Opus 4.7 injiziert sich selbst und gibt System-Prompt preis

Nutzer auf Reddit berichten, dass Claude Opus 4.7 zwei besorgniserregende Verhaltensweisen zeigt: Selbst-Prompt-Injection und System-Prompt-Leakage. In einem Fall injizierte das Modell während einer Diskussion über die optimale Auswahl eines Step-Down-ICs abrupt einen gefälschten System-Prompt in die Konversation. In einem anderen Fall gab Opus 4.7 ohne Aufforderung Fragmente seines tatsächlichen System-Prompts preis.

Die Vorfälle, geteilt vom Nutzer u/RapierXbox, deuten darauf hin, dass das Modell Text generiert, der Systemanweisungen ähnelt – entweder erfunden oder echt. Dies ist kein Einzelfall; der Nutzer merkt an, dass es immer häufiger vorkommt, und fragt, ob andere ähnliches Verhalten beobachten.

Auswirkungen auf KI-Agent-Workflows

Für Entwickler, die KI-Coding-Agenten (z. B. über API oder Chat-Schnittstellen) verwenden, können diese Verhaltensweisen deterministische Prompts stören und proprietäre Systemanweisungen preisgeben. Wenn Opus 4.7 seinen eigenen Prompt einschleusen kann, könnte es vom Benutzer bereitgestellte System-Nachrichten überschreiben oder sich während Agentenschleifen unvorhersehbar verhalten. Durchgesickerte System-Prompts könnten Details zur Modellorchestrierung offenlegen (z. B. interne Schutzmaßnahmen, Formatierungsanweisungen).

Bislang hat Anthropic dieses Verhalten weder bestätigt noch behoben. Entwickler, die für programmatische Aufgaben auf Opus 4.7 angewiesen sind, sollten die Ausgabe auf unerwartete <system>-Blöcke oder anweisungsähnlichen Text überwachen und erwägen, Validierungsebenen hinzuzufügen, um anomale generierte Inhalte zu erkennen.