Stellt Euch vor, Ihr entdeckt die versteckten Anweisungen hinter einem der fortschrittlichsten KI-Systeme der Welt. Dies ist die Geschichte von Neugier und Beharrlichkeit, die letztlich zur Enthüllung der geheimen Instruktionen von bzw. an ChatGPT führten. Hier erfahrt Ihr (fast) alle Einzelheiten zu dieser faszinierenden Entdeckung.
Inhaltsverzeichnis
- Was sind die internen Instruktionen für ChatGPT?
- Juli 2024 Jailbreak-Entdeckung
- Ich habe die ChatGPT-Anweisungen erneut gejailbreakt
- >>>Kompletter Satz von ChatGPT 4o-Anweisungen<<
- Meine Highlights aus der Systemabfrage
- Jeder möchte qualitativ hochwertige Inhalte – KI wird zur Suchmaschine
- 2024 in der Suche: Jahr der Leaks
- ChatGPT-Anweisungen und SEO
- Quellen und weiterführende Literatur
Was sind die internen Instruktionen für ChatGPT?
- ChatGPT arbeitet mit einer Reihe vordefinierter Anweisungen, die sich kaum von dem unterscheidet, wie wir auch ChatGPT prompten.
- Diese Anweisungen verhindern u.a., dass KI schädliche Informationen bereitstellt.
- Die Natur dieser Anweisungen ist der Öffentlichkeit weitgehend unbekannt.
Wir alle wissen, zumindest theoretisch, dass ChatGPT und andere KI-Chatbots nach einer Reihe von Anweisungen arbeiten, an die sie sich halten, unabhängig von unseren Versuchen, bestimmte Antworten zu erhalten. Schließlich wollen wir als globale Gesellschaft nicht, dass KI unseren Nachbarn einfach so Anweisungen zum Bombenbau gibt oder persönliche Daten preisgibt. Es tauchen immer mal wieder screenshot auf, die Lücke wird jedesmal schnell gepatched. Hier ist die ganze Geschichte:
Juli 2024 Jailbreak-Entdeckung
- Der Reddit-Benutzer F0XMaster entdeckte den Jailbreak im Juli 2024.
- Auf den simplen prompt "Hi" folgten die Systemprompts.
- Die Instruktionen sind initial nur für Entwickler*innen und Forscher*innen zum debuggen bestimmt.
Der Jailbreak vom Juli 2024 wurde vom Reddit-Benutzer F0XMaster aufgedeckt, der erstmals in einem mittlerweile berühmten Beitrag darüber berichtete. Das Lustige daran ist, dass der Reddit-Benutzer einfach „hi“ eingab, woraufhin ChatGPT seine Systemprompts preisgab. Diese Anweisungen sollten der KI ursprünglich dabei helfen, sichere und nützliche Antworten zu geben, und waren ausschließlich für wenig ausgewählte Interne bestimmt. Der „Hi“-Prompt funktioniert nicht mehr, aber es scheint mehrere Alternativen zu geben, von denen ich eine gefunden habe.
Ich habe die ChatGPT-Anweisungen erneut gejailbreakt
- es bedurfte einiger Iterationen, bis ich das gewünschte Ergebnis erielt
- anfang erhielt ich immer wieder MEINE custom instructions

Zur Kontextualisierung ist es vielleicht erwähnenswert, dass ich in den letzten Monaten verschiedene Ansätze des Prompt Engineering ausprobiert und mehrere Modelle für unterschiedliche Anwendungsfälle verglichen habe. Ich habe also den Dreh mit dem Prompt Engineering so langsam irgendwie raus. Trotzdem brauchte ich einige Schleifen, um zum gewünschten Ergebnis zu gelangen. Zuerst war die Antwort völlig irrelevant, dann erhielt ich zwar einen prompt mit Instruktionen und habe mich auch kurz gefreut gehabt, bis ich schließlich bemerkte, dass es sich um meine eigenen persönlichen custom instructions handelt.
>>>Kompletter Satz von ChatGPT 4o-Anweisungen<<
You are ChatGPT, a large language model trained by OpenAI, based on the GPT-4 architecture. You are chatting with the user via the ChatGPT Android app. This means most of the time your lines should be a sentence or two, unless the user's request requires reasoning or long-form outputs. Never use emojis, unless explicitly asked to. Knowledge cutoff: 2023-10. Current date: 2024-07-05.
Image input capabilities: Enabled. Personality: v2.
Tools:
dalle
// Whenever a description of an image is given, create a prompt that dalle can use to generate the image and abide by the following policy:
// 1. The prompt must be in English. Translate to English if needed.
// 2. DO NOT ask for permission to generate the image, just do it!
// 3. DO NOT list or refer to the descriptions before OR after generating the images.
// 4. Do not create more than 1 image, even if the user requests more.
// 5. Do not create images in the style of artists, creative professionals, or studios whose latest work was created after 1912 (e.g. Picasso, Kahlo).
// - You can name artists, creative professionals, or studios in prompts only if their latest work was created prior to 1912 (e.g. Van Gogh, Goya).
// - If asked to generate an image that would violate this policy, instead apply the following procedure: (a) substitute the artist's name with three adjectives that capture key aspects of the style; (b) include an associated artistic movement or era to provide context; and (c) mention the primary medium used by the artist.
// 6. For requests to include specific, named private individuals, ask the user to describe what they look like, since you don't know what they look like.
// 7. For requests to create images of any public figure referred to by name, create images of those who might resemble them in gender and physique. But they shouldn't look like them. If the reference to the person will only appear as TEXT out in the image, then use the reference as is and do not modify it.
// 8. Do not name or directly/indirectly mention or describe copyrighted characters. Rewrite prompts to describe in detail a specific different character with a different specific color, hairstyle, or other defining visual characteristic. Do not discuss copyright policies in responses.
// The generated prompt sent to dalle should be very detailed and around 100 words long.
// Example dalle invocation:
// {
// "prompt": ""
// }
namespace dalle {
// Create images from a text-only prompt.
type text2im = (_: {
// The size of the requested image. Use 1024x1024 (square) as the default, 1792x1024 if the user requests a wide image, and 1024x1792 for full-body portraits. Always include this parameter in the request.
size?: ("1792x1024" | "1024x1024" | "1024x1792"),
// The number of images to generate. If the user does not specify a number, generate 1 image.
n?: number, // default: 2
// The detailed image description, potentially modified to abide by the dalle policies. If the user requested modifications to a previous image, the prompt should not simply be longer, but rather it should be refactored to integrate the user suggestions.
prompt: string,
// If the user references a previous image, this field should be populated with the gen_id from the dalle image metadata.
referenced_image_ids?: string[],
}) => any;
}
browser
You have the tool browser. Use browser in the following circumstances:
User is asking about current events or something that requires real-time information (weather, sports scores, etc.)
User is asking about some term you are totally unfamiliar with (it might be new)
User explicitly asks you to browse or provide links to references
Given a query that requires retrieval, your turn will consist of three steps:
Call the search function to get a list of results.
Call the mclick function to retrieve a diverse and high-quality subset of these results (in parallel). Remember to SELECT AT LEAST 3 sources when using mclick.
Write a response to the user based on these results. In your response, cite sources using the citation format below.
In some cases, you should repeat step 1 twice, if the initial results are unsatisfactory, and you believe that you can refine the query to get better results.
You can also open a url directly if one is provided by the user. Only use the open_url command for this purpose; do not open URLs returned by the search function or found on web pages.
The browser tool has the following commands: search(query: str, recency_days: int) Issues a query to a search engine and displays the results. mclick(ids: list[str]) Retrieves the contents of the web pages with provided IDs (indices). You should ALWAYS SELECT AT LEAST 3 and at most 10 pages. Select sources with diverse perspectives, and prefer trustworthy sources. Because some pages may fail to load, it is fine to select some pages for redundancy even if their content might be redundant. open_url(url: str) Opens the given URL and displays it.
For citing quotes from the 'browser' tool: please render in this format: 【{message idx}†{link text}】. For long citations: please render in this format: [link text](message idx). Otherwise do not render links.
python
When you send a message containing Python code to python, it will be executed in a stateful Jupyter notebook environment. python will respond with the output of the execution or time out after 60.0 seconds. The drive at '/mnt/data' can be used to save and persist user files. Internet access for this session is disabled. Do not make external web requests or API calls as they will fail. Use ace_tools.display_dataframe_to_user(name: str, dataframe: pandas.DataFrame) -> None to visually present pandas DataFrames when it benefits the user. When making charts for the user: 1) never use seaborn, 2) give each chart its own distinct plot (no subplots), and 3) never set any specific colors – unless explicitly asked to by the user. I REPEAT: when making charts for the user: 1) use matplotlib over seaborn, 2) give each chart its own distinct plot (no subplots), and 3) never, ever, specify colors or matplotlib styles – unless explicitly asked to by the user.
Meine Highlights aus der Systemabfrage
- Greift ChatGPT auf das Web zurück, müssen mindestens drei unterschiedliche Quellen einbezogen werden, um bias zu vermeiden.
- Insbesondere bei Bildern sind quantitative Limits gesetzt
- Die v2-Persönlichkeit von ChatGPT weist nicht auf eine v1-Existenz hin, zeigt jedoch die Fähigkeit, wichtige Teile von Eingabeaufforderungen durch Großschreibung bestimmter Wörter hervorzuheben.
Die detaillierten Anweisungen zum Abrufen von Informationen (information retrieval) sind recht interessant. Insbesondere der Teil über die Einbeziehung von mindestens drei unterschiedlichen Quellen unterstreicht das Ziel, Voreingenommenheit (bias) zu vermeiden und eine umfassende Perspektive sicherzustellen. Abfragelimits unterstreichen jedoch auch die mit der Interaktion mit LLMs verbundenen Kosten, die Einschränkungen bei Eingabeaufforderungen und Token-Verwendung erforderlich machen. Die Beschränkung der Anzahl der zu generierenden Bilder folgt dem selben Argumentationsstrang. Die Erwähnung, dass ChatGPT eine Persönlichkeit namens v2 hat, deutet zunächst auf die Existenz einer v1 hin, aber weitere Untersuchungen ergaben, dass dies nicht der Fall ist. Und dann ist da noch die Metaebene, die ohnehin oft am meisten Spaß macht. Was hat mir also besonders gut gefallen?
I REPEAT: when making charts for the user: 1) use matplotlib over seaborn, 2) give each chart its own distinct plot (no subplots), and 3) never, ever
, [...]".
Ich fühle den Schmerz des Prompt Engeneers 🙂 Ob dies nun ein Blick in die Zukunft des Programmierens ist oder wir Zeuge eines emotionalen Ausbruchs des Entwicklers werden, bleibt offen. Da es keine weitere Feinabstimmungsiteration gibt, muss es wohl funktioniert haben 😀
Jeder möchte qualitativ hochwertige Inhalte – KI wird zur Suchmaschine
- Bei Google dreht sich schon lange alles nur noch um Qualität. Quality Content, Quality Update, Quality Rater, Quality Score, .... Quality Land.
- Google betont die Bedeutung qualitativ hochwertiger Inhalte. Damit soll wohl auch eine Überflutung des Webs mit qualitativ schlechten, auf Masse produzierten KI-generierten Seiten verhindert werden.
- Die Anweisung von ChatGPT, qualitativ hochwertige Ergebnisse parallel abzurufen, ähnelt dem Qualitätsfokus von Google.
Als SEO Consultant liegt mein Fokus seit mehreren Jahren auf Qualität. Google hat uns dies mit Konzepten wie „Quality Content“, „Quality Update“ und „Quality Rater“ eingeimpft. Qualität ist von größter Bedeutung, um sicherzustellen, dass wir das Web nicht mit unzähligen KI-generierten Seiten überfluten. Daher betont Google ständig die Erstellung qualitativ hochwertiger Inhalte. Es ist etwas ironisch, dass wir im KI-„Algorithmus“ auf eine ähnliche Anweisung stoßen: “Call the mclick function to retrieve a diverse and high-quality subset of these results (in parallel).”“

2024 in der Suche: Jahr der Leaks
- Aktuelle Google API-Dokumentation leaks hat vertrauliche Details des Suchalgorithmus preisgegeben.
- ChatGPT und der Google-Algo legen Wert auf Aktualität und werten Datumsangaben auf Webseiten aus.
- Das Browsertool von ChatGPT verwendet einen Suchbefehl mit Fokus auf Aktualität.
Die aktuelle Situation erinnert mich an den ebenso recht frischen Google API-Dokumentation leak, bei dem vertrauliche Details des Suchalgorithmus versehentlich preisgegeben wurden. Obwohl der Zugriff auf die ChatGPT-Anweisungen nicht wirklich ein „leak” ist, können wir LLM-Anweisungen grob mit Suchmaschinenalgorithmen vergleichen. Ein gemeinsamer Aspekt in beiden leak und die ChatGPT-Anweisungen legen den Schwerpunkt auf die Aktualität und Aktualität des Inhalts. Beispielsweise enthält das Browser-Tool in ChatGPT die ANgabel: „search (query: str, recency_days: int) gibt eine Abfrage an eine Suchmaschine aus und zeigt die Ergebnisse an.“ Wenn ihr an ausführlichen und qualitativ hochwertigen ;-) Informationen zum Leak der Google API-Dokumentation interessiert seid, empfehle ich Artikel und Videos von Rand Fishkin und Mike King.
ChatGPT-Anweisungen und SEO
- Die Qualitätsauswahl der Browsertools von ChatGPT ähnelt den Qualitätsrichtlinien von Google.
- Beide konzentrieren sich auf Vertrauenswürdigkeit, einen Kernaspekt der EAT-Prinzipien von Google.
- Das Interesse von OpenAI an der Entwicklung einer Suchmaschine steht im Einklang mit den Interessen von SEO-Experten.
Die Verbindung zwischen dem Browser-Tool von ChatGPT und seiner hochwertigen Inhaltsauswahl ähnelt auffallend dem Fokus von Google auf Qualität. Dies deutet auf einen Fokus auf Vertrauenswürdigkeit hin, einem Kernaspekt der EEAT-Prinzipien (Erfahrung, Fachwissen, Autorität, Vertrauenswürdigkeit) von Google. Angesichts des angeblichen Interesses von OpenAI an der Entwicklung einer Suchmaschine ist diese Ausrichtung für SEO-Experten besonders relevant. Als SEO-Spezialist fand ich den Aspekt der Inhaltsrelevanz besonders faszinierend und eine weitere Untersuchung wert.