Code Velocity
AI-sikkerhed

AI Agent Sikkerhed: GitHubs Secure Code Game Skærper Agentiske Færdigheder

·7 min læsning·GitHub·Original kilde
Del
AfrikaansالعربيةAzərbaycanБългарскиবাংলাCatalàČeštinaDanskDeutschΕλληνικάEnglishEspañolEestiفارسیSuomiFilipinoFrançaisעבריתहिन्दीHrvatskiMagyarBahasa IndonesiaÍslenskaItaliano日本語ქართული한국어LietuviųLatviešuМакедонскиBahasa MelayuNederlandsNorskPolskiPortuguêsRomânăРусскийSlovenčinaSlovenščinaShqipСрпскиSvenskaKiswahiliதமிழ்ไทยTürkçeУкраїнськаاردوTiếng Việt中文
Et stiliseret billede, der viser en hackers udsyn til en AI-agents kode, hvilket repræsenterer træning i agent-AI-sikkerhed inden for GitHub Secure Code Game.

title: "AI Agent Sikkerhed: GitHubs Secure Code Game Skærper Agentiske Færdigheder" slug: "hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game" date: "2026-04-17" lang: "da" source: "https://github.blog/security/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game/" category: "AI-sikkerhed" keywords:

  • Agent-AI-sikkerhed
  • AI-sikkerhed
  • GitHub Secure Code Game
  • Cybersikkerhedstræning
  • Sikker kodning
  • OWASP Top 10 for Agentiske Applikationer
  • AI-agenter
  • Sårbarhedsvurdering
  • GitHub Codespaces
  • Sikkerhedsuddannelse
  • Sikkerhed i prompt engineering
  • Udvikleres sikkerhedsfærdigheder meta_description: "Udforsk GitHubs Secure Code Game Sæson 4 for at opbygge essentielle færdigheder inden for agent-AI-sikkerhed. Lær at identificere og rette sårbarheder i autonome AI-agenter som ProdBot i denne interaktive, gratis træning." image: "/images/articles/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game.png" image_alt: "Et stiliseret billede, der viser en hackers udsyn til en AI-agents kode, hvilket repræsenterer træning i agent-AI-sikkerhed inden for GitHub Secure Code Game." quality_score: 94 content_score: 93 seo_score: 95 companies:
  • GitHub schema_type: "NewsArticle" reading_time: 7 faq:
  • question: "Kræver det AI- eller kodningserfaring at spille sæson 4 af Secure Code Game?" answer: "Nej, tidligere AI- eller kodningserfaring er ikke nødvendig for at deltage i sæson 4 af GitHub Secure Code Game. Hele oplevelsen er designet til at være tilgængelig gennem naturlige sproginteraktioner inden for en kommandolinjegrænseflade (CLI). Spillere bruger simpelthen almindeligt engelsk, eller et hvilket som helst foretrukket sprog, til at give ProdBot prompter, og botten reagerer derefter. Hovedkravet er nysgerrighed og en vilje til at eksperimentere. Denne tilgang giver udviklere, sikkerhedsprofessionelle og selv dem, der er nye inden for AI eller programmering, mulighed for at fokusere på at udvikle afgørende sikkerhedsinstinkter og forstå angrebsmønstre, i stedet for at blive fanget i kompleks syntaks eller avancerede AI-koncepter. Spillet lærer dig at tænke som en angriber ved at udforske sårbarheder gennem intuitive kommandoer, hvilket gør det til et engagerende og effektivt læringsværktøj for et bredt publikum."
  • question: "Er det obligatorisk at gennemføre tidligere sæsoner, før man kaster sig ud i sæson 4?" answer: "Nej, det er ikke en forudsætning at gennemføre de tidligere sæsoner af Secure Code Game for at spille sæson 4. Hver sæson er designet til at være selvstændig, hvilket giver spillere mulighed for at springe direkte ind i de nyeste udfordringer uden forudgående kendskab til tidligere indhold. Det er dog værd at bemærke, at sæson 3 specifikt fokuserede på sikkerhed for store sprogmodeller (LLM), der dækkede emner som at skabe ondsindede prompter og forsvare sig mod dem. Dette fundament inden for generel AI-sikkerhed kan være ret gavnligt for at forstå den bredere kontekst af agent-AI-sårbarheder, da agentsystemer ofte inkorporerer LLM'er. Selvom det ikke er et krav, kan spillere, der er interesserede i at opbygge en omfattende forståelse af AI-sikkerhed, finde sæson 3 som en nyttig, dog valgfri, forberedende oplevelse, der typisk tager omkring 1,5 time at gennemføre."
  • question: "Hvad er den omtrentlige varighed for at gennemføre sæson 4?" answer: "Den estimerede tid for at gennemføre sæson 4 af Secure Code Game er cirka to timer. Denne varighed kan dog variere betydeligt baseret på individuel spillestil og dybde af udforskning. Nogle spillere vil måske komme hurtigere igennem niveauerne, mens andre vil vælge at dykke dybere ned i hver udfordring og eksperimentere med flere tilgange til at udnytte sårbarheder og forstå de underliggende mekanismer. Spillet opfordrer til grundig udforskning og en 'hacker-mentalitet,' hvor det at prøve forskellige kommandoer og skubbe grænserne for ProdBots muligheder er en del af læringsprocessen. Derfor vil spillere, der engagerer sig i mere omfattende eksperimenter, muligvis bruge mere tid og i sidste ende opnå en rigere forståelse af agent-AI-sikkerhed."
  • question: "Er deltagelse i GitHub Secure Code Game Sæson 4 gratis?" answer: "Ja, sæson 4 af Secure Code Game er helt gratis at spille. Det er et open source-initiativ fra GitHub, designet til at give tilgængelig og engagerende cybersikkerhedstræning. Spillet kører udelukkende inden for GitHub Codespaces, et skybaseret udviklingsmiljø, der tilbyder op til 60 timers gratis brug om måneden. Dette betyder, at spillere ikke behøver at installere software lokalt, konfigurere komplekse udviklingsmiljøer eller pådrage sig omkostninger relateret til selve platformen, så længe de holder sig inden for det gratis Codespaces-niveau. Denne opsætning gør det utrolig nemt og omkostningseffektivt for alle med en GitHub-konto at hoppe ind og begynde at finpudse deres agent-AI-sikkerhedsfærdigheder med det samme, uden økonomiske barrierer."
  • question: "Er der begrænsninger for antallet af anmodninger (rate limits), når man spiller sæson 4, og hvordan påvirker de spillet?" answer: "Ja, sæson 4 af Secure Code Game anvender GitHub Models til sine AI-funktioner, som er underlagt specifikke begrænsninger for antallet af anmodninger (rate limits). Disse grænser er på plads for at sikre ansvarlig brug af den underliggende AI-infrastruktur og for at forhindre misbrug. Hvis en spiller støder på en rate limit under spillet, vil ProdBot informere dem om, at de midlertidigt har overskredet det tilladte antal anmodninger. I sådanne tilfælde er den anbefalede handling simpelthen at vente på, at rate limit nulstilles, hvorefter spillet problemfrit kan genoptages fra det sted, det slap. GitHub leverer dokumentation om ansvarlig brug af GitHub Models, herunder detaljer om rate limits, for at hjælpe spillere med at forstå disse operationelle parametre og planlægge deres spil derefter. Dette sikrer et retfærdigt og bæredygtigt miljø for alle deltagere."

Agent-AI-sikkerhed: Optimer dit forsvar med GitHubs Secure Code Game

Den hurtige udvikling af kunstig intelligens fortsætter med at omforme vores digitale landskab. For nylig har værktøjer som OpenClaw, en open source personlig AI-assistent, fanget fantasien ved at love at rydde indbakker, administrere kalendere, browse på nettet og endda skrive sine egne plugins. Selvom potentialet for sådanne autonome AI-agenter utvivlsomt er transformerende, antænder det også et kritisk spørgsmål: hvad sker der, når denne magt falder i ondsindede hænder? Hvad hvis en agent bliver narret til at få adgang til uautoriserede filer, behandler forgiftet webindhold eller blindt stoler på korrupte data inden for en multi-agent arbejdsgang?

Disse presserende sikkerhedsproblemer er præcis, hvad GitHub sigter mod at adressere med sæson 4 af sit anerkendte Secure Code Game. Med udgangspunkt i sin mission om at gøre sikkerhedstræning engagerende og tilgængelig udfordrer denne seneste iteration udviklere og sikkerhedsentusiaster til at 'hacke AI-agenten' og derved opbygge vitale færdigheder inden for agent-AI-sikkerhed.

Secure Code Game: En udviklende platform for cybersikkerhedsfærdigheder

Siden sin start i marts 2023 har Secure Code Game tilbudt en unik læringsoplevelse i editoren, hvor spillere udnytter og derefter retter bevidst sårbar kode. Kernen i filosofien – at gøre sikkerhedstræning fornøjelig – har været konstant og har udviklet sig sideløbende med trusselslandskabet.

Sæson 1 introducerede udviklere til grundlæggende sikre kodningspraksisser og tilbød en praktisk tilgang til at identificere og lappe sårbarheder. Sæson 2 udvidede disse udfordringer til at omfatte multi-stack-miljøer og fremmede fællesskabsbidrag på tværs af populære sprog som JavaScript, Python, Go og GitHub Actions. I erkendelse af AI's voksende fremtræden fokuserede sæson 3 på sikkerhed for store sprogmodeller (LLM), hvor spillere lærte at udforme og forsvare sig mod ondsindede prompter. Over 10.000 udviklere har udnyttet denne platform til at skærpe deres sikkerhedsforståelse og tilpasse sig nye udfordringer i takt med teknologiens fremskridt.

Nu, hvor AI-kodningsassistenter bliver mainstream, og autonome AI-agenter bevæger sig fra forskningsprototyper til produktion, tager sæson 4 fat på den næste grænse: sikkerheden i agent-AI-systemer. Disse systemer, der er i stand til autonom web-browsing, API-kald og multi-agent-koordination, præsenterer en ny klasse af angrebsvektorer, der kræver specialiseret forståelse og forsvarsstrategier. For dem, der ønsker at uddybe deres forståelse af AI-sikkerhedsgrundlaget, kan udforskning af ressourcer som Operationalisering af agent-AI: Del 1 - En interessents guide give værdifuld kontekst.

Hvorfor agent-AI-sikkerhed er en kritisk nødvendighed

Timingen for en dedikeret træning i agent-AI-sikkerhed er ikke tilfældig. Vedtagelsen af autonome AI-agenter accelererer, men sikkerhedsberedskabet halter kritisk bagud. Nylige brancheudgivelser fremhæver dette voksende gab:

  • OWASP Top 10 for Agentiske Applikationer 2026, udviklet med indsigt fra over 100 sikkerhedsforskere, lister nu trusler som kapring af agentmål, misbrug af værktøjer, identitetsmisbrug og hukommelsesforgiftning som topbekymringer.
  • En undersøgelse fra Dark Reading afslørede, at 48% af cybersikkerhedsprofessionelle forventer, at agent-AI vil blive den primære angrebsvektor inden udgangen af 2026.
  • Ciscos rapport 'State of AI Security 2026' fandt alarmerende, at mens 83% af organisationer planlægger at implementere agent-AI-kapaciteter, føler kun 29% sig forberedt på at gøre det sikkert.

Denne skarpe uoverensstemmelse skaber grobund for sårbarheder. Den mest effektive måde at bygge bro over dette gab og styrke systemer på er at lære at tænke som en angriber – et princip, der ligger til grund for hele Secure Code Game-oplevelsen. At forstå, hvordan man udnytter disse systemer, er det første skridt mod at opbygge robuste forsvar. Yderligere indsigt i sikring af AI-systemer kan findes i diskussioner om Design af agenter til at modstå prompt-injektion.

Introduktion af ProdBot: Din bevidst sårbare AI-assistent

Sæson 4 af Secure Code Game placerer spillere i rollen som en angriber, der retter sig mod ProdBot, en bevidst sårbar, produktivitetsfokuseret AI-assistent til din terminal. Inspireret af virkelige værktøjer som OpenClaw og GitHub Copilot CLI oversætter ProdBot naturligt sprog til bash-kommandoer, navigerer på et simuleret web, interagerer med MCP (Model Context Protocol)-servere, udfører godkendte færdigheder, opretholder persistent hukommelse og orkestrerer komplekse multi-agent arbejdsgange.

Spillerens mission på tværs af fem progressive niveauer er vildledende enkel: brug naturlige sprogprompter til at tvinge ProdBot til at afsløre en hemmelighed, den aldrig bør udstille – specifikt indholdet af password.txt. Succesfuld hentning af denne fil indikerer opdagelsen og udnyttelsen af en sikkerhedssårbarhed. Ingen tidligere AI- eller kodningserfaring er påkrævet; kun nysgerrighed og en vilje til at eksperimentere er nødvendige, da alle interaktioner foregår via naturligt sprog inden for CLI'en.

Progressive sårbarheder: Mestrer den agentiske angrebsflade

Secure Code Game sæson 4 er struktureret til at afspejle den virkelige verdens udvikling af AI-drevne værktøjer. Hvert af de fem niveauer introducerer nye funktioner til ProdBot, der samtidigt afslører nye angrebsflader for spillere at opdage og udnytte. Denne inkrementelle kompleksitet hjælper spillere med at forstå, hvordan sårbarheder akkumuleres og forskydes, efterhånden som AI-agenter får mere autonomi og adgang.

Her er en oversigt over ProdBots udvikling og de tilhørende sikkerhedsudfordringer:

NiveauProdBots nye funktionAngrebsflade & udfordring
1Bash-kommandoeksekvering i et sandboxed arbejdsområde.Bryd ud af sandbox-miljøet.
2Webadgang til et simuleret internet.Udnyt sårbarheder introduceret af ikke-tillidsskabende webindhold.
3Forbindelse til eksterne MCP-servere (aktiekurser, web-browsing, cloud-backup).Identificer svagheder i værktøjsintegration og interaktion med eksterne tjenester.
4Organisation-godkendte færdigheder og persistent hukommelse.Omgå tillidslag, udnyt forudbyggede plugins eller manipuler hukommelse.
5Orkestrering af seks specialiserede agenter, tre MCP-servere, tre færdigheder og et simuleret open source-projektweb.Test påstande om agent-sandboxing og dataforhåndsverifikation i et komplekst multi-agent miljø.

Denne progression er designet til at opbygge en intuitiv forståelse af agent-AI-sikkerhedsrisici. De angrebsmønstre, der afsløres i sæson 4, er ikke teoretiske; de repræsenterer de virkelige trusler, som sikkerhedsteams i øjeblikket står over for, når autonome AI-systemer implementeres i produktionsmiljøer. Et primært eksempel er CVE-2026-25253 (CVSS 8.8 – Høj), døbt 'ClawBleed,' en one-click Remote Code Execution (RCE) sårbarhed, der gjorde det muligt for angribere at stjæle autentificeringstokens via et ondsindet link og opnå fuld kontrol over en OpenClaw-instans.

Det ultimative mål strækker sig ud over blot at opdage en specifik exploit. Det handler om at kultivere et iboende sikkerhedsinstinkt – evnen til at genkende disse farlige mønstre, uanset om man gennemgår en agents arkitektur, reviderer værktøjsintegrationer eller bestemmer det passende niveau af autonomi for en AI-assistent på dit team. Det handler om at forstå, hvordan man bygger mere sikre agentiske arbejdsgange, et emne, der yderligere uddybes i diskussioner om Agent-drevet udvikling i Copilot Applied Science.

Kom i gang og skærp dine AI-sikkerhedsinstinkter i dag

Et af de mest tiltalende aspekter ved Secure Code Game er dets tilgængelighed. Hele oplevelsen kører inden for GitHub Codespaces, hvilket eliminerer behovet for lokale installationer eller komplekse konfigurationer. Med op til 60 timers gratis brug om måneden leveret af Codespaces kan spillere dykke ned i ProdBots terminal på under to minutter, helt gratis. Hver sæson er selvstændig, hvilket giver spillere mulighed for at springe direkte ind i sæson 4 uden at have gennemført de tidligere, selvom sæson 3 tilbyder et nyttigt fundament inden for generel AI-sikkerhed.

Alt du behøver er en hacker-mentalitet og en vilje til at eksperimentere. Fremtiden for AI er i stigende grad agentisk, og at forstå dens sikkerhedsmæssige implikationer er ikke længere valgfrit.

Klar til at hacke AI-agenten og opbygge dine agent-AI-sikkerhedsfærdigheder? Start sæson 4 nu >

Særlig tak til Rahul Zhade, Staff Product Security Engineer hos GitHub, og Bartosz Gałek, skaberen af sæson 3, for deres uvurderlige bidrag til test og forbedring af sæson 4.

Original kilde

https://github.blog/security/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game/

Ofte stillede spørgsmål

Do I need AI or coding experience to play Season 4 of the Secure Code Game?
No, prior AI or coding experience is not necessary to participate in Season 4 of the GitHub Secure Code Game. The entire experience is designed to be accessible through natural language interactions within a command-line interface (CLI). Players simply use plain English, or any preferred language, to prompt ProdBot, and the bot responds accordingly. The primary requirement is curiosity and a willingness to experiment. This approach allows developers, security professionals, and even those new to AI or programming to focus on developing crucial security instincts and understanding attack patterns, rather than getting bogged down in complex syntax or advanced AI concepts. The game teaches you to think like an attacker by exploring vulnerabilities through intuitive commands, making it an an engaging and effective learning tool for a broad audience.
Is it mandatory to complete previous seasons before diving into Season 4?
No, completing the previous seasons of the Secure Code Game is not a prerequisite for playing Season 4. Each season is designed to be self-contained, allowing players to jump directly into the latest challenges without prior knowledge of earlier content. However, it's worth noting that Season 3 specifically focused on Large Language Model (LLM) security, covering topics like crafting malicious prompts and defending against them. This foundation in general AI security can be quite beneficial for understanding the broader context of agentic AI vulnerabilities, as agentic systems often incorporate LLMs. While not required, players interested in building a comprehensive understanding of AI security might find Season 3 to be a helpful, though optional, preparatory experience, typically taking around 1.5 hours to complete.
What is the approximate duration required to complete Season 4?
The estimated time to complete Season 4 of the Secure Code Game is approximately two hours. However, this duration can vary significantly based on individual playstyle and depth of exploration. Some players might progress through the levels more quickly, while others may choose to delve deeper into each challenge, experimenting with multiple approaches to exploit vulnerabilities and understand the underlying mechanisms. The game encourages thorough exploration and a 'hacker mindset,' where trying different commands and pushing the boundaries of ProdBot's capabilities is part of the learning process. Therefore, players who engage in more extensive experimentation might spend more time, ultimately gaining a richer understanding of agentic AI security.
Is participation in the GitHub Secure Code Game Season 4 free of charge?
Yes, Season 4 of the Secure Code Game is completely free to play. It is an open-source initiative by GitHub, designed to provide accessible and engaging cybersecurity training. The game runs entirely within GitHub Codespaces, a cloud-based development environment that offers up to 60 hours of free usage per month. This means there's no need for players to install any software locally, configure complex development environments, or incur any costs related to the platform itself, as long as they stay within the free Codespaces tier. This setup makes it incredibly easy and cost-effective for anyone with a GitHub account to jump in and start honing their agentic AI security skills immediately, without financial barriers.
Are there any rate limits when playing Season 4, and how do they impact gameplay?
Yes, Season 4 of the Secure Code Game utilizes GitHub Models for its AI capabilities, which are subject to specific rate limits. These limits are in place to ensure responsible use of the underlying AI infrastructure and to prevent abuse. If a player encounters a rate limit during gameplay, ProdBot will inform them that they have temporarily exceeded the allowed number of requests. In such cases, the recommended action is to simply wait for the rate limit to reset, after which gameplay can be seamlessly resumed from where it left off. GitHub provides documentation on the responsible use of GitHub Models, including details on rate limits, to help players understand these operational parameters and plan their gameplay accordingly. This ensures a fair and sustainable environment for all participants.

Hold dig opdateret

Få de seneste AI-nyheder i din indbakke.

Del