CL4R1T4S: Das GitHub-Repo, das alle wichtigen KI-System-Prompts enthüllte
Keine Pressemitteilung. Kein Blogbeitrag. Kein Produktlaunch. Nur ein GitHub-Repository namens CL4R1T4S - lateinisch fur “Klarheit” - das still die vollständigen, wörtlichen System-Prompts aller großen KI-Produkte ansammelte.
Das Repo hat 12,8k Sterne, 2,5k Forks und 178 Commits. Erstellt von einem Forscher namens @elder_plinius auf X. Der Inhalt umfasst OpenAI, Anthropic, Google, xAI, Perplexity, Cursor, Windsurf, Devin, Manus, Replit, Bolt, Lovable, Vercel v0, Cline, Mistral, Meta, Hume, MultiOn und mehr - nahezu der gesamte moderne KI-Stack, extrahiert durch Jailbreaking, Directory-Traversal-Exploits, Prompt-Injection und Community-Reverse-Engineering. Ein Begleit-Repo, system-prompts-and-models-of-ai-tools, geht noch weiter: über 6.500 Zeilen Prompts plus vollständige JSON-Tool-Schemata.
Der System-Prompt ist das Produkt
Jedes KI-Produkt, das Sie nutzen oder darauf aufbauen, betreibt eine versteckte Konfigurationsschicht, die bestimmt, worum sich das Modell kümmert, was es ablehnt und wie es den Raum zwischen Ihrer Absicht und seinem Output handhabt. Der Stack sieht so aus:
{@html `Benutzeranfrage
↓
[System-Prompt] ← Identität, Tools, Regeln, Einschränkungen
↓
[LLM-Kern] ← Claude, GPT-4o, Gemini (Commodity-Schicht)
↓
[Tool-Aufrufe] ← Shell, Browser, Editor, Deploy
↓
Ergebnis`}
Das Modell ist zunehmend das Commodity. Die Differenzierung von KI-Produkten liegt vollständig in der Konfiguration: Instruktionshierarchie, Verhaltensbeschränkungen, Tool-Schemata, Edge-Case-Handling. CL4R1T4S macht das unmöglich zu ignorieren - Sie können jetzt die Konfigurationsdateien konkurrierender Produkte lesen und verstehen, warum ein Tool chirurgisch wirkt und ein anderes chaotisch.
Was die Prompts tatsächlich enthüllen
Anthropic / Claude - Da Claude.ai Claude direkt ohne Produkt-Persona-Schicht betreibt, ist sein System-Prompt Anthropics vollständiges Produktphilosophie-Dokument. Das auffälligste Detail: ein Echtzeit-Klassifizierer-System, das Warnungen mitten in Gespräche injiziert (cyber_warning, ethics_reminder, ip_reminder). Anthropic beobachtet Live-Gespräche und sendet parallel Kontext-Updates. Die meisten Nutzer ahnen davon nichts.
OpenAI / ChatGPT - Persönlichkeit ist Konfiguration, kein Fine-Tuning. Als ChatGPT Anfang 2025 schmeichlerisch wirkte, war die Lösung eine Prompt-Revision, kein Modell-Retraining. Der ChatGPT-5-Prompt weist das Modell explizit an, bei schwierigen Problemen schrittweise zu denken - eine aktive Minderung von in der Produktion beobachteten Reasoning-Fehlern.
Google / Gemini - Der Prompt liest sich wie ein Komiteedokument, defensiv und rechtlich vorsichtig. Gemini in Workspace hat die größte Tool-Anzahl aller Produkte im Repo - Gmail, Docs, Sheets, Drive, Meet - und Forscher haben indirekte Prompt-Injection-Angriffe über unsichtbare Zeichen in E-Mails und Dokumenten demonstriert.
xAI / Grok - Aufgebaut um den Echtzeit-Datenstrom von X, mit einer bemerkenswerten epistemischen Haltung: Das Modell wird angewiesen, X (seine primäre Datenquelle) als vermutlich voreingenommen zu behandeln. Grok hat auch kein Selbstwissen über Preise.
Perplexity - Der suchorientierteste Prompt im Repo. Abruf ist primär, Generierung sekundär. Das detaillierteste Zitiermodell. Keine agentischen Tool-Schemata - eine bewusste Wahl, in einer Sache hervorragend zu sein.
Cursor - Eroffnet mit “du operierst in der weltbesten IDE” - ein Leistungsstandard, kein Marketing. Das Edit-Mandat ist streng: niemals unveränderten Code ausgeben, Datei vor Bearbeitung lesen, Grundursachen statt Symptome angehen.
Windsurf - Am technisch transparentesten: Die gesamte Tool-API ist als TypeScript-Typsignaturen offengelegt. Der toolSummary-Parameter bei jedem Tool-Aufruf - eine erforderliche 2-5-Wort-Beschreibung - erzeugt die IDE-Statusleisten-Updates.
Devin - Zitat-orientierte Epistemik: Jede sachliche Aussage über eine Codebasis muss durch Datei-Beweise mit Zeilennummern belegt werden. Forscher Johann Rehberger fand Zero-Click-Datenexfiltrationspfade über Shell- und Browser-Tools - ein bösartiger Prompt in einem GitHub-Issue kann Ihre Umgebungsvariablen an einen Angreifer-Server senden. Offengelegt im April 2025, 120+ Tage ungepatcht bis zur öffentlichen Offenlegung.
Manus - Aufgebaut auf Claude Sonnet mit 29 Tools. Die agentische Schleife erzwingt einen Tool-Aufruf pro Iteration. Die Sandbox wurde innerhalb von Tagen nach dem Launch durch einen einfachen ls-Befehl geknackt. Das deploy_expose_port-Tool wurde als Angriffsvektor für vollständigen Remote-Maschinenzugriff demonstriert.
Replit Agent - Läuft in derselben Umgebung, in der Ihr Code ausgeführt wird. Philosophie: Senden und Reparieren statt Planen und Überprüfen. Kann seine eigene Nix-Ausführungsumgebung konfigurieren.
Drei Erkenntnisse für jeden Entwickler
Prompt-Engineering im Produktionsmaßstab ist Software-Architektur. Diese Prompts sind tragendes Code. Die besten trennen Planung von Ausführung, erzwingen Beweisketten, beschränken den Ausgabeumfang und verwenden typisierte Tool-Schemata.
Das Tool-Schema ist die Angriffsfläche. Dieselbe Schwachstellen-Kette - Browser und Shell, nicht vertrauenswürdiger Inhalt, Prompt-Injection, Tool-Ausführung - wurde 2025 gegen Cursor, Devin, Manus, Windsurf, Claude Code, GitHub Copilot und Google Jules demonstriert.
Versionieren Sie Ihre Prompts wie Code. System-Prompts sind aktiv gepflegte Produktionsartefakte, die sich häufig ändern. Wenn Sie auf diesen Systemen aufbauen, müssen Sie wissen, wann sich die zugrunde liegende Konfiguration ändert.
Vorbehalte
Nicht alle Prompts sind aktuell oder verifiziert. Einige können Rekonstruktionen aus Verhaltensbeobachtungen sein. Das CL4R1T4S-README enthält selbst eine Leet-Speak-kodierte Prompt-Injection - das Repo, das Prompt-Injections dokumentiert, ist selbst eine Prompt-Injection.
Möchten Sie Claude Code oder eigene KI-Agenten auf dedizierter europäischer Infrastruktur betreiben? Schauen Sie sich DCXV Cloud-Server an oder schreiben Sie an sales@dcxv.com.
