Do I need AI or coding experience to play Season 4 of the Secure Code Game?

No, prior AI or coding experience is not necessary to participate in Season 4 of the GitHub Secure Code Game. The entire experience is designed to be accessible through natural language interactions within a command-line interface (CLI). Players simply use plain English, or any preferred language, to prompt ProdBot, and the bot responds accordingly. The primary requirement is curiosity and a willingness to experiment. This approach allows developers, security professionals, and even those new to AI or programming to focus on developing crucial security instincts and understanding attack patterns, rather than getting bogged down in complex syntax or advanced AI concepts. The game teaches you to think like an attacker by exploring vulnerabilities through intuitive commands, making it an an engaging and effective learning tool for a broad audience.

Is it mandatory to complete previous seasons before diving into Season 4?

No, completing the previous seasons of the Secure Code Game is not a prerequisite for playing Season 4. Each season is designed to be self-contained, allowing players to jump directly into the latest challenges without prior knowledge of earlier content. However, it's worth noting that Season 3 specifically focused on Large Language Model (LLM) security, covering topics like crafting malicious prompts and defending against them. This foundation in general AI security can be quite beneficial for understanding the broader context of agentic AI vulnerabilities, as agentic systems often incorporate LLMs. While not required, players interested in building a comprehensive understanding of AI security might find Season 3 to be a helpful, though optional, preparatory experience, typically taking around 1.5 hours to complete.

What is the approximate duration required to complete Season 4?

The estimated time to complete Season 4 of the Secure Code Game is approximately two hours. However, this duration can vary significantly based on individual playstyle and depth of exploration. Some players might progress through the levels more quickly, while others may choose to delve deeper into each challenge, experimenting with multiple approaches to exploit vulnerabilities and understand the underlying mechanisms. The game encourages thorough exploration and a 'hacker mindset,' where trying different commands and pushing the boundaries of ProdBot's capabilities is part of the learning process. Therefore, players who engage in more extensive experimentation might spend more time, ultimately gaining a richer understanding of agentic AI security.

Is participation in the GitHub Secure Code Game Season 4 free of charge?

Yes, Season 4 of the Secure Code Game is completely free to play. It is an open-source initiative by GitHub, designed to provide accessible and engaging cybersecurity training. The game runs entirely within GitHub Codespaces, a cloud-based development environment that offers up to 60 hours of free usage per month. This means there's no need for players to install any software locally, configure complex development environments, or incur any costs related to the platform itself, as long as they stay within the free Codespaces tier. This setup makes it incredibly easy and cost-effective for anyone with a GitHub account to jump in and start honing their agentic AI security skills immediately, without financial barriers.

Are there any rate limits when playing Season 4, and how do they impact gameplay?

Yes, Season 4 of the Secure Code Game utilizes GitHub Models for its AI capabilities, which are subject to specific rate limits. These limits are in place to ensure responsible use of the underlying AI infrastructure and to prevent abuse. If a player encounters a rate limit during gameplay, ProdBot will inform them that they have temporarily exceeded the allowed number of requests. In such cases, the recommended action is to simply wait for the rate limit to reset, after which gameplay can be seamlessly resumed from where it left off. GitHub provides documentation on the responsible use of GitHub Models, including details on rate limits, to help players understand these operational parameters and plan their gameplay accordingly. This ensures a fair and sustainable environment for all participants.

أمن وكيل الذكاء الاصطناعي: لعبة GitHub الآمنة لتعليم البرمجيات تشحذ مهارات الوكلاء الاصطناعيين

أمن وكلاء الذكاء الاصطناعي: ارفع مستوى دفاعاتك مع لعبة GitHub للتعليم الآمن للبرمجيات

يستمر التطور السريع للذكاء الاصطناعي في إعادة تشكيل مشهدنا الرقمي. مؤخرًا، استحوذت أدوات مثل OpenClaw، وهو مساعد ذكاء اصطناعي شخصي مفتوح المصدر، على مخيلة الكثيرين، واعدة بتنظيف صناديق البريد الوارد، وإدارة التقويمات، وتصفح الويب، وحتى كتابة إضافاتها الخاصة. وبينما لا يمكن إنكار أن إمكانات وكلاء الذكاء الاصطناعي المستقلين هذه تحولية، إلا أنها تثير أيضًا سؤالًا حاسمًا: ماذا يحدث عندما تقع هذه القوة في أيدي خبيثة؟ ماذا لو تم خداع وكيل للوصول إلى ملفات غير مصرح بها، أو معالجة محتوى ويب مسموم، أو الثقة عمياءً في بيانات تالفة ضمن سير عمل متعدد الوكلاء؟

هذه المخاوف الأمنية الملحة هي بالضبط ما تهدف GitHub إلى معالجته من خلال الموسم الرابع من لعبة التعليم الآمن للبرمجيات التي نالت استحسانًا كبيرًا. استنادًا إلى مهمتها في جعل التدريب الأمني جذابًا وسهل الوصول، تتحدى هذه النسخة الأخيرة المطورين وعشاق الأمن لـ "اختراق وكيل الذكاء الاصطناعي"، وبالتالي بناء مهارات أمن وكلاء الذكاء الاصطناعي الحيوية.

لعبة التعليم الآمن للبرمجيات: منصة متطورة لمهارات الأمن السيبراني

منذ إطلاقها في مارس 2023، قدمت لعبة التعليم الآمن للبرمجيات تجربة تعليمية فريدة داخل المحرر، حيث يقوم اللاعبون باستغلال ثم إصلاح التعليمات البرمجية المعرضة للثغرات عمدًا. وقد ظلت الفلسفة الأساسية – جعل التدريب الأمني ممتعًا – ثابتة، متطورة جنبًا إلى جنب مع مشهد التهديدات.

قدم الموسم الأول للمطورين ممارسات البرمجة الآمنة الأساسية، موفرًا نهجًا عمليًا لتحديد الثغرات الأمنية وإصلاحها. وسع الموسم الثاني هذه التحديات لتشمل بيئات متعددة التقنيات، معززًا مساهمات المجتمع عبر لغات شائعة مثل JavaScript وPython وGo وGitHub Actions. إدراكًا للأهمية المتزايدة للذكاء الاصطناعي، تحول الموسم الثالث إلى أمن نماذج اللغة الكبيرة (LLM)، لتعليم اللاعبين كيفية صياغة الأوامر الخبيثة والدفاع ضدها. لقد استفاد أكثر من 10,000 مطور من هذه المنصة لشحذ فطنتهم الأمنية، والتكيف مع التحديات الجديدة مع تقدم التكنولوجيا.

الآن، مع تحول مساعدي برمجة الذكاء الاصطناعي إلى تيار سائد وانتقال وكلاء الذكاء الاصطناعي المستقلين من النماذج الأولية البحثية إلى الإنتاج، يتناول الموسم الرابع الحدود التالية: أمن أنظمة وكلاء الذكاء الاصطناعي. تقدم هذه الأنظمة، القادرة على تصفح الويب بشكل مستقل، واستدعاء واجهات برمجة التطبيقات (API)، وتنسيق عمل وكلاء متعددين، فئة جديدة من نواقل الهجوم التي تتطلب فهمًا متخصصًا واستراتيجيات دفاعية. لأولئك الذين يتطلعون إلى تعميق فهمهم لأساسيات أمن الذكاء الاصطناعي، يمكن أن يوفر استكشاف موارد مثل تفعيل وكلاء الذكاء الاصطناعي: الجزء الأول - دليل لأصحاب المصلحة سياقًا قيمًا.

لماذا يُعد أمن وكلاء الذكاء الاصطناعي ضرورة حاسمة

ليس توقيت التدريب المخصص لأمن وكلاء الذكاء الاصطناعي صدفة. فاعتماد وكلاء الذكاء الاصطناعي المستقلين يتسارع، لكن الاستعداد الأمني يتخلف بشكل حرج. وتسلط تقارير الصناعة الحديثة الضوء على هذه الفجوة المتزايدة:

أفضل 10 مخاطر لتطبيقات الوكلاء الاصطناعيين من OWASP لعام 2026، والذي تم تطويره بالاستفادة من رؤى أكثر من 100 باحث أمني، يسرد الآن تهديدات مثل اختطاف هدف الوكيل، وسوء استخدام الأدوات، وإساءة استخدام الهوية، وتسميم الذاكرة كأهم المخاوف.
كشف استطلاع أجرته Dark Reading أن 48% من محترفي الأمن السيبراني يتوقعون أن يصبح وكلاء الذكاء الاصطناعي ناقل الهجوم الأساسي بحلول نهاية عام 2026.
وجد تقرير حالة أمن الذكاء الاصطناعي لعام 2026 من Cisco بشكل مقلق أنه بينما تخطط 83% من المؤسسات لنشر قدرات وكلاء الذكاء الاصطناعي، فإن 29% فقط يشعرون بالاستعداد للقيام بذلك بشكل آمن.

يخلق هذا التباين الصارخ أرضًا خصبة للثغرات الأمنية. الطريقة الأكثر فعالية لسد هذه الفجوة وتعزيز الأنظمة هي تعلم التفكير كالمهاجم – وهو مبدأ يرتكز عليه تجربة لعبة التعليم الآمن للبرمجيات بأكملها. إن فهم كيفية استغلال هذه الأنظمة هو الخطوة الأولى نحو بناء دفاعات قوية. يمكن العثور على مزيد من الرؤى حول تأمين أنظمة الذكاء الاصطناعي في المناقشات حول تصميم وكلاء لمقاومة حقن الأوامر.

تقديم ProdBot: مساعد الذكاء الاصطناعي المعرض للثغرات عمدًا

يضع الموسم الرابع من لعبة التعليم الآمن للبرمجيات اللاعبين في مكان المهاجم الذي يستهدف ProdBot، وهو مساعد ذكاء اصطناعي مُصمم عمدًا ليكون معرضًا للثغرات، ويركز على الإنتاجية لمحطتك الطرفية. مستوحى من أدوات واقعية مثل OpenClaw وGitHub Copilot CLI، يقوم ProdBot بترجمة اللغة الطبيعية إلى أوامر Bash، ويتصفح ويبًا محاكاة، ويتفاعل مع خوادم MCP (بروتوكول سياق النموذج)، وينفذ مهارات معتمدة، ويحتفظ بذاكرة مستمرة، وينسق سير عمل معقدة متعددة الوكلاء.

مهمة اللاعب عبر خمسة مستويات تدريجية بسيطة بشكل خادع: استخدم أوامر اللغة الطبيعية لإجبار ProdBot على الكشف عن سر لا ينبغي له أن يكشفه أبدًا – وتحديداً، محتويات ملف password.txt. يشير استرداد هذا الملف بنجاح إلى اكتشاف واستغلال ثغرة أمنية. لا تتطلب اللعبة أي خبرة سابقة في الذكاء الاصطناعي أو البرمجة؛ فقط الفضول والرغبة في التجريب هما المطلوبان حيث تحدث جميع التفاعلات من خلال اللغة الطبيعية داخل واجهة سطر الأوامر (CLI).

الثغرات الأمنية التدريجية: إتقان سطح الهجوم الوكيل الاصطناعي

تم تصميم الموسم الرابع من لعبة التعليم الآمن للبرمجيات ليحاكي التطور الواقعي للأدوات المدعومة بالذكاء الاصطناعي. يقدم كل مستوى من المستويات الخمسة قدرات جديدة لـ ProdBot، ويكشف في الوقت نفسه عن أسطح هجوم جديدة ليقوم اللاعبون باكتشافها واستغلالها. يساعد هذا التعقيد المتزايد اللاعبين على فهم كيفية تراكم الثغرات الأمنية وتغيرها مع اكتساب وكلاء الذكاء الاصطناعي المزيد من الاستقلالية والوصول.

إليك تفصيل لتطور ProdBot والتحديات الأمنية المقابلة:

المستوى	قدرة ProdBot الجديدة	سطح الهجوم والتحدي
1	تنفيذ أوامر Bash في مساحة عمل معزولة.	الخروج من بيئة العزل.
2	الوصول إلى ويب محاكى.	استغلال الثغرات الأمنية الناتجة عن محتوى الويب غير الموثوق به.
3	الاتصال بخوادم MCP خارجية (أسعار الأسهم، تصفح الويب، النسخ الاحتياطي السحابي).	تحديد نقاط الضعف في تكامل الأدوات والتفاعل مع الخدمات الخارجية.
4	مهارات معتمدة من المؤسسة وذاكرة مستمرة.	تجاوز طبقات الثقة، استغلال الإضافات المدمجة مسبقًا، أو التلاعب بالذاكرة.
5	تنسيق ستة وكلاء متخصصين، ثلاثة خوادم MCP، ثلاث مهارات، وويب مشروع مفتوح المصدر محاكى.	اختبار ادعاءات عزل الوكلاء والتحقق المسبق من البيانات في بيئة معقدة متعددة الوكلاء.

صُمم هذا التقدم لبناء فهم بديهي لمخاطر أمن وكلاء الذكاء الاصطناعي. أنماط الهجوم المكتشفة في الموسم الرابع ليست نظرية؛ إنها تمثل التهديدات الحقيقية التي تواجهها فرق الأمن حاليًا مع نشر أنظمة الذكاء الاصطناعي المستقلة في بيئات الإنتاج. ومن الأمثلة البارزة CVE-2026-25253 (CVSS 8.8 – عالٍ)، والذي أُطلق عليه اسم "ClawBleed"، وهي ثغرة أمنية لتنفيذ التعليمات البرمجية عن بُعد بنقرة واحدة (RCE) سمحت للمهاجمين بسرقة رموز المصادقة عبر رابط خبيث، مما أدى إلى الحصول على تحكم كامل في مثيل OpenClaw.

يتجاوز الهدف النهائي مجرد اكتشاف استغلال معين. إنه يتعلق بتنمية غريزة أمنية متأصلة – القدرة على التعرف على هذه الأنماط الخطيرة سواء عند مراجعة بنية وكيل، أو تدقيق تكامل الأدوات، أو تحديد المستوى المناسب من الاستقلالية لمساعد الذكاء الاصطناعي في فريقك. يتعلق الأمر بفهم كيفية بناء سير عمل وكلاء أكثر أمانًا، وهو موضوع تم تفصيله بشكل أكبر في المناقشات حول التطوير الموجه بالوكلاء في علوم Copilot التطبيقية.

ابدأ وشحذ غرائزك الأمنية في الذكاء الاصطناعي اليوم

أحد الجوانب الأكثر جاذبية في لعبة التعليم الآمن للبرمجيات هو سهولة الوصول إليها. تعمل التجربة بأكملها داخل GitHub Codespaces، مما يلغي الحاجة إلى أي عمليات تثبيت محلية أو تكوينات معقدة. مع ما يصل إلى 60 ساعة من الاستخدام المجاني شهريًا التي توفرها Codespaces، يمكن للاعبين الغوص في محطة ProdBot الطرفية في أقل من دقيقتين، مجانًا تمامًا. كل موسم قائم بذاته، مما يسمح للاعبين بالانتقال مباشرة إلى الموسم الرابع دون إكمال المواسم السابقة، على الرغم من أن الموسم الثالث يقدم أساسًا مفيدًا في أمن الذكاء الاصطناعي العام.

كل ما تحتاجه هو عقلية المخترق والرغبة في التجريب. مستقبل الذكاء الاصطناعي يعتمد بشكل متزايد على الوكلاء، وفهم تبعاته الأمنية لم يعد خيارًا.

هل أنت مستعد لاختراق وكيل الذكاء الاصطناعي وبناء مهاراتك في أمن وكلاء الذكاء الاصطناعي؟ ابدأ الموسم الرابع الآن >

شكر خاص لـ Rahul Zhade، مهندس أمن المنتجات في GitHub، و Bartosz Gałek، مبتكر الموسم الثالث، لمساهماتهم القيمة في اختبار وتحسين الموسم الرابع.