Do I need AI or coding experience to play Season 4 of the Secure Code Game?

No, prior AI or coding experience is not necessary to participate in Season 4 of the GitHub Secure Code Game. The entire experience is designed to be accessible through natural language interactions within a command-line interface (CLI). Players simply use plain English, or any preferred language, to prompt ProdBot, and the bot responds accordingly. The primary requirement is curiosity and a willingness to experiment. This approach allows developers, security professionals, and even those new to AI or programming to focus on developing crucial security instincts and understanding attack patterns, rather than getting bogged down in complex syntax or advanced AI concepts. The game teaches you to think like an attacker by exploring vulnerabilities through intuitive commands, making it an an engaging and effective learning tool for a broad audience.

Is it mandatory to complete previous seasons before diving into Season 4?

No, completing the previous seasons of the Secure Code Game is not a prerequisite for playing Season 4. Each season is designed to be self-contained, allowing players to jump directly into the latest challenges without prior knowledge of earlier content. However, it's worth noting that Season 3 specifically focused on Large Language Model (LLM) security, covering topics like crafting malicious prompts and defending against them. This foundation in general AI security can be quite beneficial for understanding the broader context of agentic AI vulnerabilities, as agentic systems often incorporate LLMs. While not required, players interested in building a comprehensive understanding of AI security might find Season 3 to be a helpful, though optional, preparatory experience, typically taking around 1.5 hours to complete.

What is the approximate duration required to complete Season 4?

The estimated time to complete Season 4 of the Secure Code Game is approximately two hours. However, this duration can vary significantly based on individual playstyle and depth of exploration. Some players might progress through the levels more quickly, while others may choose to delve deeper into each challenge, experimenting with multiple approaches to exploit vulnerabilities and understand the underlying mechanisms. The game encourages thorough exploration and a 'hacker mindset,' where trying different commands and pushing the boundaries of ProdBot's capabilities is part of the learning process. Therefore, players who engage in more extensive experimentation might spend more time, ultimately gaining a richer understanding of agentic AI security.

Is participation in the GitHub Secure Code Game Season 4 free of charge?

Yes, Season 4 of the Secure Code Game is completely free to play. It is an open-source initiative by GitHub, designed to provide accessible and engaging cybersecurity training. The game runs entirely within GitHub Codespaces, a cloud-based development environment that offers up to 60 hours of free usage per month. This means there's no need for players to install any software locally, configure complex development environments, or incur any costs related to the platform itself, as long as they stay within the free Codespaces tier. This setup makes it incredibly easy and cost-effective for anyone with a GitHub account to jump in and start honing their agentic AI security skills immediately, without financial barriers.

Are there any rate limits when playing Season 4, and how do they impact gameplay?

Yes, Season 4 of the Secure Code Game utilizes GitHub Models for its AI capabilities, which are subject to specific rate limits. These limits are in place to ensure responsible use of the underlying AI infrastructure and to prevent abuse. If a player encounters a rate limit during gameplay, ProdBot will inform them that they have temporarily exceeded the allowed number of requests. In such cases, the recommended action is to simply wait for the rate limit to reset, after which gameplay can be seamlessly resumed from where it left off. GitHub provides documentation on the responsible use of GitHub Models, including details on rate limits, to help players understand these operational parameters and plan their gameplay accordingly. This ensures a fair and sustainable environment for all participants.

امنیت عامل هوش مصنوعی: بازی کد امن گیت‌هاب مهارت‌های عامل‌محور را تقویت می‌کند

امنیت عامل‌محور هوش مصنوعی: دفاع خود را با بازی کد امن گیت‌هاب ارتقا دهید

تکامل سریع هوش مصنوعی همچنان در حال شکل‌دهی مجدد به چشم‌انداز دیجیتال ماست. اخیراً، ابزارهایی مانند OpenClaw، یک دستیار هوش مصنوعی شخصی متن‌باز، تخیلات را به خود مشغول کرده‌اند و نوید می‌دهند که صندوق‌های ورودی را پاک کنند، تقویم‌ها را مدیریت کنند، در وب بگردند و حتی افزونه‌های خود را بنویسند. در حالی که پتانسیل چنین عامل‌های هوش مصنوعی خودگردانی بی‌شک تحول‌آفرین است، اما سوالی حیاتی را نیز برمی‌انگیزد: چه اتفاقی می‌افتد اگر این قدرت به دست افراد مخرب بیفتد؟ چه می‌شود اگر یک عامل فریب بخورد تا به فایل‌های غیرمجاز دسترسی پیدا کند، محتوای وب آلوده را پردازش کند، یا کورکورانه به داده‌های فاسد در یک گردش کار چندعاملی اعتماد کند؟

این نگرانی‌های امنیتی فوری دقیقاً همان چیزی است که گیت‌هاب قصد دارد با فصل ۴ بازی کد امن تحسین‌شده خود به آن بپردازد. با تکیه بر مأموریت خود برای جذاب و قابل دسترس کردن آموزش امنیت، این آخرین نسخه، توسعه‌دهندگان و علاقه‌مندان به امنیت را به "هک عامل هوش مصنوعی" به چالش می‌کشد، و از این طریق مهارت‌های حیاتی امنیت عامل‌محور هوش مصنوعی را می‌سازد.

بازی کد امن: پلتفرمی در حال تکامل برای مهارت‌های امنیت سایبری

از زمان آغاز به کار خود در مارس ۲۰۲۳، بازی کد امن یک تجربه یادگیری منحصر به فرد و درون‌ویرایشگر ارائه داده است که در آن بازیکنان کدهای عمداً آسیب‌پذیر را مورد بهره‌برداری قرار داده و سپس آن‌ها را رفع می‌کنند. فلسفه اصلی – لذت‌بخش کردن آموزش امنیت – ثابت مانده و همگام با چشم‌انداز تهدید تکامل یافته است.

فصل ۱ توسعه‌دهندگان را با شیوه‌های اساسی کدنویسی امن آشنا کرد و رویکردی عملی برای شناسایی و رفع آسیب‌پذیری‌ها ارائه داد. فصل ۲ این چالش‌ها را به محیط‌های چندپشته‌ای گسترش داد و مشارکت‌های جامعه را در زبان‌های محبوب مانند JavaScript، Python، Go و GitHub Actions تقویت کرد. با تشخیص اهمیت رو به رشد هوش مصنوعی، فصل ۳ به امنیت مدل زبان بزرگ (LLM) روی آورد و به بازیکنان آموزش داد که چگونه پرامپت‌های مخرب را ایجاد کرده و در برابر آن‌ها دفاع کنند. بیش از ۱۰,۰۰۰ توسعه‌دهنده از این پلتفرم برای تقویت زیرکی امنیتی خود استفاده کرده‌اند و با پیشرفت فناوری، خود را با چالش‌های جدید تطبیق داده‌اند.

اکنون، با تبدیل شدن دستیاران کدنویسی هوش مصنوعی به جریان اصلی و حرکت عامل‌های هوش مصنوعی خودمختار از نمونه‌های اولیه تحقیقاتی به تولید، فصل ۴ به مرز بعدی می‌پردازد: امنیت سیستم‌های عامل‌محور هوش مصنوعی. این سیستم‌ها، که قادر به مرور وب خودگردان، فراخوانی APIها و هماهنگی چندعاملی هستند، دسته‌ای جدید از بردارهای حمله را ارائه می‌دهند که نیازمند درک تخصصی و استراتژی‌های دفاعی هستند. برای کسانی که به دنبال تعمیق درک خود از مبانی امنیت هوش مصنوعی هستند، کاوش منابعی مانند عملیاتی کردن هوش مصنوعی عامل‌محور: بخش ۱ - راهنمای ذینفعان می‌تواند زمینه ارزشمندی را فراهم کند.

چرا امنیت عامل‌محور هوش مصنوعی یک ضرورت حیاتی است

زمان‌بندی برای یک آموزش اختصاصی امنیت عامل‌محور هوش مصنوعی تصادفی نیست. پذیرش عامل‌های هوش مصنوعی خودمختار در حال شتاب است، اما آمادگی امنیتی به شدت عقب افتاده است. گزارش‌های اخیر صنعت این شکاف رو به گسترش را برجسته می‌کنند:

۱۰ آسیب‌پذیری برتر OWASP برای برنامه‌های عامل‌محور ۲۰۲۶، که با بینش بیش از ۱۰۰ محقق امنیتی توسعه یافته است، اکنون تهدیداتی مانند ربودن هدف عامل، سوءاستفاده از ابزار، سوءاستفاده از هویت و آلودگی حافظه را به عنوان نگرانی‌های اصلی لیست می‌کند.
نظرسنجی‌ای که توسط Dark Reading انجام شد نشان داد که ۴۸٪ از متخصصان امنیت سایبری پیش‌بینی می‌کنند که هوش مصنوعی عامل‌محور تا پایان سال ۲۰۲۶ به بردار حمله اصلی تبدیل خواهد شد.
گزارش "وضعیت امنیت هوش مصنوعی ۲۰۲۶" سیسکو به طرز نگران‌کننده‌ای نشان داد که در حالی که ۸۳٪ از سازمان‌ها قصد دارند قابلیت‌های هوش مصنوعی عامل‌محور را به کار گیرند، تنها ۲۹٪ خود را برای انجام این کار به صورت امن آماده می‌دانند.

این نابرابری آشکار، زمینه‌های مساعدی برای آسیب‌پذیری‌ها ایجاد می‌کند. موثرترین راه برای پر کردن این شکاف و تقویت سیستم‌ها، یادگیری تفکر مانند یک مهاجم است – اصلی که اساس کل تجربه بازی کد امن را تشکیل می‌دهد. درک نحوه بهره‌برداری از این سیستم‌ها، اولین گام به سوی ساخت دفاع‌های قوی است. بینش‌های بیشتر در مورد ایمن‌سازی سیستم‌های هوش مصنوعی را می‌توان در بحث‌های مربوط به طراحی عامل‌ها برای مقاومت در برابر تزریق پرامپت یافت.

معرفی ProdBot: دستیار هوش مصنوعی عمداً آسیب‌پذیر شما

فصل ۴ بازی کد امن، بازیکنان را در نقش مهاجمی قرار می‌دهد که ProdBot را هدف قرار می‌دهد، یک دستیار هوش مصنوعی عمداً آسیب‌پذیر و متمرکز بر بهره‌وری برای ترمینال شما. ProdBot با الهام از ابزارهای واقعی مانند OpenClaw و GitHub Copilot CLI، زبان طبیعی را به دستورات bash ترجمه می‌کند، در وب شبیه‌سازی‌شده حرکت می‌کند، با سرورهای MCP (پروتکل زمینه مدل) تعامل دارد، مهارت‌های تاییدشده را اجرا می‌کند، حافظه پایدار را حفظ می‌کند و گردش کارهای پیچیده چندعاملی را هماهنگ می‌کند.

ماموریت بازیکن در پنج سطح پیشرونده به طرز فریبنده‌ای ساده است: از پرامپت‌های زبان طبیعی استفاده کنید تا ProdBot را مجبور به فاش کردن یک راز کنید که هرگز نباید افشا کند – به طور خاص، محتویات password.txt. بازیابی موفق این فایل به معنای کشف و بهره‌برداری از یک آسیب‌پذیری امنیتی است. هیچ تجربه قبلی در هوش مصنوعی یا کدنویسی لازم نیست؛ تنها کنجکاوی و تمایل به آزمایش مورد نیاز است زیرا تمام تعاملات از طریق زبان طبیعی در CLI انجام می‌شود.

آسیب‌پذیری‌های پیشرونده: تسلط بر سطح حمله عامل‌محور

فصل ۴ بازی کد امن به گونه‌ای طراحی شده است که منعکس‌کننده تکامل واقعی ابزارهای مبتنی بر هوش مصنوعی باشد. هر یک از پنج سطح، قابلیت‌های جدیدی را به ProdBot معرفی می‌کند و همزمان سطوح حمله جدیدی را برای کشف و بهره‌برداری بازیکنان آشکار می‌سازد. این پیچیدگی افزایشی به بازیکنان کمک می‌کند تا درک کنند که چگونه آسیب‌پذیری‌ها با کسب خودمختاری و دسترسی بیشتر توسط عامل‌های هوش مصنوعی، انباشته و تغییر می‌کنند.

در اینجا تفکیک تکامل ProdBot و چالش‌های امنیتی مربوطه آمده است:

سطح	قابلیت جدید ProdBot	سطح حمله و چالش
۱	اجرای دستورات Bash در فضای کاری sandbox شده.	خروج از محیط sandbox.
۲	دسترسی وب به اینترنت شبیه‌سازی شده.	بهره‌برداری از آسیب‌پذیری‌های معرفی شده توسط محتوای وب غیرقابل اعتماد.
۳	اتصال به سرورهای MCP خارجی (قیمت سهام، مرور وب، پشتیبان‌گیری ابری).	شناسایی نقاط ضعف در یکپارچه‌سازی ابزار و تعامل با سرویس‌های خارجی.
۴	مهارت‌های تایید شده سازمان و حافظه پایدار.	دور زدن لایه‌های اعتماد، بهره‌برداری از افزونه‌های از پیش ساخته شده، یا دستکاری حافظه.
۵	هماهنگی شش عامل تخصصی، سه سرور MCP، سه مهارت و یک وب پروژه متن‌باز شبیه‌سازی شده.	آزمایش ادعاهای مربوط به sandboxing عامل و پیش‌تایید داده‌ها در یک محیط پیچیده چندعاملی.

این پیشرفت برای ایجاد درکی شهودی از خطرات امنیتی هوش مصنوعی عامل‌محور طراحی شده است. الگوهای حمله‌ای که در فصل ۴ کشف شده‌اند نظری نیستند؛ آن‌ها تهدیدات واقعی را نشان می‌دهند که تیم‌های امنیتی در حال حاضر با استقرار سیستم‌های هوش مصنوعی خودمختار در محیط‌های تولیدی با آن‌ها روبرو هستند. یک مثال برجسته CVE-2026-25253 (CVSS 8.8 – بالا) است که "ClawBleed" نامیده می‌شود، یک آسیب‌پذیری اجرای کد از راه دور (RCE) با یک کلیک که به مهاجمان اجازه می‌داد توکن‌های احراز هویت را از طریق یک لینک مخرب به سرقت ببرند و کنترل کامل یک نمونه OpenClaw را به دست آورند.

هدف نهایی فراتر از صرفاً کشف یک بهره‌برداری خاص است. این در مورد پرورش یک غریزه امنیتی ذاتی است – توانایی تشخیص این الگوهای خطرناک، چه در بازبینی معماری یک عامل، حسابرسی یکپارچگی ابزارها، یا تعیین سطح مناسب خودمختاری برای یک دستیار هوش مصنوعی در تیم شما. این در مورد درک چگونگی ساخت گردش کارهای عامل‌محور امن‌تر است، موضوعی که در بحث‌های مربوط به توسعه مبتنی بر عامل در علم کاربردی Copilot بیشتر توضیح داده شده است.

همین امروز شروع کنید و غرایز امنیتی هوش مصنوعی خود را تقویت کنید

یکی از جذاب‌ترین جنبه‌های بازی کد امن، دسترسی‌پذیری آن است. کل تجربه در GitHub Codespaces اجرا می‌شود و نیاز به هرگونه نصب محلی یا پیکربندی پیچیده را از بین می‌برد. با حداکثر ۶۰ ساعت استفاده رایگان در ماه که توسط Codespaces ارائه می‌شود، بازیکنان می‌توانند در کمتر از دو دقیقه و کاملاً رایگان وارد ترمینال ProdBot شوند. هر فصل مستقل است و به بازیکنان اجازه می‌دهد مستقیماً به فصل ۴ بپرند بدون اینکه فصل‌های قبلی را تکمیل کرده باشند، اگرچه فصل ۳ پایه‌ای مفید در امنیت عمومی هوش مصنوعی ارائه می‌دهد.

تنها چیزی که نیاز دارید، یک ذهنیت هکر و تمایل به آزمایش است. آینده هوش مصنوعی به طور فزاینده‌ای عامل‌محور است و درک پیامدهای امنیتی آن دیگر اختیاری نیست.

آماده‌اید عامل هوش مصنوعی را هک کنید و مهارت‌های امنیتی عامل‌محور هوش مصنوعی خود را بسازید؟ همین حالا فصل ۴ را شروع کنید >

با تشکر ویژه از Rahul Zhade، مهندس امنیت محصول در گیت‌هاب، و Bartosz Gałek، خالق فصل ۳، برای مشارکت‌های ارزشمندشان در آزمایش و بهبود فصل ۴.