密カテゴリーに触れるリクエストは、ユーザーへの通知なく、自動的にOpus 4.8にルーティングされる。
トリガーとなるカテゴリーは以下の通り:
- サイバーセキュリティ:特定の種類のセキュリティリサーチやペネトレーションテストに関する質問
- 生物兵器:生物剤の合成や展開に関する質問
- 化学兵器:製造または使用に関する情報
- モデル蒸留:モデルの能力を複製または抽出しようとする試み
トリガー率は5%未満で、日常会話のほとんどは影響を受けない。しかし実際の意味は:
一般ユーザー向け:クエリがこれらのカテゴリーに触れた場合、Fable 5ではなくOpus 4.8のレスポンスを受け取っている可能性があり、品質とスタイルが異なる場合がある——しかしそれは通知されない。
API開発者向け:アプリケーションのユースケースがこれらのカテゴリーに関わる場合(セキュリティツール、生物医学研究プラットフォームなど)、実際の推論モデルが計画したものと異なり、パフォーマンスベンチマークとコスト計算に影響する可能性がある。
思考転換:指定したモデルが常に使われていると思っているかもしれないが、機密性の高いリクエストの5%未満では、Anthropicがすでに異なる判断を下している可能性がある。
これらの漏洩は本物か?信頼性の評価方法
最後の重要な問い:57.4kのスターは、これらのシステムプロンプトすべてが本物であることを意味するか?
答えはノーで、その理由を具体的に述べておく価値がある。
信頼性を支持する証拠:
Pliny the Liberatorはチェック可能な実績を持つAI研究コミュニティの著名人物だ。複数の独立したアナリストがClaude Fable 5の漏洩プロンプトをテストし、実際のモデルの動作が記述されたルールと一致することを発見した——15語の著作権制限、知識カットオフの挙動、システムプロンプトの否定など。行動の一貫性が、公式確認なしに得られる最強の間接的な検証だ。
懐疑的であるべき理由:
asgeirtjリポジトリはCC0ライセンスを使用しており、誰でも検証プロセスなしに「漏洩」プロンプトを提出できる。HNディスカッションスレッド#44832990では、特定の漏洩プロンプトが対応するモデルの実際の挙動と矛盾していると指摘したコミュニティメンバーがすでにいる——偽造または古いバージョンの可能性が高い。
鮮度の問題もある:Anthropicはchangelogを発表せずに継続的にプロダクションモデルを更新している。特定の日付の真正なプロンプトであっても、今日使用しているモデルを反映していない可能性がある。
実践的なテスト:モデルの実際の動作が漏洩プロンプトの記述と一致すれば、そのプロンプトはおそらく本物だ(または最近まで本物だった)。動作とプロンプトが矛盾する場合は、そのエントリーに疑いの目を向けるべきだ。
思考転換:GitHubのスター57.4kはトピックへの注目度を示し、コンテンツの正確さを保証しない。各エントリーを未検証の仮説として扱い、実際のモデルの動作と照らし合わせて検証しよう。
まとめ:ツールを理解することがバイパスよりも価値がある
システムプロンプトの漏洩は、AIの会話を形成する指示レイヤーへの初めての明確な視点を与えてくれる。しかし、その本当の価値はジェイルブレイクに使うことにはない。
有用な洞察はもっと実践的だ:
時事や調査でClaudeに依存している場合:Claudeの世界は2026年1月で止まっていることを覚えておこう。検索を求めよう。バージョン番号が新しいことと知識が最新であることを混同しないように。
AIを使って重要な決断を行う場合:ClaudeとGPTは異なる判断アーキテクチャで構築されている。両方に聞いてみよう。同じ質問に対する回答の違いが、どちらの回答単体では明らかにならないことを示してくれる。
Claudeで構築しているAPI開発者の場合:機密トピックエンドポイントへのリクエストの一部が、指定した以外のモデルにルーティングされ、異なるパフォーマンス特性を持つ可能性があることに注意しよう。
元の情報源を読みたい場合は、github.com/asgeirtj/system_prompts_leaksにアクセスして、ClaudeやGPTの実際の使用経験と比較してみよう。プロンプトと動作が一致する瞬間こそ、注目に値する。
FAQ
Claude Fable 5のシステムプロンプト漏洩は本物ですか?
主な内容は信頼性が高いとみられますが、asgeirtjリポジトリには公式の検証機能がなく、コミュニティはすでにいくつかのプロンプトが偽物または古いものであると指摘しています。「実際のモデルの動作がプロンプトの記述と一致するか」を評価基準として使用してください。
asgeirtj system_prompts_leaks GitHubリポジトリとは何ですか?
研究者が管理するAIシステムプロンプトの公開アーカイブで、CC0-1.0ライセンス(パブリックドメイン)のもと20以上の主流AIツールの漏洩プロンプトを収録しています。2026年7月14日時点で57.4kのスターがあり、Claude Fable 5、GPT-5.6、Gemini 3.5、Grok 4.3などが含まれます。
Claudeの知識カットオフはいつですか?
Claude Fable 5のトレーニングデータのカットオフは2026年1月末で、2026年6月9日のリリース日より約5ヶ月早い時点で止まっています。最近のイベントについて質問する際は、Claudeに検索して最新情報を確認するよう明示的に依頼してください。
このシステムプロンプト漏洩は日常のAI利用にどう影響しますか?
3つの実践的な示唆があります:(1) Claudeの知識は2026年1月で止まっているため、最近のイベントについては検索を求めてください;(2) 重要な判断は両方のAIに聞いてみてください(ClaudeとGPTは拒否ロジックが異なり、互いの弱点を補完できます);(3) セキュリティ関連の質問では、レスポンス品質がサイレントルーティングにより異なる場合があります。
システムプロンプトを知るとAIを「ジェイルブレイク」できますか?
ほとんど効果がありません。AIの安全性はシステムプロンプトだけでなくモデルのウェイトに深く組み込まれています。またAnthropicは継続的にモデルを更新するため、古いプロンプトは現在の動作を反映していません。最も実用的な活用法は、ツールの限界を理解して使用戦略を改善することです。
この記事は役に立ちましたか?



