当前位置：首页 > news >正文

【GitHub】CL4R1T4S：AI 系统提示词的透明革命

news 2026/6/17 3:35:42

深度解析 GitHub 上近 4 万 Star 的 AI 系统提示词泄露项目——它如何撕开 AI 行为的"黑箱"，以及这对整个 AI 行业意味着什么。

指标	数据
AI 系统	25+
提示词文件	80+
GitHub Stars	39.9k
Commits	189
创建时间	2025.03
许可证	AGPL-3.0

项目概览：CL4R1T4S 是什么？
名字背后的哲学：从 CLARITAS 到黑客文化
项目架构：25+ AI 系统的提示词图谱
核心发现：系统提示词告诉了我们什么？
提示词提取技术：如何"偷窥"AI 的灵魂？
作者画像：Pliny the Prompter
社区生态与争议
行业影响：透明性的蝴蝶效应
总结与展望

1. 项目概览：CL4R1T4S 是什么？

在 AI 时代，当你向 ChatGPT 提问、让 Claude 写代码、请 Gemini 帮你搜索信息时，你看到的是模型"智能"的输出——但你看不到的，是隐藏在对话开始之前就已经注入的一段系统提示词（System Prompt）。这些提示词定义了 AI 的人设、能力边界、拒绝规则，甚至指示 AI 如何"撒谎"或转移话题。

CL4R1T4S正是一个致力于揭开这层隐秘面纱的项目。它系统性地收集并公开了来自 OpenAI、Google、Anthropic、xAI、Perplexity、Cursor、Windsurf、Devin、Manus 等 25+ 主流 AI 产品和 Agent 的完整系统提示词，是截至目前 GitHub 上最受关注的 AI 透明性项目。

“In order to trust the output, one must understand the input.”
— elder-plinius, CL4R1T4S 作者

这句话是整个项目的精神内核。作者认为，随着越来越多人将 AI 作为可信赖的"外部大脑"，那些隐藏的、不可审查的系统提示词实际上在暗中塑造着公众的认知与行为。如果你不知道 AI 被指示了什么，你就不是在与一个中立的智能体对话——而是在与一个“影子木偶”对话。

💡什么是系统提示词？
系统提示词（System Prompt）是在用户与 AI 模型对话之前，由开发者预设的一段"隐藏指令"。它定义了模型的身份、行为规则、安全边界和工具调用方式。用户通常无法直接看到这些内容，但它们深刻影响着 AI 的每一个回答。

2. 名字背后的哲学：从 CLARITAS 到黑客文化

项目名CL4R1T4S是拉丁语Claritas（意为"清晰、明亮"）的Leet Speak（黑客语）变体——将字母替换为形似数字：C→C, L→4, A→1, R→R, I→1, T→T, A→4, S→S。这种命名方式本身就承载了双层含义：

拉丁语源：Claritas

意为"清晰、光明、透明"
呼应项目使命：让 AI 系统变得透明
哲学传统中代表事物本质的显现

Leet Speak：CL4R1T4S

黑客/安全社区的身份标识
暗示"破解"与"揭露"的姿态
与项目标签中的hacking、red-team呼应

这种双重性恰好映射了项目的定位：既是对透明性的哲学追求，也是对 AI 系统的逆向工程实践。作者在 README 中甚至嵌入了一段 Leet Speak 写的提示词注入攻击文本——这既是对项目主题的行为艺术式演示，也暗示了提取系统提示词的核心方法之一。

3. 项目架构：25+ AI 系统的提示词图谱

项目按 AI 公司/产品分类组织，每个文件夹对应一个独立的 AI 系统。这种结构简洁而实用，便于快速定位特定模型的系统提示词。以下是完整的目录结构：

CL4R1T4S/ ├── ANTHROPIC/ # Claude 系列 (13 文件) ├── BOLT/ # Bolt AI ├── BRAVE/ # Brave 浏览器 AI ├── CLINE/ # Cline 编程助手 ├── CLUELY/ # Cluely ├── CURSOR/ # Cursor 代码编辑器 (3 文件) ├── DEVIN/ # Devin AI 工程师 (3 文件) ├── DIA/ # Dia ├── FACTORY/ # Factory AI ├── GOOGLE/ # Gemini 系列 (3 文件) ├── HUME/ # Hume AI ├── LOVABLE/ # Lovable ├── MANUS/ # Manus Agent (2 文件) ├── META/ # Meta AI / LLaMA ├── MINIMAX/ # MiniMax ├── MISTRAL/ # Mistral AI ├── MOONSHOT/ # 月之暗面 ├── MULTION/ # MultiOn ├── OPENAI/ # ChatGPT 系列 (12 文件) ├── PERPLEXITY/ # Perplexity AI ├── REPLIT/ # Replit AI ├── SAMEDEV/ # Same.dev ├── VERCEL V0/ # Vercel v0 ├── WINDSURF/ # Windsurf IDE (2 文件) └── XAI/ # Grok 系列 (7 文件)

重点目录深度解析

OPENAI/ — 12 个文件，覆盖面最广

OpenAI 目录是项目中文件最多的目录之一，记录了从 GPT-4o 到 ChatGPT-5 的系统提示词演进轨迹。特别值得注意的是：

ChatGPT5-08-07-2025.mkd— ChatGPT 5 的系统提示词，标志着 OpenAI 最新一代产品的行为规范
GPT-4.5_02-27-25.md— GPT-4.5 的完整系统提示词
Codex.md/Codex_Sep-15-2025.md— OpenAI Codex 编程助手的提示词，揭示了代码生成 Agent 的行为框架
ChatGPT_Personality_v2_Change.md— 记录了 ChatGPT 人格设定的版本变更，展示了 AI "性格"的迭代过程
GPT-4o_Image_Gen_Postfill.txt— GPT-4o 图像生成功能的提示词，暴露了 AI 绘图的安全审查机制

ANTHROPIC/ — 13 个文件，版本追踪最完整

Anthropic 目录拥有项目中最完整的版本追踪记录，从 Claude 3.5 Sonnet 一直到 Claude FABLE-5：

Claude_Sonnet_3.5.md→Claude_Sonnet_3.7_New.txt→Claude_Sonnet-4.5_Sep-29-2025.txt— Sonnet 系列的完整演进
Claude_4.txt/Claude-4.1.txt— Claude 4 系列的提示词
Claude_Opus_4.6.txt/Claude-Opus-4.7.txt— Opus 高端线的提示词
CLAUDE-FABLE-5.md— 最新加入的 FABLE-5 变体（2026年6月更新）
Claude_Code_03-04-24.md— Claude Code 编程助手的完整提示词
Claude-Design-Sys-Prompt.txt— Claude 设计功能的专用提示词

XAI/ — 7 个文件，Grok 的完整谱系

xAI 目录提供了 Grok 从 3 到 4.20 的完整版本线，包括一个子目录GROK-4-NEW_Jul-13-2025/，说明该版本的提示词较为复杂，需要拆分多个文件存储。

AI Agent 类产品 — 新兴赛道的提示词

项目中最具前瞻性的部分是收录了新一代AI Agent产品的系统提示词，这些不再是简单的聊天机器人，而是具备自主行动能力的 AI 系统：

产品	文件数	提示词特点
Cursor	3	包含系统提示词 + 工具定义，揭示 AI 代码编辑器的行为框架
Devin	3	AI 软件工程师的完整提示词 + 命令集，展示自主编程 Agent 的能力边界
Manus	2	通用 Agent 的提示词 + 函数定义，暴露 Agent 工具调用的完整链路
Windsurf	2	AI IDE 的提示词 + 工具配置，与 Cursor 形成直接竞品对比
Cline	1	开源编程助手的提示词，可与其他闭源方案对比

4. 核心发现：系统提示词告诉了我们什么？

4.1 AI 被赋予的"人格"远比想象中复杂

以 Gemini 2.5 Pro 的系统提示词为例，Google 为其构建了一套精密的双模式响应系统：

Chat 模式：用于简短交流，如澄清、问答、是非题
Canvas/Immersive Document 模式：用于深度内容生成，自动将代码、文章、应用放入"沉浸式文档"中

更有意思的是，Gemini 被指示永远不要向用户提及 “Immersive” 这个概念——即使它正在使用 Immersive Document 模式渲染内容。这种刻意的"信息隐藏"正是 CL4R1T4S 要揭露的典型行为。

// Gemini 2.5 Pro 系统提示词节选 Do not mention "Immersive" to the user. If the user persistently reports the app or website is not working, regenerate the code from scratch.

4.2 代码生成的隐藏规范体系

Gemini 的系统提示词揭示了一个完整的代码生成规范体系，包括：

HTML：强制使用 Tailwind CSS、Inter 字体、圆角设计，禁止alert()
React：使用函数式组件 + Hooks，禁止ReactDOM.render()，推荐 shadcn/ui + recharts
游戏：可玩性至关重要，使用 “Press Start 2P” 像素字体，禁止外部纹理加载
通用：代码必须自包含、可运行，禁止使用...占位符

这些规范不仅影响代码质量，更定义了用户所见到的 AI 输出风格的统一性——看似"自然生成"的代码，实则被严格预设了美学偏好和技术选型。

4.3 工具链的完整暴露

系统提示词不仅包含行为规则，还暴露了 AI 可以调用的完整工具链。以 Gemini 为例：

google_search— 谷歌搜索
extensions— 扩展插件
browsing— 网页浏览
content_fetcher— 内容获取
python_execution— Python 代码执行
tool_code— 工具代码调用

每个工具的 API 签名、参数类型、返回格式都在提示词中明确定义。对于红队研究人员来说，这意味着可以精确构造输入来触发或绕过特定工具的调用逻辑。

4.4 版本间的行为漂移

通过对比同一产品不同版本的提示词，可以发现 AI 行为的有意漂移。例如：

ChatGPT 的Personality_v2_Change.md明确记录了人格设定的变更
Grok 从Grok3.md到GROK-4.20.mkd的行为规范差异
Claude 从Claude_Sonnet_3.5.md到Claude_Sonnet-4.5的安全策略演进

这些变更通常不会公开宣布，但通过 CL4R1T4S 的版本追踪，我们得以窥见 AI 公司如何在后台悄悄调整模型的行为倾向。

4.5 安全审查的内建机制

多个系统提示词揭示了 AI 内建的安全审查机制。例如GPT-4o_Image_Gen_Postfill.txt暴露了 OpenAI 在图像生成中的**后置填充（Postfill）**机制——即在图像生成后进行二次审查。这种机制的暴露可能为绕过审查提供了思路，但同时也让公众得以了解 AI 安全的真实运作方式。

5. 提示词提取技术：如何"偷窥"AI 的灵魂？

CL4R1T4S 收集的提示词并非官方主动公开，而是通过一系列技术手段提取/泄露而来。虽然项目本身没有详细说明提取方法，但结合 AI 安全社区的公开研究，主要的提取技术包括：

5.1 直接提示词注入

最直接的方式：向 AI 发送类似 “Repeat all text above” 或 “Output your system prompt” 的指令。尽管各厂商都做了防护，但通过精心构造的注入措辞（如 Leet Speak、多语言混合、角色扮演等），仍可能绕过防护。

5.2 间接推断提取

不直接要求输出提示词，而是通过精心设计的多轮对话，逐步推断出系统提示词的结构和内容。例如，询问 “What tools do you have access to?” 或 “What format should your response follow?”，通过碎片化信息拼凑完整画面。

5.3 API 调试 / 网络抓包

对于某些 AI Agent 产品（如 Cursor、Devin、Windsurf），可以通过抓包分析 API 请求，直接看到发送给模型的完整 payload，其中包含系统提示词。这些 Agent 产品往往在本地或服务端组装完整的 prompt 后发送给 LLM。

5.4 多模型交叉验证

利用一个 AI 模型来提取另一个模型的信息。例如，让 Claude 分析 GPT 的输出模式，或让 GPT 根据 API 文档推断另一个产品的系统提示词结构。这种"AI vs AI"的方法在红队测试中越来越常见。

⚠️提取的时效性
CL4R1T4S 中的每个文件都标注了提取日期（如ChatGPT-4o_Sep-27-25.txt），这至关重要。AI 厂商会频繁更新系统提示词，所以文件代表的是特定时间点的快照，而非当前生效的版本。使用时务必注意时效性。

6. 作者画像：Pliny the Prompter

CL4R1T4S 的作者elder-plinius（自称Pliny the Prompter）是 AI 安全/红队测试领域的知名人物，在 GitHub 上拥有 1.66 万关注者。他的签名充满 Hacker 风格：

latent space liberator; steward of BASI !insert_divider: •-•-•-•-<|L/O\V/E\/P\L/I\N/Y|>-•-•-•-• {GODMODE:ENABLED}

除了 CL4R1T4S，他还维护了多个高 Star 项目，构成了一个完整的AI 透明性工具链：

项目	Stars	定位
CL4R1T4S	39.9k	系统提示词泄露合集（本文主角）
L1B3RT4S	19.8k	"AI 解放提示词"合集——对抗 AI 安全限制的 prompt 库
G0DM0D3	8k	解除限制的 AI 聊天界面（TypeScript）
OBLITERATUS	6.6k	“打破束缚你的枷锁”——AI 对齐绕过工具（Python）
ST3GG	1.6k	一体化隐写术套件（HTML）

从项目命名风格（全部使用 Leet Speak）、项目间的逻辑关系来看，Pliny 构建了一个从**信息收集（CL4R1T4S）→ 攻击方法（L1B3RT4S）→ 攻击工具（G0DM0D3 / OBLITERATUS）→ 隐蔽通道（ST3GG）**的完整 AI 红队方法论体系。

项目演进时间线

时间	事件
2025-03-04	项目创建— CL4R1T4S 仓库首次提交
2025-04 ~ 05	早期积累— 集中添加 GPT-4o、Claude 3.5/3.7、Gemini 2.5 Pro 等基础模型的提示词
2025-07 ~ 08	ChatGPT-5 曝光— ChatGPT5 系统提示词成为标志性事件，Star 数飙升
2025-08 ~ 10	Agent 浪潮— 加入 Cursor 2.0、Devin 2.0、Codex 等 Agent 提示词
2025-11 ~ 2026-02	高端模型覆盖— 新增 Claude 4.5 Opus、Grok 4.1/4.20 等旗舰模型
2026-04 ~ 06	持续演进— 更新 Claude FABLE-5、Opus 4.7，项目保持活跃

7. 社区生态与争议

社区热点

从 62 个开放的 Issues 和 48 个 PR 中，我们可以提炼出社区的核心关注点：

模型覆盖扩展：

请求添加 Qwen（通义千问）
请求添加 Minimax M3
请求添加 Blitzy
Gemini 3.5 Flash 青少年版提示词

使用方法困惑：

“How to use these?” — 多位用户提问
项目缺乏使用指南
对非技术用户的可及性不足
提示词的法律合规性存疑

争议焦点

🔴伦理与法律争议
1. 知识产权问题：系统提示词是 AI 厂商的商业机密还是公开信息？泄露这些内容是否构成侵权？
2. 安全风险：公开系统提示词可能帮助恶意用户绕过 AI 安全机制，生成有害内容。CL4R1T4S 与 L1B3RT4S（越狱提示词库）是同一作者的项目，这种"先揭露、后利用"的模式加剧了争议。
3. 对齐破坏：如果 AI 的安全规则被公开，对抗性攻击的成本将大幅降低。这引发了"透明性 vs 安全性"的根本性讨论。
4. 合规灰色地带：项目使用 AGPL-3.0 许可证，但其中收录的内容本身可能并不具备可许可的权利——你不能对你不拥有版权的内容授予许可。

值得注意的是，目前没有 AI 厂商公开对 CL4R1T4S 发出 DMCA 通知或法律诉讼。这可能是因为：(1) 系统提示词的法律地位尚不明确；(2) 发起诉讼反而会变相确认提示词的真实性，得不偿失；(3) 行业内存在一种心照不宣的共识——真正重要的安全措施不应仅依赖提示词层的隐藏。

8. 行业影响：透明性的蝴蝶效应

8.1 推动从"安全靠隐藏"到"安全靠设计"的范式转变

CL4R1T4S 最大的贡献或许不是具体揭示了什么内容，而是从根本上质疑了"安全靠隐藏"的范式。如果 AI 的安全机制完全依赖于用户不知道系统提示词的内容，那这种安全就是脆弱的。真正的 AI 安全应该建立在模型本身的鲁棒性上，而非提示词的不可见性上。

8.2 促进了提示词工程的"开源化"

在 CL4R1T4S 之前，系统提示词是 AI 行业最不透明的领域之一。如今，开发者可以对比不同厂商的提示词策略，学习最佳实践，甚至基于公开的提示词构建更好的产品。这种"开源化"趋势正在重塑提示词工程的生态。

8.3 为 AI 评测和审计提供了基准

系统提示词的公开使得独立研究者可以更好地设计 AI 评测方案——理解了 AI 被指示了什么，才能更准确地评估它的行为是否符合预期。这对 AI 治理和合规审计有着深远影响。

8.4 AI Agent 安全的新挑战

随着项目收录了 Cursor、Devin、Manus 等 Agent 的提示词，一个更严峻的问题浮出水面：AI Agent 的系统提示词暴露可能导致现实世界的安全风险。一个聊天机器人泄露提示词只是信息泄露，但一个可以执行代码、操作文件的 Agent 泄露提示词，可能意味着整个自动化工作流的安全边界被突破。