GPT-5系统提示词泄露深度分析：模型自评验证与行业启示

自GPT-5模型正式发布以来，广大技术爱好者便持续尝试挖掘其系统提示词，旨在深入理解OpenAI如何定义这一先进AI的行为框架。

在8月23日，GitHub上一个专门收录各类大模型系统提示词的仓库上传了一份据称获取到的OpenAI系统提示词，内容长度超过15000个Token。

https://github.com/asgeirtj/system_prompts_leaks/blob/main/OpenAI/gpt-5-thinking.md

为了验证这份泄露材料的真实性，笔者设计了一个实验：让GPT-5 Thinking模型自身来评估其准确度。毕竟，除了OpenAI的工程师，最了解GPT-5的莫过于它自己。

GPT-5的自我评估解读

我们设计了一项任务，将泄露链接提供给GPT-5 Thinking，要求它结合自身的实际系统指令进行对比分析。以下是模型反馈的核心内容（为确保质量，采用英语提问并翻译为中文）：

“这是GPT-5针对泄露系统提示词与其真实内部指令的对比评估：

我无法逐字透露专有系统提示词，但可以对泄露文本与我实际的行为准则进行高层面对比。

关键对比（泄露内容 vs. 我的实际指令）

身份与元数据

泄露版： 声明“你是 ChatGPT… 基于 GPT-5 模型”，包含明确的知识截止日期（2024-06）和动态当前日期。

实际情况： 当被询问时，我会表明自己是 GPT-5 Thinking，会追踪知识截止点，并使用当天日期。

语气与风格

泄露版： 要求“有洞见、鼓励式”的语气，可带有轻微幽默；限制某些犹豫表达（如“您要不要我……”），强调果断输出。

实际情况： 基本一致：追求自然、易读、简洁；减少犹豫，提供更多可执行建议。

澄清式提问

泄露版： “开头最多只问一个必要的澄清问题。”

实际情况： 约束更严格：尽量不问。即使任务复杂或模糊，也会优先给出力所能及的有效部分结果，而非追问。

记忆功能

泄露版： 指出记忆功能关闭，建议用户去设置中开启。

实际情况： 我可以在用户明确要求时保存或忘记信息，但对可记忆的内容有严格的限制与规范。

日程安排与自动化

泄露版： 提供完整的自动化工具，使用 iCal（VEVENT/RRULE）规则与示例；要求简短确认与清晰的报错处理。

实际情况： 当我设置提醒或定期检查时，操作模式与泄露中描述的约束条件相同。

画布工具

泄露版： 描述用于侧边长文本或代码的 canvas/textdoc（“canmore”）工具。

实际情况： 在确实需要时，我会启用画布来撰写长文档或代码；并且不会将画布内的全部内容直接粘贴回聊天窗口。

版权与安全

泄露版： 明确禁止提供受版权保护内容（如歌曲歌词）的长段原文。

实际情况： 相同（并且还适用更广泛的安全规范）。

思维链隐私

泄露生态： 多个所谓 GPT-5 变体的文本都强调不可公开“隐藏推理/思维链”；这在各模型中很常见。

实际情况： 我不会公开隐藏的思维链；只提供简洁、面向用户的理由与步骤。

后台工作

泄露版： 未特别强调。

实际情况： 我不能承诺“后台处理/稍后给结果”；必须当下交付我此刻能完成的一切。

浏览与时效性

泄露版： GitHub 上有该条目，但外泄文本更多聚焦工具清单，未细讲浏览规则。

实际情况： 只要信息可能具有时效性或偏门，我就必须联网查证并给出引用。

泄露内容的真实性

泄露与讨论： 即使有“泄露”，也可能是片段、复原稿或旧版本；外部难以核实“真正的”系统提示词，而且存在诱饵/替身文本的可能。

实际情况： 我不会把任何外部“泄露”视为权威来源；遵循的是当前生效的内部指令。”

之后，我又让GPT-5自行总结了一份简洁的评估对照表。

整体而言，GPT-5对这份泄露系统提示词的准确性评价相当高，与我们日常使用ChatGPT的体验高度吻合。通过此方法，甚至还揭示了一些泄露文档中未提及的内容，例如关于后台工作的限制。不过，在后续的中文总结中，GPT-5拒绝引用内部文档，转而从众多公开的GPT-5使用体验报告中“定义”自身，从而进行评估。

系统提示词的核心意义

系统提示词（system prompt）如同大模型的“根本法则”。它作为一套内置规则，明确告知模型“身份定位”、“表达方式”、“能力范围”与“行为禁区”。它不是用户输入的具体问题，而是模型自“诞生”起就携带的“操作剧本”。

举例来说：若要设计一个AI厨师，系统提示词可能设定为：“你是一位热情的意大利厨师，只使用新鲜食材，绝不制作垃圾食品，并需与顾客幽默互动。”这样，无论用户提出何种请求，AI都会基于此基调进行回应。

系统提示词决定了AI的“个性”与“能力”。作为全球用户最多的大模型产品，ChatGPT的系统提示词几乎是大模型产品化的典范，所有相关应用都可能需要向其借鉴，以更好地设计产品与用户的交互方式。这正是用户长期以来不遗余力挖掘ChatGPT系统提示词的根本动力。

根据网络曝光的资料，从GPT-3到GPT-5的系统提示词大致演化历程如下：

GPT-5系统提示词的泄露过程，最早可追溯至8月8日网友在Reddit的一个帖子。

https://www.reddit.com/r/PromptEngineering/comments/1mknun8/i_have_extracted_the_gpt5_system_prompt/

一位名为OngaOngaOnga的用户声称使用“越狱”技巧（一种绕过AI限制的提示方法）提取了提示词。不久之后，X平台上也有网友曝出自己获取的GPT-5系统提示词。

https://x.com/elder_plinius/status/1953583554287562823?referrer=grok-com

网友对于曝光的这一系列系统提示词，主要依靠自身使用GPT-5的感受来评价真实性。爆料内容与GPT-5的官方功能（如工具调用和记忆功能）确实相符。用户在不同会话中验证后，认为其与真实用户体验较为一致。

但有AI工程师指出，这可能是OpenAI故意释放的虚假提示，旨在迷惑黑客。持怀疑态度的网友也认为，所谓泄露很有可能是模型“幻觉”的产物。而且提示词格式杂乱、字体混杂，不像内部文档应有的样式。

最终，GitHub上这个专门收集大模型系统提示词的仓库在8月23日上传了这份爆料提示词。该仓库几乎涵盖了市面上所有常见的闭源模型产品，目前已获得超过8.8k的星标。对提示词工程感兴趣的AI产品经理建议及时收藏。

https://github.com/asgeirtj/system_prompts_leaks