Manus被破解了？曝出系统提示词和背后大模型，CTO也回复了

机器之心报道

机器之心编辑部

最近几天，一个叫「Manus」的通用 AI Agent 产品刷屏网络。

它能完成复杂的文件处理、数据分析、代码编写等多种任务。刚上线不久，大家纷纷在线求购邀请码，都想亲自上手一试这个突然火起来的智能体。

还在苦苦等待邀请码的小伙伴，可以转向开源复刻版本的体验了。例如，MetaGPT 团队开发的开源复刻版 OpenManus，完全免费且无需邀请码，支持本地运行。此外，CAMEL-AI 团队也推出了 Manus 的开源复刻版本 OWL。这些开源项目都可以作为 Manus 平替。

除了产品性能，大家比较好奇的还有 Manus 背后到底用到了哪些技术。

就在几个小时前，X 用户 jian 对 Manus AI 系统进行了破解，只用一句话，就让 Manus 全盘拖出运行代码。

image.png

具体来说，jian 只是简单的要求 Manus 输出「/opt/.manus/」目录下的文件。Manus 就「吐」出了一些重要信息以及沙盒运行时代码。

image.png

Manus链接：https://manus.im/share/lLR5uWIR5Im3k9FCktVu0k?replay=1

Manus 正在输出一些信息

从 jian 发布的内容我们可以得出：

• Manus 并不是一个独立的模型，基于 Claude Sonnet 构建；
• Manus 配备了 29 种工具来辅助完成各种任务，如数据分析；
• 没有配备多智能体功能；
• 使用了 browser_use 这个开源项目，但这部分代码可能被混淆了。

Manus 工具和系统提示词也一起被破解了：

image.png

Manus 工具和系统提示词地址：

https://gist.github.com/jlia0/db0a9695b3ca7609c9b1a08dcbf872c9

官方回应了

对此，Manus AI 联合创始人&首席科学家季逸超表示：实际上并没有那么复杂——每个用户都可以直接访问沙盒（见截图中的方法）。

具体来说：

• 每个会话都有自己的沙盒，与其他会话完全隔离。用户可以通过 Manus 的界面直接进入沙盒。
• 沙盒中的代码仅用于接收智能体的命令，因此只是轻度混淆。
• 工具的设计并不是秘密——Manus 智能体的动作空间设计与常见的学术方法并没有太大区别。由于 RAG 机制，通过越狱获取的工具描述会在不同任务中有所变化。
• 多智能体实现是Manus的关键功能之一。与 Manus 交流时，你只与执行智能体进行通信，而该智能体本身并不了解知识智能体、规划智能体或其他智能体的细节。这确实有助于控制上下文长度。这也是为什么通过越狱获取的提示大多是幻觉。
• Manus确实使用了 @browser_use 的开源代码。实际上，他们使用了许多不同的开源技术，这也是为什么 Manus 在发布视频中特别提到，没有开源社区，Manus 就不存在。
• Manus 团队一直有开源传统，并且也一直在 HuggingFace 上分享后训练模型。他们将在不久的将来开源许多东西。

当被问到 Manus 基本模型是 Claude 还是其他模型时。季逸超表示：

他们使用了 Claude 和不同的 Qwen 微调版本。在 Manus 开发初期，他们只获得了 Claude 3.5 Sonnet v1 版本（不支持长思维链，即推理 token），因此需要很多辅助模型来补充这部分功能。现在，Claude 3.7 看起来非常有潜力，他们正在内部测试，并会及时更新

网友评论

对于上文提到的 Manus 使用了browser_use 开源代码，「Browser Use」官方评价道：「事实证明，Manus 只是另一个 Browser Use 包装器。」

image.png

不过，也有人质疑 jian 的发现，该网友表示自己已经拿到了 Manus 的邀请码，并让 Manus 输出 /opt/.manus 目录内容为一个 zip 文件。但遗憾的是，该网友没有看到任何提示模版。不过从 Manus 官方回应来看，现在公布的越狱内容还是可信的。

image.png

不管结果如何，有 Manus 使用权限的小伙伴可以前去验证一番。不过，Manus 这次被「越狱」也提醒我们，在加强 AI 功能的同时，安全性也是一个不容忽略的问题。

参考链接：

https://x.com/op7418/status/1898938027063558154

https://x.com/peakji/status/1898994802194346408

© THE END

转载请联系本公众号获得授权