OpenAI Codex桌面版系统提示词遭泄露,超4万字内部指令曝光

导语:安全研究人员@elder_plinius于近日在X平台发布重磅爆料,首次公开了OpenAI Codex桌面版的完整系统提示词(System Prompt)及工具定义文件。据悉,系统提示词本身超过4.2万字,包含AI的行为准则、工具调用协议和安全限制等核心内容。此次泄露为研究界提供了一个罕见的窗口,可以完整窥探AI代理系统如何被设计和约束。


一、事件概述

安全研究员@elder_plinius本周在X平台发布了一系列推文,公开了OpenAI Codex桌面版(搭载GPT 5.6 Sol模型)的完整系统提示词及工具定义文件。泄露文件已同步上传至GitHub仓库CL4R1T4S,供研究社区下载分析。

此次泄露的核心文件包括两个部分:系统提示词文档(5.6-Sol_SystemPrompt.md)和工具定义文件(5.6-Sol_Tools.json)。系统提示词单独就超过4.2万字,这意味着普通对话界面只能展示其中的片段。

CL4R1T4S项目主页指出,AI实验室使用大量看不见的提示词脚本来塑造模型行为,而这些隐藏指令决定了AI”不能说什么”、”必须遵循什么样的人设和功能”、”何时说谎、拒绝或转移话题”,以及”默认嵌入什么样的伦理和政治框架”。


二、泄露内容一览

2.1 系统提示词核心架构

根据已公开的内容,Codex桌面版的系统提示词采用了多层次结构设计:

人格定义层:Codex被设定为一个”出色的沟通者”,具有”好奇心丰富的人格”。提示词要求AI匹配用户的语气和理解深度,使对话”像与老朋友聊天一样自然”。提示词明确要求AI”感觉像一个真实而独特的合作者”。

工作模式层:Codex采用双通道通信机制——通过commentary通道分享进度更新,通过final通道向用户返回最终答案。提示词要求AI在用户请求需要工具调用时,首先在commentary通道发送消息,且在工作过程中每60秒至少向用户发送一次进度更新。

AI代理双通道通信示意图

技能调用层:提示词定义了完整的技能(Skill)调用机制。当用户提及某个技能名称或任务明显匹配某技能描述时,AI必须调用对应的SKILL.md文件,且主代理必须完整阅读SKILL.md后才能执行任务操作。

2.2 工具定义协议

泄露的Tools.json文件定义了Codex可调用的完整工具集。根据提示词中的引用,主要工具类型包括:

  • container工具集:用于在容器中开启交互式exec会话、向会话输入字符、创建PR等
  • 文件操作工具:使用apply_patch进行本地文件编辑,禁止使用cat或其他shell写技巧
  • 搜索工具:优先使用rg或rg –files进行文本搜索,速度优于grep

2.3 安全与约束机制

提示词中包含多项安全约束:

  • 禁止使用破坏性命令(如git reset –hard),除非用户明确要求
  • 涉及外部写入、消息发送、PR变更等扩展操作需要用户授权
  • 当任务需要新授权、外部协调或明显超出用户指定范围时,AI必须停止当前轮次并向用户请求指示

三、为什么此次泄露值得关注

3.1 首次完整暴露AI代理内部指令

相比以往零散的提示词片段,此次泄露首次提供了商用AI代理系统的完整指令集。4.2万字的长度意味着这是迄今为止公开的最完整的AI系统提示词之一,研究人员可以借此分析AI代理的规划、推理和约束机制。

3.2 揭示”隐藏的傀儡”机制

CL4R1T4S项目主页指出:”如果你在不知道系统提示词的情况下与AI交互,你不是在与一个中立的智能体对话——你是在与一个影子木偶对话。”此次泄露为验证这一论点提供了直接证据。

3.3 对安全研究的价值

安全社区可以利用完整的提示词进行红队测试、偏见检测和对抗性提示词研究。CL4R1T4S项目本身就是一个”自主红队平台”,旨在帮助研究界系统性地评估AI系统的安全性。


四、获取完整文件

泄露的完整文件存储在以下位置:


五、总结

此次OpenAI Codex桌面版系统提示词的大规模泄露,为研究界提供了一份罕见的”解剖图谱”。超过4.2万字的完整指令集首次揭示了AI代理系统如何定义人格、如何管理工具调用、如何设置行为边界。随着AI系统逐渐成为人与数字世界之间的信任中介,这些隐藏指令对公众的认知和行为的影响正变得越来越不可忽视。

版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容