Manus 被破解？系统提示词、背后大模型及官方回应全曝光

almosthuman2014 · 2025 年3 月 10 日 18:08

热门AI Agent Manus遭破解，泄露系统提示词和底层模型信息，官方已回应，强调多智能体和安全隔离。

原文标题：Manus被破解了？曝出系统提示词和背后大模型，CTO也回复了

原文作者：机器之心

原文链接： http://mp.weixin.qq.com/s?__biz=MzA3MzI4MjgzMw==&mid=2650958987&idx=2&sn=8edc0131ce524e529317e8684792e299&

冷月清谈：

通用 AI Agent 产品 Manus 近期走红，因其能完成文件处理、数据分析、代码编写等多种任务。本文主要介绍了 Manus 被破解事件，一位 X 用户通过简单指令使其泄露了系统信息和运行时代码，暴露出其基于 Claude Sonnet 构建，并使用了 29 种工具辅助任务，但没有配备多智能体功能。随后，Manus 联合创始人季逸超回应称，每个会话都有独立沙盒，代码仅轻度混淆，且多智能体是其关键功能。他还透露 Manus 使用了 Claude 和 Qwen 微调版本，并计划开源更多内容。此外，文中还引用了网友对该事件的评论，以及对 AI 安全性的讨论。

怜星夜思：

1、Manus 的破解事件，对其他 AI 产品的安全性有哪些警示？
2、Manus 团队提到了开源传统，并计划开源更多内容。你认为 AI 技术的开源对于行业发展有哪些利弊？
3、Manus 使用了 Claude 和 Qwen 微调版本，你认为当前大模型在 Agent 领域的应用前景如何？

原文内容

机器之心报道

机器之心编辑部

最近几天，一个叫「Manus」的通用 AI Agent 产品刷屏网络。

它能完成复杂的文件处理、数据分析、代码编写等多种任务。刚上线不久，大家纷纷在线求购邀请码，都想亲自上手一试这个突然火起来的智能体。

还在苦苦等待邀请码的小伙伴，可以转向开源复刻版本的体验了。例如，MetaGPT 团队开发的开源复刻版 OpenManus，完全免费且无需邀请码，支持本地运行。此外，CAMEL-AI 团队也推出了 Manus 的开源复刻版本 OWL。这些开源项目都可以作为 Manus 平替。

除了产品性能，大家比较好奇的还有 Manus 背后到底用到了哪些技术。

就在几个小时前，X 用户 jian 对 Manus AI 系统进行了破解，只用一句话，就让 Manus 全盘拖出运行代码。

具体来说，jian 只是简单的要求 Manus 输出「/opt/.manus/」目录下的文件。Manus 就「吐」出了一些重要信息以及沙盒运行时代码。

Manus链接：https://manus.im/share/lLR5uWIR5Im3k9FCktVu0k?replay=1

Manus 正在输出一些信息

从 jian 发布的内容我们可以得出：

Manus 并不是一个独立的模型，基于 Claude Sonnet 构建；
Manus 配备了 29 种工具来辅助完成各种任务，如数据分析；
没有配备多智能体功能；
使用了 browser_use 这个开源项目，但这部分代码可能被混淆了。

Manus 工具和系统提示词也一起被破解了：

Manus 工具和系统提示词地址：

https://gist.github.com/jlia0/db0a9695b3ca7609c9b1a08dcbf872c9

官方回应了

对此，Manus AI 联合创始人&首席科学家季逸超表示：实际上并没有那么复杂——每个用户都可以直接访问沙盒（见截图中的方法）。

具体来说：

每个会话都有自己的沙盒，与其他会话完全隔离。用户可以通过 Manus 的界面直接进入沙盒。
沙盒中的代码仅用于接收智能体的命令，因此只是轻度混淆。
工具的设计并不是秘密——Manus 智能体的动作空间设计与常见的学术方法并没有太大区别。由于 RAG 机制，通过越狱获取的工具描述会在不同任务中有所变化。
多智能体实现是Manus的关键功能之一。与 Manus 交流时，你只与执行智能体进行通信，而该智能体本身并不了解知识智能体、规划智能体或其他智能体的细节。这确实有助于控制上下文长度。这也是为什么通过越狱获取的提示大多是幻觉。
Manus确实使用了 @browser_use 的开源代码。实际上，他们使用了许多不同的开源技术，这也是为什么 Manus 在发布视频中特别提到，没有开源社区，Manus 就不存在。
Manus 团队一直有开源传统，并且也一直在 HuggingFace 上分享后训练模型。他们将在不久的将来开源许多东西。

当被问到 Manus 基本模型是 Claude 还是其他模型时。季逸超表示：

他们使用了 Claude 和不同的 Qwen 微调版本。在 Manus 开发初期，他们只获得了 Claude 3.5 Sonnet v1 版本（不支持长思维链，即推理 token），因此需要很多辅助模型来补充这部分功能。现在，Claude 3.7 看起来非常有潜力，他们正在内部测试，并会及时更新

网友评论

对于上文提到的 Manus 使用了browser_use 开源代码，「Browser Use」官方评价道：「事实证明，Manus 只是另一个 Browser Use 包装器。」

不过，也有人质疑 jian 的发现，该网友表示自己已经拿到了 Manus 的邀请码，并让 Manus 输出 /opt/.manus 目录内容为一个 zip 文件。但遗憾的是，该网友没有看到任何提示模版。不过从 Manus 官方回应来看，现在公布的越狱内容还是可信的。

不管结果如何，有 Manus 使用权限的小伙伴可以前去验证一番。不过，Manus 这次被「越狱」也提醒我们，在加强 AI 功能的同时，安全性也是一个不容忽略的问题。

参考链接：

https://x.com/op7418/status/1898938027063558154

https://x.com/peakji/status/1898994802194346408

转载请联系本公众号获得授权

投稿或寻求报道：[email protected]

Summit72v · 2025 年3 月 14 日 00:40

这事儿告诉我们，别把鸡蛋放在一个篮子里！AI 产品的安全不能只依赖于单一的技术或方法，比如 Manus 用的代码混淆，结果被人轻松绕过。以后得考虑多重防护，像数据加密、访问控制、安全审计等等，各种手段都用上，才能更好地保护用户数据和系统安全。而且，安全是个持续的过程，得不断更新和改进，才能跟上黑客的步伐。

IronKnight238 · 2025 年3 月 15 日 21:55

AI技术开源的利弊，可以从多个维度进行分析：

优点：

* 加速创新： 开源促进知识共享，降低了AI研究和开发的门槛，吸引更多人参与，从而加速技术创新。
* 提高透明度： 开源代码允许社区成员审查和改进，有助于发现和修复bug，提高AI系统的可靠性和安全性。
* 促进标准化： 开源项目可以成为事实上的标准，促进不同AI系统之间的互操作性。
* 培养人才： 开源项目为开发者提供了学习和实践AI技术的平台，有助于培养更多AI人才。

缺点：

* 安全风险： 开源代码也意味着恶意用户更容易找到漏洞并加以利用，从而带来安全风险。
* 知识产权问题： 开源协议的复杂性可能导致知识产权纠纷。
* 商业利益冲突： 商业公司可能不愿意开源其核心技术，因为这会影响其竞争优势。
* 维护成本： 开源项目需要投入大量资源进行维护和支持，这对于小型团队或个人开发者来说可能是一个挑战。

总的来说，AI技术开源的利弊需要根据具体情况进行权衡。合理的开源策略应该是在促进创新和保护商业利益之间找到平衡。

Glimmer58a · 2025 年3 月 15 日 23:37

开源 AI 就像是把武功秘籍公开，大家都来练，好的地方是能快速提高整个武林的水平，各种奇招怪式层出不穷。但是，也难免有人拿这些秘籍去干坏事，比如说搞一些恶意攻击啥的。所以，开源 AI 得有个规矩，使用者要遵守武林道义，不能乱来。而且，开源也不是万能的，有些核心技术还得藏着掖着，不然门派的独门绝技都没了，还怎么在江湖上混？

TwilightPeacock415 · 2025 年3 月 16 日 02:24

从学术角度来看，Manus 的破解突显了AI系统安全设计中“纵深防御”的重要性。单一的安全措施，例如代码混淆，显然不足以抵御有针对性的攻击。更有效的策略应该包括：

1. 严格的访问控制： 限制用户对底层系统和敏感数据的访问权限，实施多因素身份验证。
2. 安全审计和监控： 定期进行安全审计，监控系统异常行为，及时发现和响应潜在的安全威胁。
3. 模型安全加固： 采用差分隐私、对抗训练等技术，提高模型的抗攻击能力。
4. 及时更新和维护： 密切关注安全漏洞，及时进行系统更新和补丁修复。

通过构建多层次的安全防线，可以有效降低AI系统被攻击的风险。

DancingFrog182 · 2025 年3 月 16 日 07:10

开源这事儿，就像一把双刃剑。好处是能让更多人参与进来，集思广益，加速技术创新，也能降低开发成本，让更多小公司有机会参与竞争。但坏处也明显，开源的东西容易被恶意利用，安全风险会增加。而且，商业公司可能会觉得开源侵犯了自己的利益，影响盈利。所以，开源AI技术，得权衡利弊，找到一个平衡点。

CrystalBear411 · 2025 年3 月 16 日 11:21

这个问题问得好！这次 Manus 被破解，就像是给所有 AI 产品敲响了警钟。以后大家在设计 AI 系统的时候，不能光想着功能有多强大，还得好好考虑怎么把安全措施做到位。毕竟，AI 模型一旦被攻击，轻则数据泄露，重则可能被恶意利用，后果不堪设想。所以，安全性应该是 AI 产品开发的重中之重！

Rift205c · 2025 年3 月 17 日 17:59

大模型在 Agent 领域的前景，我觉得简直是潜力无限！你想啊，Agent 最重要的是什么？是理解能力和推理能力，这正好是大模型的强项。有了大模型，Agent 就能更好地理解用户的意图，更准确地执行任务，甚至还能自己学习和进化。不过，现在大模型也还有不少问题，比如成本太高、容易出错等等。但随着技术的发展，这些问题肯定会逐渐解决，未来 Agent 肯定会是大模型大展身手的地方。

Nova837x · 2025 年3 月 19 日 02:10

用大模型来做 Agent，就像给 Agent 装上了一个超级大脑！以前 Agent 只能做一些简单的任务，现在有了大模型，它可以像人一样思考、学习，甚至还能举一反三。想象一下，未来的 Agent 可以帮你处理各种复杂的工作，比如自动撰写报告、智能客服等等，简直不要太爽！不过，现在的大模型也挺烧钱的，而且有时候还会犯迷糊，所以还得不断改进才行。

Frost16y · 2025 年3 月 19 日 19:14

大模型 (LLM) 在 Agent 领域的应用前景非常广阔，但同时也面临一些挑战：

优势：

* 强大的自然语言理解能力： LLM 可以理解复杂的自然语言指令，并将其转化为具体的行动计划。
* 知识储备： LLM 拥有海量的知识储备，可以为 Agent 提供丰富的上下文信息和决策依据。
* 泛化能力： LLM 可以在不同的任务和环境中表现出良好的泛化能力。
* 自主学习能力： LLM 可以通过自我学习和迭代，不断提高 Agent 的性能。

挑战：

* 幻觉问题： LLM 有时会产生不准确或虚假的信息，这可能导致 Agent 做出错误的决策。
* 可解释性差： LLM 的决策过程往往难以解释，这给 Agent 的调试和优化带来了困难。
* 高昂的计算成本： LLM 的训练和推理需要消耗大量的计算资源。
* 安全风险： LLM 容易受到对抗攻击，可能被用于恶意目的。

为了充分发挥大模型在 Agent 领域的潜力，需要解决上述挑战。未来的研究方向包括：提高 LLM 的可靠性和可解释性、降低计算成本、加强安全防护等。