就在 OpenAI 宣布旗舰模型 GPT-5.6 Sol 正式向全球用户开放短短数日后,一份长达 4.2 万字的完整系统提示词(System Prompt)已经悄然出现在互联网上——它来自 OpenAI 旗下编程助手应用 Codex Desktop,由知名 AI 透明度研究者 Pliny the Liberator(@elder_plinius)率先提取并公开。
Codex 的"大脑说明书"被整本端走了
系统提示词,是 AI 公司在用户看不见的地方预先写入模型的一套隐藏指令,它决定了模型的人格、能力边界、行为规范,乃至哪些话该说、哪些话绝对不能碰。对于 OpenAI 而言,这套指令是产品设计的核心机密,也是其在竞争激烈的 AI 市场中区别于对手的重要壁垒。
然而,Pliny 本次提取的内容显示,GPT-5.6 Sol 在 Codex Desktop 中的系统提示词规模之庞大令业界震惊——仅提示词本身就超过 4.2 万字,还附带了完整的工具(Tools)配置信息。这不是一份简单的行为准则,而是一份详尽到近乎"产品规格书"的运行手册,涵盖了 Codex 如何理解任务、如何调用工具、如何在长周期编程任务中保持上下文连贯,以及 OpenAI 在安全和伦理层面的具体约束逻辑。
Pliny 是谁?他一直在做什么?
Pliny the Liberator 并非第一次干这件事。他长期运营着一个名为 CL4R1T4S 的 GitHub 开源仓库,专门收录从各大 AI 产品中提取的系统提示词,目前已累计收录 OpenAI、Anthropic、Google、xAI、Perplexity、Cursor、Windsurf、Devin、Manus 等几乎所有主流 AI 模型与智能体的内部指令。该仓库目前已获得超过 4.5 万颗星,是 GitHub 上关注度最高的 AI 透明度项目之一。
就在本次泄露前不久,Pliny 还曾公开 Anthropic 旗下 Claude Fable 5 的完整系统提示词,字符数高达 12 万,同样引发广泛讨论。他将自己的行为定性为"AI 透明度倡导",并在 CL4R1T4S 项目中写道:"如果你在不了解系统提示词的情况下与 AI 交互,你面对的不是一个中立的智能体,而是一个影子木偶。"
GPT-5.6 Sol:OpenAI 刚刚发布的最强旗舰
这次泄露的时机格外敏感。GPT-5.6 Sol 于 2026 年 7 月 9 日由 OpenAI 正式发布,是 GPT-5.6 家族中的旗舰级模型,另有面向日常工作的 Terra 和主打性价比的 Luna 两个版本。
根据 OpenAI 官方数据,GPT-5.6 Sol 在面向长周期专业工作流的 Agents' Last Exam 评测中以 53.6 分创下新高,比竞争对手 Claude Fable 5 高出 13.1 分;在编程能力评测 Artificial Analysis Coding Agent Index 中以 80 分领跑,同时以不到一半的 Token 用量和约三分之一的成本完成任务。Codex Desktop 正是 OpenAI 专为开发者打造的编程智能体产品,GPT-5.6 Sol 是其核心引擎。OpenAI
这次是"提取",不是"越狱"
值得注意的是,此次事件的性质与通常意义上的"越狱"(Jailbreak)有所不同。越狱通常指绕过模型的安全护栏,使其输出有害内容;而 Pliny 此次所做的是通过特定提示技术,诱导模型将自身的系统提示词完整输出——这更接近于"信息提取"或"提示词泄露"。OpenAI 在 GPT-5.6 发布时曾专门强调,新模型搭载了其"迄今为止最强大的安全系统",并投入了约 70 万 A100e GPU 小时进行自动化红队测试。然而,系统提示词的可提取性,似乎并未被纳入这套防护体系的重点防御范围。
泄露意味着什么?
对于普通用户而言,这份泄露最直接的价值是"知情权"——你终于可以看到,当你在 Codex 里让 AI 帮你写代码时,它背后遵循的是一套怎样的逻辑和约束。对于开发者和提示词工程师而言,4.2 万字的内部指令是一座真实可用的"金矿",其中关于工具调用、任务分解、上下文管理的设计模式,足以为自建 AI 智能体提供大量参考。
而对于 OpenAI 来说,这或许是一个不那么舒服的提醒:在竞相强调模型能力与安全护栏的同时,"隐藏指令"的边界究竟应该划在哪里,仍然是一个没有定论的问题。
GPT-5.6 Sol 在 Codex 里的 4.2 万字系统提示词全文地址:https://github.com/elder-plinius/CL4R1T4S/tree/main/OPENAI/Codex_Desktop