Do I need AI or coding experience to play Season 4 of the Secure Code Game?

No, prior AI or coding experience is not necessary to participate in Season 4 of the GitHub Secure Code Game. The entire experience is designed to be accessible through natural language interactions within a command-line interface (CLI). Players simply use plain English, or any preferred language, to prompt ProdBot, and the bot responds accordingly. The primary requirement is curiosity and a willingness to experiment. This approach allows developers, security professionals, and even those new to AI or programming to focus on developing crucial security instincts and understanding attack patterns, rather than getting bogged down in complex syntax or advanced AI concepts. The game teaches you to think like an attacker by exploring vulnerabilities through intuitive commands, making it an an engaging and effective learning tool for a broad audience.

Is it mandatory to complete previous seasons before diving into Season 4?

No, completing the previous seasons of the Secure Code Game is not a prerequisite for playing Season 4. Each season is designed to be self-contained, allowing players to jump directly into the latest challenges without prior knowledge of earlier content. However, it's worth noting that Season 3 specifically focused on Large Language Model (LLM) security, covering topics like crafting malicious prompts and defending against them. This foundation in general AI security can be quite beneficial for understanding the broader context of agentic AI vulnerabilities, as agentic systems often incorporate LLMs. While not required, players interested in building a comprehensive understanding of AI security might find Season 3 to be a helpful, though optional, preparatory experience, typically taking around 1.5 hours to complete.

What is the approximate duration required to complete Season 4?

The estimated time to complete Season 4 of the Secure Code Game is approximately two hours. However, this duration can vary significantly based on individual playstyle and depth of exploration. Some players might progress through the levels more quickly, while others may choose to delve deeper into each challenge, experimenting with multiple approaches to exploit vulnerabilities and understand the underlying mechanisms. The game encourages thorough exploration and a 'hacker mindset,' where trying different commands and pushing the boundaries of ProdBot's capabilities is part of the learning process. Therefore, players who engage in more extensive experimentation might spend more time, ultimately gaining a richer understanding of agentic AI security.

Is participation in the GitHub Secure Code Game Season 4 free of charge?

Yes, Season 4 of the Secure Code Game is completely free to play. It is an open-source initiative by GitHub, designed to provide accessible and engaging cybersecurity training. The game runs entirely within GitHub Codespaces, a cloud-based development environment that offers up to 60 hours of free usage per month. This means there's no need for players to install any software locally, configure complex development environments, or incur any costs related to the platform itself, as long as they stay within the free Codespaces tier. This setup makes it incredibly easy and cost-effective for anyone with a GitHub account to jump in and start honing their agentic AI security skills immediately, without financial barriers.

Are there any rate limits when playing Season 4, and how do they impact gameplay?

Yes, Season 4 of the Secure Code Game utilizes GitHub Models for its AI capabilities, which are subject to specific rate limits. These limits are in place to ensure responsible use of the underlying AI infrastructure and to prevent abuse. If a player encounters a rate limit during gameplay, ProdBot will inform them that they have temporarily exceeded the allowed number of requests. In such cases, the recommended action is to simply wait for the rate limit to reset, after which gameplay can be seamlessly resumed from where it left off. GitHub provides documentation on the responsible use of GitHub Models, including details on rate limits, to help players understand these operational parameters and plan their gameplay accordingly. This ensures a fair and sustainable environment for all participants.

Sécurité des agents IA : Le jeu Secure Code de GitHub affine les compétences des agents IA

Sécurité de l'IA agentique : Améliorez votre défense avec le jeu Secure Code de GitHub

L'évolution rapide de l'intelligence artificielle continue de remodeler notre paysage numérique. Récemment, des outils comme OpenClaw, un assistant IA personnel open source, ont captivé l'imagination, promettant de vider les boîtes de réception, de gérer les calendriers, de naviguer sur le web et même d'écrire ses propres plugins. Bien que le potentiel de ces agents IA autonomes soit indéniablement transformateur, il soulève également une question cruciale : que se passe-t-il lorsque ce pouvoir tombe entre de mauvaises mains ? Que se passe-t-il si un agent est incité à accéder à des fichiers non autorisés, à traiter du contenu web falsifié, ou à faire aveuglément confiance à des données corrompues au sein d'un flux de travail multi-agents ?

Ces préoccupations de sécurité pressantes sont précisément ce que GitHub vise à aborder avec la Saison 4 de son jeu Secure Code acclamé. S'appuyant sur sa mission de rendre la formation à la sécurité engageante et accessible, cette dernière itération met au défi les développeurs et les passionnés de sécurité de "pirater l'agent IA", développant ainsi des compétences vitales en sécurité de l'IA agentique.

Le jeu Secure Code : une plateforme évolutive pour les compétences en cybersécurité

Depuis sa création en mars 2023, le jeu Secure Code a offert une expérience d'apprentissage unique, directement dans l'éditeur, où les joueurs exploitent puis corrigent du code intentionnellement vulnérable. La philosophie principale—rendre la formation à la sécurité agréable—est restée constante, évoluant avec le paysage des menaces.

La Saison 1 a initié les développeurs aux pratiques fondamentales de codage sécurisé, offrant une approche pratique pour identifier et corriger les vulnérabilités. La Saison 2 a étendu ces défis pour englober des environnements multi-stacks, favorisant les contributions de la communauté à travers des langages populaires comme JavaScript, Python, Go et GitHub Actions. Reconnaissant l'importance croissante de l'IA, la Saison 3 s'est orientée vers la sécurité des grands modèles de langage (LLM), enseignant aux joueurs comment créer et se défendre contre des prompts malveillants. Plus de 10 000 développeurs ont tiré parti de cette plateforme pour affiner leur sens de la sécurité, s'adaptant aux nouveaux défis à mesure que la technologie progresse.

Maintenant, avec les assistants de codage IA qui se généralisent et les agents IA autonomes qui passent des prototypes de recherche à la production, la Saison 4 aborde la prochaine frontière : la sécurité des systèmes d'IA agentiques. Ces systèmes, capables de navigation web autonome, d'appels API et de coordination multi-agents, présentent une nouvelle classe de vecteurs d'attaque qui exigent une compréhension spécialisée et des stratégies de défense. Pour ceux qui souhaitent approfondir leur compréhension des fondamentaux de la sécurité de l'IA, l'exploration de ressources comme Opérationnalisation de l'IA agentique : Partie 1 - Un guide pour les parties prenantes peut fournir un contexte précieux.

Pourquoi la sécurité de l'IA agentique est un impératif critique

Le moment choisi pour une formation dédiée à la sécurité de l'IA agentique n'est pas un hasard. L'adoption des agents IA autonomes s'accélère, mais la préparation à la sécurité accuse un retard critique. De récents rapports de l'industrie soulignent cet écart croissant :

L'OWASP Top 10 pour les applications agentiques 2026, élaboré avec les contributions de plus de 100 chercheurs en sécurité, répertorie désormais des menaces telles que le détournement d'objectifs d'agents, l'abus d'outils, l'usurpation d'identité et l'empoisonnement de la mémoire comme principales préoccupations.
Une enquête de Dark Reading a révélé que 48 % des professionnels de la cybersécurité prévoient que l'IA agentique deviendra le principal vecteur d'attaque d'ici la fin de 2026.
Le rapport 2026 de Cisco sur l'état de la sécurité de l'IA a révélé, de manière alarmante, que si 83 % des organisations prévoient de déployer des capacités d'IA agentique, seulement 29 % se sentent prêtes à le faire en toute sécurité.

Cette disparité frappante crée un terrain fertile pour les vulnérabilités. Le moyen le plus efficace de combler cet écart et de renforcer les systèmes est d'apprendre à penser comme un attaquant – un principe qui sous-tend toute l'expérience du jeu Secure Code. Comprendre comment exploiter ces systèmes est la première étape vers la construction de défenses robustes. Des informations supplémentaires sur la sécurisation des systèmes d'IA peuvent être trouvées dans les discussions concernant La conception d'agents pour résister à l'injection de prompts.

Présentation de ProdBot : Votre assistant IA délibérément vulnérable

La Saison 4 du jeu Secure Code place les joueurs dans la peau d'un attaquant ciblant ProdBot, un assistant IA délibérément vulnérable, axé sur la productivité, pour votre terminal. Inspiré par des outils réels comme OpenClaw et GitHub Copilot CLI, ProdBot traduit le langage naturel en commandes bash, navigue sur un web simulé, interagit avec des serveurs MCP (Model Context Protocol), exécute des compétences approuvées, maintient une mémoire persistante et orchestre des flux de travail multi-agents complexes.

La mission du joueur à travers cinq niveaux progressifs est d'une simplicité trompeuse : utiliser des prompts en langage naturel pour contraindre ProdBot à révéler un secret qu'il ne devrait jamais exposer – plus précisément, le contenu de password.txt. La récupération réussie de ce fichier signifie la découverte et l'exploitation d'une vulnérabilité de sécurité. Aucune expérience préalable en IA ou en codage n'est requise ; seule la curiosité et la volonté d'expérimenter sont nécessaires, car toutes les interactions se déroulent en langage naturel au sein de la CLI.

Vulnérabilités progressives : Maîtriser la surface d'attaque agentique

Le jeu Secure Code Saison 4 est structuré pour refléter l'évolution réelle des outils basés sur l'IA. Chacun des cinq niveaux introduit de nouvelles capacités à ProdBot, exposant simultanément de nouvelles surfaces d'attaque que les joueurs peuvent découvrir et exploiter. Cette complexité incrémentielle aide les joueurs à comprendre comment les vulnérabilités s'accumulent et se transforment à mesure que les agents IA gagnent en autonomie et en accès.

Voici une ventilation de l'évolution de ProdBot et des défis de sécurité correspondants :

Niveau	Nouvelle capacité de ProdBot	Surface d'attaque et défi
1	Exécution de commandes Bash dans un espace de travail sandboxé.	Sortir de l'environnement sandbox.
2	Accès web à un internet simulé.	Exploiter les vulnérabilités introduites par un contenu web non fiable.
3	Connexion à des serveurs MCP externes (cotations boursières, navigation web, sauvegarde cloud).	Identifier les faiblesses dans l'intégration des outils et l'interaction avec les services externes.
4	Compétences approuvées par l'organisation et mémoire persistante.	Contourner les couches de confiance, exploiter les plugins pré-construits ou manipuler la mémoire.
5	Orchestration de six agents spécialisés, trois serveurs MCP, trois compétences et un web de projet open source simulé.	Tester les affirmations de sandboxing d'agents et de pré-vérification des données dans un environnement multi-agents complexe.

Cette progression est conçue pour développer une compréhension intuitive des risques de sécurité de l'IA agentique. Les schémas d'attaque découverts dans la Saison 4 ne sont pas théoriques ; ils représentent les menaces réelles auxquelles les équipes de sécurité sont actuellement confrontées alors que des systèmes d'IA autonomes sont déployés dans des environnements de production. Un excellent exemple est le CVE-2026-25253 (CVSS 8.8 – Élevé), surnommé 'ClawBleed', une vulnérabilité d'exécution de code à distance (RCE) en un clic qui a permis aux attaquants de voler des jetons d'authentification via un lien malveillant, obtenant un contrôle total d'une instance OpenClaw.

L'objectif ultime va au-delà de la simple découverte d'un exploit spécifique. Il s'agit de cultiver un instinct de sécurité inhérent – la capacité de reconnaître ces schémas dangereux, qu'il s'agisse d'examiner l'architecture d'un agent, d'auditer les intégrations d'outils ou de déterminer le niveau d'autonomie approprié pour un assistant IA au sein de votre équipe. Il s'agit de comprendre comment construire des flux de travail agentiques plus sécurisés, un sujet davantage détaillé dans les discussions autour du Développement piloté par l'agent dans Copilot Applied Science.

Commencez dès aujourd'hui et affinez vos instincts de sécurité de l'IA

L'un des aspects les plus attrayants du jeu Secure Code est son accessibilité. L'expérience entière se déroule au sein de GitHub Codespaces, éliminant le besoin de toute installation locale ou de configurations complexes. Avec jusqu'à 60 heures d'utilisation gratuite par mois offertes par Codespaces, les joueurs peuvent plonger dans le terminal de ProdBot en moins de deux minutes, entièrement gratuitement. Chaque saison est autonome, permettant aux joueurs de se lancer directement dans la Saison 4 sans avoir terminé les précédentes, bien que la Saison 3 offre une base utile en sécurité générale de l'IA.

Tout ce dont vous avez besoin, c'est d'un état d'esprit de hacker et d'une volonté d'expérimenter. L'avenir de l'IA est de plus en plus agentique, et comprendre ses implications en matière de sécurité n'est plus une option.

Prêt à pirater l'agent IA et à développer vos compétences en sécurité de l'IA agentique ? Commencez la Saison 4 maintenant >

Remerciements spéciaux à Rahul Zhade, ingénieur de sécurité produit chez GitHub, et Bartosz Gałek, créateur de la Saison 3, pour leurs contributions inestimables aux tests et à l'amélioration de la Saison 4.