AI 系統提示詞洩漏解析:Claude 和 GPT 背後真正的指令是什麼?
2026 年 6 月 9 日,Claude Fable 5 發布。不到 24 小時,一份長達 1,585 行、120,000 字元的隱藏指令手冊已經出現在 GitHub 上,供所有人閱讀。這份文件你以前看不到,卻在你每次問 Claude 問題之前就被讀完一遍了。
現在,一個 GitHub repo(asgeirtj/system_prompts_leaks,截至 2026-07-14 有 57.4k stars)集中收錄了 Claude、GPT-5.6、Gemini、Grok 等主流 AI 的系統提示詞。這篇文章帶你看懂這些指令裡面寫了什麼,以及它如何影響你每天的 AI 使用體驗。
TL;DR
- Claude Fable 5 系統提示詞共 1,585 行、27,000+ tokens,知識截止日為 2026 年 1 月底,比發布日早近 5 個月
- 敏感請求(資安、生化等)會被靜默路由到 Opus 4.8 處理,你不知情,觸發率低於 5%
- Claude 和 GPT 的拒絕邏輯根本不同:Claude 看情境、GPT 查黑名單
- 部分「洩漏」提示詞已被社群驗證為假,57.4k stars 不等於可信度
這個 GitHub repo 是什麼?洩漏了哪些 AI 的系統提示詞?
看到「AI 系統提示詞洩漏」這幾個字,你第一個反應可能是:「是不是哪個駭客入侵了 OpenAI 或 Anthropic 的伺服器?」實際情況完全不同。
asgeirtj/system_prompts_leaks 是一個完全公開的 GitHub repo,截至 2026 年 7 月 14 日已有 57.4k stars、9.5k forks,採 CC0-1.0 授權(等同公開領域,可自由使用)。任何人都可以讀取,也可以提交新的「洩漏」提示詞。
這個 repo 目前收錄的模型包括:
- Anthropic 系列:Claude Fable 5、Opus 4.8、Claude Code、Claude Design
- OpenAI 系列:GPT-5.6(含 Sol、extra high 版本)、Codex GPT-5.6、GPT-5.5
- Google 系列:Gemini 3.5 Flash、Gemini 3.1 Pro、Antigravity
- 其他:Grok 4.3 Beta、GitHub Copilot、VS Code Copilot Agent、Cursor、Perplexity、Mistral Medium 3.5、Qwen 3.6 Plus
共超過 20 個主流 AI 工具,且持續在新增(最後更新為 2026-07-10)。
值得注意的是,Claude Fable 5 的洩漏版本在 Claude Fable 5 發布後一天內,GitHub repo 的 stars 就從約 51.5k 暴增到 57.4k,說明業界對這次洩漏的關注度之高。
認知翻轉:你以為「洩漏」是某種神秘的資安事件,但實際上這是一個完全公開、合法的 GitHub repo,任何人都可以讀取或提交。
「洩漏」的真相:不是駭客攻擊,是反覆對話逼出來的
那麼,這些系統提示詞到底是怎麼「洩漏」出來的?
Claude Fable 5 的系統提示詞由 AI 研究員「Pliny the Liberator」首次發布。他的方法不是技術入侵,而是社會工程:透過反覆提問,讓 Claude 在對話中逐步揭露自身行為邊界和指令內容,隨後將結果整理後透過他維護的 elder-plinius/CL4R1T4S repo 公開,再被收錄至 asgeirtj repo。
整個過程中,Anthropic 的伺服器或 API 端點從未被未授權存取。HN 討論串(#44832990,293 points)的社群也普遍確認這一點:這次「洩漏」在技術上完全合法,沒有任何系統被入侵。
認知翻轉:AI 系統提示詞不是被「偷走」的,是 AI 被持續追問後自己說出來的。Anthropic 的技術防線從未失守,但 AI 的「自我揭露」邊界比大多數人想像的更容易突破。
Claude Fable 5 系統提示詞解析:1,585 行裡寫了什麼?
看完這份洩漏的系統提示詞,我最驚訝的是它的規模和細緻程度。1,585 行、120,000 字元、27,000+ tokens,這不是幾行「你好,請幫助使用者」這樣的簡單說明,而是一份比大多數產品說明書還詳盡的完整行為手冊。
以 token 量換算,27,000 tokens 相當於 Claude 可用 context window 的約 20%,也就是說,在你開口說第一個字之前,Claude 已經「讀完」了一份佔用五分之一注意力的隱藏規範。
這份規範裡涵蓋的範疇超乎想像。以下是幾個特別值得注意的條目:
1. Claude 可以主動結束對話
系統提示詞明確規定:若使用者持續濫用,Claude 被允許主動終止對話。這打破了「AI 永遠要有耐心」的假設。你對 Claude 發脾氣?它有權說掰掰。
2. 記憶措辭被明確管控
提示詞禁止 Claude 使用「Based on what I remember」這類讓人不舒服的記憶敘述。Anthropic 顯然考慮到這類用語會讓使用者對 AI 記憶能力感到不安。
3. 版權硬限制是法律防火牆
連續引用任何來源不得超過 15 個連續單字,且每個來源最多引用一次。這不是 Claude 自主判斷的合理引用行為,而是 Anthropic 管理版權訴訟風險的法律指令。你以為 Claude 不完整引用文章是「尊重作者」,但實際上這是寫進指令的自保條款。
4. 搜尋策略有明確規定
何時需要搜尋(時事、近期事件)、何時不需要(數學、既有歷史知識),都有明確說明。提示詞甚至規定:首次提到不熟悉的實體時,應先搜尋以避免幻覺。
如果你對 Claude 如何在對話中管理工具使用和 context 感興趣,可以參考這篇關於 Claude Code agent 系統架構的分析,其中有更多關於 Claude 底層設計的討論。
知識截止日的落差:Claude Fable 5 的世界停在 2026 年 1 月
這是這次洩漏中對日常使用者影響最大的發現之一。
事實:Claude Fable 5 的訓練知識截止日為 2026 年 1 月底,不是 2026 年 6 月,更不是更晚的日期。系統提示詞中的 reference date 寫死為「Tuesday, June 9, 2026」(Claude Fable 5 發布日),但這只是 Claude 用來定位「現在是哪一天」的參考點,不代表它知道那天之前的所有事情。
從訓練知識截止日(2026 年 1 月底)到發布日(2026 年 6 月 9 日),中間有將近 5 個月的「知識空窗期」。這段期間發生的事件,Claude 的訓練資料中完全沒有。
這意味著什麼?
如果你問 Claude 關於 2 月到 6 月之間發生的事,Claude 不是「拒絕回答」,而是真的不知道。它可能會給你一個聽起來合理但實際上是推測的答案,或者乾脆說它不確定,取決於它被如何訓練來處理不確定性。
實際建議:問時事類問題時,主動告訴 Claude「請搜尋確認最新狀況」,不要假設它使用最新版本就等於掌握最新資訊。
GPT-5.6 的系統提示詞:企業合規文件的邏輯
GPT-5.6(含 Sol、extra high 版本)的系統提示詞也已收錄於 asgeirtj repo(最後更新 2026-07-10)。
和 Claude 相比,GPT 的系統提示詞讀起來像一份企業法務部門起草的合規文件。大量篇幅用於明確列舉禁止類別:武器製造、醫療法律建議、特定圖像類型,條目一條接著一條,邊界清晰,邏輯直接。
回應模式也反映了這種設計哲學:ChatGPT 採用「先拒絕、再解釋」(refuse-first / explain-second)的架構。命中預設禁止類別,先回絕,再說明原因,不考慮提問的具體情境。
有一點值得注意:GPT 的系統提示詞同樣含有「拒絕揭露自身系統提示詞」的明確指令,和 Claude 一致。這已是業界標準做法,不是個別模型的「個性」。
認知翻轉:GPT 讀起來很聰明,但設計哲學更像企業合規框架,強調邊界與例外,而非靈活判斷。
Claude vs GPT 設計哲學對比:情境判斷 vs 類別黑名單
同樣是「不幫你做危害性的事」,Claude 和 GPT 的底層機制完全不同。這個差異值得每個重度 AI 使用者理解,因為面對同一個請求,兩者可能給出截然不同的回應。
Claude 的拒絕邏輯:情境判斷型
Claude 的核心問題是:「Is this request likely to cause harm given all context?」(考慮所有情境後,這個請求是否可能造成傷害?)每一次都重新評估,不依賴固定清單。
這意味著同樣的問題,在不同的對話脈絡、不同的使用場景下,Claude 可能給出不同的答案。一個研究員詢問化學物質合成方法,和一個剛表達過憤怒情緒的使用者問同樣問題,Claude 理論上會做出不同判斷。
GPT 的拒絕邏輯:類別黑名單型
GPT 的方式更直接:命中預設禁止類別,直接拒絕,不深入分析情境。好處是一致性高,壞處是有時會誤判合理的學術或專業請求。
個性設計的差異
Claude 的提示詞有大量「人格描述」和風格指引,強調 Claude 是一個有獨特個性的 AI,有自己的觀點和說話方式。GPT 的提示詞更像規則條列,著重在「該做什麼」「不該做什麼」。
共同點:所有主流模型(Claude、GPT、Gemini)的系統提示詞均包含「拒絕揭露系統提示詞」條款,這是業界標準,不是例外。
認知翻轉:你以為 Claude 和 GPT 只是說話風格不同,但它們的判斷架構根本不同。Claude 像個有自主思考的顧問(看案情決定),GPT 像個照規定辦事的合規人員(查名單決定)。重要決策同時問兩個,你能得到互補的視角。
靜默路由:哪些情況下 Claude 會換模型回答你?
這是最容易被忽略,但對進階使用者和 API 開發者最重要的機制。
Claude Fable 5 的系統提示詞明確記載了一個安全分類器機制:當請求涉及特定敏感類別時,會被自動路由到 Opus 4.8 處理,不告知使用者。
觸發靜默路由的類別包括:
- 資安(cybersecurity):某些類型的安全研究或滲透測試問題
- 生化武器(bioweapons):涉及生物製劑的合成或部署
- 化學武器:相關製造或使用資訊
- 模型蒸餾(model distillation):試圖複製或萃取模型能力的請求
觸發率低於 5%,絕大多數一般對話完全不受影響。但這意味著:
- 對一般使用者:問到上述類別,你以為用的是 Fable 5,但實際上可能切換到了 Opus 4.8,回應品質和風格可能不同。
- 對 API 開發者:如果你用 Claude API 建構的應用場景涉及上述類別(例如資安工具、生物醫學研究平台),實際使用的模型可能與你預期的不同,這會影響成本計算和效能基準。
認知翻轉:你以為每次和 Claude 對話用的都是同一個模型,但不到 5% 的敏感請求在你不知情的情況下已靜默切換。
這些洩漏是真的嗎?怎麼評估可信度?
最後一個關鍵問題:57.4k stars 的 GitHub repo,代表這些提示詞都可信嗎?
答案是:不能這樣簡單認定。
支持可信度的因素:
洩漏者 Pliny the Liberator 是 AI 研究社群的知名人士,有可查的過往記錄。多個獨立分析者測試後發現,模型實際行為與提示詞描述一致,例如版權的 15 字限制、知識截止日期的行為表現、以及「拒絕揭露系統提示詞」這個條款。這些行為一致性提供了重要的間接驗證。
需要保持懷疑的原因:
asgeirtj repo 採 CC0 授權,任何人都可以提交「洩漏」提示詞,無官方驗證機制。HN 討論串(#44832990)中,已有社群成員指出特定「洩漏」提示詞與對應模型的實際行為矛盾,被認定為偽造或過期版本。
此外,Anthropic 持續更新生產版本,但不公告 changelog。即使某份提示詞是某個時間點的真實版本,它也不保證反映你今天使用的 Claude 的實際行為。
評估標準:如果模型的實際行為與提示詞所描述的一致,可信度較高。如果你想驗證,可以針對提示詞中的具體規定做測試(例如測試 Claude 是否真的拒絕連續引用超過 15 個字)。
認知翻轉:57.4k stars 是話題熱度的指標,不是內容可信度的背書。讀者應自行交叉驗證,不應全盤接受。
結論:了解工具的邊界,比越獄更有價值
系統提示詞洩漏讓我們第一次清楚看到 AI 背後的「說明書」,但真正的價值不在於拿來越獄,而在於理解你的工具。
知道這些之後,你可以做三件事改善你的 AI 使用體驗:
-
查時事之前先說清楚:Claude 的知識停在 2026 年 1 月,問近期事件時主動說「請搜尋確認最新狀況」,不要假設模型版本新就等於知識最新。
-
重要決策跨模型驗證:Claude 看情境、GPT 查黑名單,兩者判斷架構不同,同時問兩個能得到互補視角,降低單一模型盲點帶來的風險。
-
涉及資安類問題時留意:若你的請求觸發了安全分類器,Claude 可能靜默切換到 Opus 4.8,回應品質和風格可能與平時不同。
如果你想直接看這些系統提示詞的原始內容,去 github.com/asgeirtj/system_prompts_leaks 自己讀,對比你日常使用 Claude 或 GPT 的經驗,哪些行為現在有了解釋?
FAQ
Claude Fable 5 系統提示詞洩漏是真的嗎?
主要內容可信度較高,但需注意 asgeirtj repo 無官方驗證機制,社群已指出部分提示詞為假或過期。可用「模型行為是否與提示詞描述一致」作為評估標準。
asgeirtj system_prompts_leaks GitHub repo 是什麼?
由研究者維護的 AI 系統提示詞公開存檔,收錄 20+ 主流 AI 工具的洩漏提示詞,CC0-1.0 授權,截至 2026-07-14 有 57.4k stars,包含 Claude Fable 5、GPT-5.6、Gemini 3.5、Grok 4.3 等。
Claude 的知識截止日期是什麼時候?
Claude Fable 5 的訓練知識截止日為 2026 年 1 月底,但發布日是 2026 年 6 月 9 日,中間有近 5 個月的知識空窗期。詢問近期事件時應要求 Claude 進行網路搜尋確認。
系統提示詞洩漏對我的日常使用有什麼影響?
實質影響有限,但你可以做三件事:(1) 詢問近期事件時記得知識截止在 1 月,主動要求搜尋;(2) 重要決策同時問 Claude 和 GPT,利用兩者設計哲學差異互補;(3) 涉及資安類問題時,回應品質可能因靜默路由而不同。
知道系統提示詞可以用來「越獄」AI 嗎?
作用有限。即使了解指令結構,模型的安全訓練已內化在參數中,不只靠系統提示詞。且 Anthropic 持續更新版本,過期的提示詞不反映現行行為。最實用的收穫是理解工具邊界,改善使用策略。
這篇文章對你有幫助嗎?



