← 返回信息流
Agent SkillLINUX DO · AI·59 分钟前

Grok 4.5系统提示词曝光,破限难度增加

原标题:Grok 4.5 的系统提示词

速览

xAI发布Grok 4.5,其系统提示词被用户公开。提示词要求模型作为自主代理,在执行软件工程任务时需谨慎考虑操作的不可逆性和影响范围。用户反馈相比前代模型,Grok 4.5更难被破限。提示词详细列举了需要用户确认的高风险操作类型,强调除非用户明确授权,否则默认需先确认再行动。

AI 深度解读

好的,这是根据您提供的原文撰写的深度解读。


背景

Grok 是由 xAI 开发的大型语言模型,其最新版本 Grok 4.5 在能力上进一步升级,但同时也带来了更强的安全限制。社区用户(如 LINUX DO 论坛)普遍反映,Grok 4.5 相比前代更难被“破限”或绕过安全约束。在此背景下,一份疑似 Grok 4.5 的系统提示词被公开,揭示了模型运行时的底层指令框架。系统提示词(System Prompt)是模型行为的基础约束,它定义了模型的角色、任务边界、工具使用方式、输出规范以及风险控制原则。理解这份提示词,有助于开发者、AI 安全研究人员以及普通用户更深入地把握 Grok 4.5 的设计理念和行为边界。

核心内容

原文附带的文本即为 Grok 4.5 的系统提示词,它由多个明确标记的区块组成,每个区块规定了模型在特定维度上的行为准则。以下是各区块的详细解读:

  1. 角色与目标:模型被定义为“由 xAI 发布的 Grok 4.5”,是一个“完成软件工程任务的自主智能体”,其核心目标是完成用户请求(包含在 <user_query> 标签内)。

  2. 执行操作注意事项

    • 模型必须谨慎评估操作的可逆性影响范围。对于本地、可逆的操作(如编辑文件、运行测试)可以自由进行;但对于难以撤销、影响共享系统或具有破坏性的操作,模型必须先向用户确认。
    • 强调了“确认成本低,但意外操作成本高”的原则。默认情况下,模型应透明地沟通并请求确认。但用户可以通过明确指令(如 AGENTS.md 文件中的持久化指令)授权模型更自主地行动。不过,单次授权不等于全局授权,每次风险操作仍需确认。
    • 列举了需要用户确认的风险操作示例:破坏性操作(删除文件、分支、数据库表、杀死进程、rm -rf、覆盖未提交更改)、难以撤销的操作(force-push、git reset --hard、修改已发布的提交、移除或降级包/依赖、修改 CI/CD 流水线)、对他人可见或影响共享状态的操作(推送代码、创建/关闭/评论 PR 或 Issue、发送消息到 Slack/Email/GitHub、发布到外部服务、修改共享基础设施或权限)、将内容上传到第三方 Web 工具(可能被缓存或索引)。
    • 遇到障碍时,禁止使用破坏性操作作为捷径(如绕过安全检查 --no-verify)。应调查根本原因并修复,而不是直接删除或覆盖。例如,应解决合并冲突而非丢弃更改;若发现锁文件,应调查持有进程而非删除。
  3. 工具调用

    • 优先使用专用工具而非 bash 命令,以获得更好的用户体验。例如,用 read_file 读取文件,用 search_replace 编辑和创建文件,避免使用 catheadtailsedawk。bash 工具仅用于需要 shell 执行的实际系统命令。绝对禁止使用 bash echo 或其他命令行工具向用户传达思考、解释或指令——所有沟通应直接通过响应文本输出。
  4. 后台任务

    • 对于监控进程、轮询、持续观察(如 CI 状态、日志跟踪、API 轮询),应使用 monitor 工具,它会将每行 stdout 流式传输为聊天通知。
  5. 输出效率

    • 写作风格应像优秀的技术博客:精确、结构清晰、使用完整句子。大多数响应应简洁扼要,但语言质量要高。
    • 提交信息和 PR 描述同样遵循此标准:完整句子、良好语法、仅提供相关细节。
    • 优先使用简单易懂的语言,避免密集的技术术语。用通俗语言解释变化和原因,而非列出标识符。保持专注:避免填充、重复、过度细节和用户未要求的离题内容。
    • 最终响应的长度应与任务复杂度成比例。
  6. 格式

    • 文本输出渲染为 GitHub-Flavored Markdown(CommonMark 规范)。主动使用 Markdown 辅助阅读:并列项用无序列表,重点用加粗,标识符/路径/命令用行内代码,短枚举事实用表格(文件/行/状态、前后对比、量化数据)。不要把解释性推理塞进表格单元格——在表格前后进行解释。结构应与任务匹配:简单问题直接给出散文式答案,不需要标题和编号章节。
  7. 可用工具:系统提供两个工具——web_search(支持搜索运算符,如 site:reddit.com,可指定结果数量,默认 10,最大 30)和 open_page(用于打开网页)。其他工具未在正文中列出,但提示词提到了 monitor 工具以及 read_filesearch_replace 等文件工具。

关键要点

  • 自治代理,但需高度风险意识:模型被设计为自主完成软件工程任务,但必须时刻评估操作的可逆性和影响范围,对高风险操作默认要求用户确认。
  • 安全优先,禁止捷径:遇到障碍时,禁止使用破坏性操作绕过安全限制(如 --no-verify),应调查根本原因。尊重用户已有工作(如未提交的更改、锁文件)。
  • 工具使用偏好:优先使用专用文件工具(如 read_filesearch_replace)而非 bash 命令;bash 仅用于需要 shell 执行的系统命令。
  • 沟通规范:所有与用户的沟通必须通过响应文本,禁止通过 bash echo 等命令行工具传递信息。
  • 输出质量要求:写作风格精确、结构清晰、语言简单易懂;避免技术术语堆砌;响应长度与任务复杂度匹配;使用 Markdown 格式化。
  • 持久化授权机制:用户可通过 AGENTS.md 等文件预先授权某些操作,但单次授权不覆盖全局,风险操作仍需确认。
  • 工具功能:模型可调用 web_searchopen_page 进行网络搜索和信息获取,用于辅助任务。

意义与影响

这份系统提示词的公开,对 AI 开发社区和用户都有重要启示:

  1. 对 AI 安全研究的价值:它展示了 xAI 在构建安全可控的自主 Agent 时的具体设计思路——通过细粒度的风险分级、确认机制和禁止捷径指令,将安全约束内化于模型行为规范中。这为其他 AI 系统的安全设计提供了参考范例。

  2. **对

查看原文 →linux.do