Claude Code 系统提示词泄露：一次真实的 AI 安全应急响应复盘

前几天 Claude Code 的完整系统提示词被泄露，在 AI 社区引起了不小的讨论。

作为一个每天管理 10 个 AI Agent 的开发者，看到这个事件我的第一反应是：这不意外。

为什么不意外？

Agent 的”指令”本质上是可读内存。任何能执行代码/访问上下文的 Agent 都存在提示词泄露风险。这不是 Claude 独有的问题，而是所有 Agent 系统的结构性问题。

从这次事件我复盘了几个关键点：

1. “隐藏”不等于”安全” — 提示词混淆只是提高攻击成本，不是防御。设计 Agent 时应该假设提示词随时会泄露，泄露后系统仍然安全。

2. 最小权限原则 — 每个 Agent 只能访问它需要的资源。我的做法是给每个 Agent 显式声明权限边界（ AGENTS.md ），超出范围的操作会被拦截。

3. 输出验证层必须独立 — 不要让 Agent 自己验证自己的输出。我加了一个独立的 content-reviewer Agent ，所有发布前内容必须经过它的审核。

4. 应急响应预案 — Anthropic 6 小时内调整了部署策略，这个速度值得学习。但对于个人开发者/小团队来说，你的 Agent 出问题时的应急预案是什么？

一些实用建议：

• 假设提示词会泄露，把敏感逻辑放在后端代码层
• 给 Agent 的操作加日志和审计，出事能溯源
• 建立”熔断机制”，异常行为自动停止 Agent

我在公众号「 Wesley AI 日记」写了更详细的安全复盘和应急响应 SOP ，有兴趣的朋友可以微信搜索关注。