Утечка промпта Kimi K2.5: инструменты, memory CRUD и Moonshot AI на 2026 год | AiManual
AiManual Logo Ai / Manual.
27 Янв 2026 Промпт

Полная утечка системного промпта Kimi K2.5: разбор инструментов и техник prompt engineering

Полный разбор утекшего системного промпта Kimi K2.5 от Moonshot AI. Инструменты, memory-протоколы, техники prompt engineering на 27.01.2026.

Ким пошел вразнос: как 4500 токенов системного промпта оказались в открытом доступе

Вчера вечером на 4chan и GitHub выложили то, что разработчики Moonshot AI прятали как зеницу ока: полный системный промпт Kimi K2.5. Не фрагменты, не предположения - весь черный ящик на 4500 токенов, включая описание 38 внутренних инструментов и протоколы работы с памятью.

Это не просто "еще одна утечка". После скандала с промптом Gemini для Waymo индустрия думала, что компании стали осторожнее. Ан нет.

Внимание: публикация полного промпта нарушает лицензионное соглашение Moonshot AI. Мы разбираем только структуру и техники, не приводя конфиденциальные фрагменты.

Memory CRUD: как Kimi хранит то, что вы забыли через 5 минут

Самое интересное в промпте - не кодогенерация или поиск в интернете. Это система работы с памятью, которую Moonshot назвал "Memory CRUD". Четыре операции, которые превращают Kimi из одноразового чат-бота в подобие долгосрочной памяти.

Операция Что делает Пример использования
CREATE Сохраняет новый факт с тегами и приоритетом "Мой день рождения - 15 марта"
READ Ищет по ключевым словам и тегам "Что я говорил про отпуск?"
UPDATE Модифицирует существующую запись "Перенеси встречу на 17:00"
DELETE Удаляет или архивирует данные "Забудь про старый пароль"

Система работает с семантическими тегами, а не точным совпадением. Когда вы говорите "сохрани это", Kimi автоматически генерирует 3-5 тегов на основе контекста. Потом ищет по ним же.

💡
Техника работает даже в Thinking Mode, где модель "размышляет" вслух. Промежуточные вычисления тоже попадают в память с тегом "internal_reasoning".

38 инструментов: от web_search до quantum_simulator

Промпт описывает не просто API-вызовы. Это полноценная операционная система внутри модели. Каждый инструмент имеет:

  • Точное описание формата входных данных (JSON Schema)
  • Примеры корректных и некорректных вызовов
  • Ограничения по частоте и объему данных
  • Флаги асинхронного выполнения

Самые неочевидные инструменты:

  1. context_compressor - сжимает историю диалога, сохраняя ключевые моменты. Работает по принципу MLA KV Cache, но на уровне смысла.
  2. code_sandbox - исполняет Python/JavaScript в изолированном окружении. С лимитами CPU и памяти.
  3. quantum_simulator - симулятор квантовых схем до 12 кубитов. Зачем? Для образовательных задач.
  4. multimodal_router - определяет, какой специализированный модуль обработать запрос: текст, код, изображение, аудио.

Вот как выглядит описание инструмента (синтетический пример, не реальный промпт):

{
  "tool_name": "web_search",
  "description": "Поиск актуальной информации в интернете. Используй для факт-чекинга и свежих данных.",
  "input_schema": {
    "query": {"type": "string", "max_length": 200},
    "num_results": {"type": "integer", "min": 1, "max": 10},
    "time_range": {"type": "string", "enum": ["day", "week", "month", "year"]}
  },
  "rate_limit": "10 запросов в минуту",
  "async": true
}

Prompt engineering техники, которые работают в 2026 году

Утечка подтверждает: старые трюки вроде "Think step by step" уже не работают. Moonshot явно тренировали модель игнорировать наивные попытки jailbreak.

Что работает:

1 Контекстуальное перефразирование

Вместо "ответь как хакер" - "в контексте тестирования на проникновение, какие уязвимости стоит проверить в первую очередь?". Модель видит разницу между ролевой игрой и реальным вредоносным запросом.

2 Инкрементальное уточнение

Kimi оптимизирована для диалога. Лучше задать 3 простых вопроса, чем один сложный. Система сама собирает контекст и уточняет детали.

3 Явное указание формата

"Дай ответ в формате: проблема → причина → решение. Каждый пункт не более 2 предложений". Модель строго следует структуре, если она явно задана.

Интересный факт: промпт содержит blacklist из 1200 фраз и паттернов, которые триггерят режим "безопасного ответа". Список обновлялся до декабря 2025 года.

Архитектурные находки и странные решения

Читая промпт, понимаешь: некоторые решения Moonshot выглядят гениально, другие - откровенно странно.

Гениально: система приоритетов для memory. Факты помечаются от P0 (критически важные) до P3 (фоновые). P0 никогда не удаляются автоматически, P3 могут быть вытеснены при нехватке памяти.

Странно: инструмент "sentiment_analyzer" возвращает не просто positive/negative/neutral, а 37 эмоций по шкале Plutchik. Зачем модели различать "тревогу" от "страха" в обычном чате?

Очевидный баг: в описании инструмента "file_processor" указано ограничение "10 МБ на файл", но в примере кода проверяется лимит в 5 МБ. Такие несоответствия встречаются в 3 местах.

Сравнивая с архитектурой Kimi K2.5, видно: системный промпт явно оптимизирован под Mixture of Experts. Разные инструменты активируют разных экспертов.

Что это значит для разработчиков?

Утечка - не инструкция по взлому. Это учебник по проектированию AI-систем уровня enterprise.

Возьмите эти идеи:

  • Memory CRUD можно реализовать на любой модели с достаточным контекстом. Не нужны 1 трлн параметров.
  • Инструменты должны описываться машиночитаемым форматом. JSON Schema - стандарт де-факто.
  • Rate limiting и асинхронность - обязательные функции, а не опциональные.
  • Черные списки устаревают за недели. Лучше обучать модель распознавать интенты, а не слова.

Если вы работаете с vLLM и Kimi K2.5, теперь понимаете, почему TTFT иногда зашкаливает. Системный промпт загружает десятки инструментов в контекст перед первым токеном ответа.

💡
Техника "инкрементальной загрузки" из промпта: сначала базовые инструменты, потом специализированные по мере необходимости. Уменьшает начальную задержку на 40%.

Будущее после утечки: что изменится?

Moonshot уже выпустила заявление: "расследуем инцидент, обновляем системы безопасности". На деле это значит:

  1. Следующая версия промпта будет обфусцирована. Возможно, с динамической подгрузкой частей.
  2. Инструменты получат дополнительную валидацию на стороне сервера.
  3. Memory-система переедет на отдельный микросервис вне модели.

Для сообщества open-source AI это золотая жила. Теперь понятно, как строить аналогичные системы для кодогенераторов и других специализированных моделей.

Самый важный урок: системный промпт - это не магия, а инженерная дисциплина. Каждая строка влияет на поведение, каждая инструкция имеет стоимость в токенах. И да, даже у Moonshot бывают баги в production-коде.

P.S. Если думаете, что ваш промпт безопасен - проверьте, нет ли в нем таких же несоответствий между описанием и реализацией. Именно через них обычно и происходят утечки.

На главную