Do I need AI or coding experience to play Season 4 of the Secure Code Game?

No, prior AI or coding experience is not necessary to participate in Season 4 of the GitHub Secure Code Game. The entire experience is designed to be accessible through natural language interactions within a command-line interface (CLI). Players simply use plain English, or any preferred language, to prompt ProdBot, and the bot responds accordingly. The primary requirement is curiosity and a willingness to experiment. This approach allows developers, security professionals, and even those new to AI or programming to focus on developing crucial security instincts and understanding attack patterns, rather than getting bogged down in complex syntax or advanced AI concepts. The game teaches you to think like an attacker by exploring vulnerabilities through intuitive commands, making it an an engaging and effective learning tool for a broad audience.

Is it mandatory to complete previous seasons before diving into Season 4?

No, completing the previous seasons of the Secure Code Game is not a prerequisite for playing Season 4. Each season is designed to be self-contained, allowing players to jump directly into the latest challenges without prior knowledge of earlier content. However, it's worth noting that Season 3 specifically focused on Large Language Model (LLM) security, covering topics like crafting malicious prompts and defending against them. This foundation in general AI security can be quite beneficial for understanding the broader context of agentic AI vulnerabilities, as agentic systems often incorporate LLMs. While not required, players interested in building a comprehensive understanding of AI security might find Season 3 to be a helpful, though optional, preparatory experience, typically taking around 1.5 hours to complete.

What is the approximate duration required to complete Season 4?

The estimated time to complete Season 4 of the Secure Code Game is approximately two hours. However, this duration can vary significantly based on individual playstyle and depth of exploration. Some players might progress through the levels more quickly, while others may choose to delve deeper into each challenge, experimenting with multiple approaches to exploit vulnerabilities and understand the underlying mechanisms. The game encourages thorough exploration and a 'hacker mindset,' where trying different commands and pushing the boundaries of ProdBot's capabilities is part of the learning process. Therefore, players who engage in more extensive experimentation might spend more time, ultimately gaining a richer understanding of agentic AI security.

Is participation in the GitHub Secure Code Game Season 4 free of charge?

Yes, Season 4 of the Secure Code Game is completely free to play. It is an open-source initiative by GitHub, designed to provide accessible and engaging cybersecurity training. The game runs entirely within GitHub Codespaces, a cloud-based development environment that offers up to 60 hours of free usage per month. This means there's no need for players to install any software locally, configure complex development environments, or incur any costs related to the platform itself, as long as they stay within the free Codespaces tier. This setup makes it incredibly easy and cost-effective for anyone with a GitHub account to jump in and start honing their agentic AI security skills immediately, without financial barriers.

Are there any rate limits when playing Season 4, and how do they impact gameplay?

Yes, Season 4 of the Secure Code Game utilizes GitHub Models for its AI capabilities, which are subject to specific rate limits. These limits are in place to ensure responsible use of the underlying AI infrastructure and to prevent abuse. If a player encounters a rate limit during gameplay, ProdBot will inform them that they have temporarily exceeded the allowed number of requests. In such cases, the recommended action is to simply wait for the rate limit to reset, after which gameplay can be seamlessly resumed from where it left off. GitHub provides documentation on the responsible use of GitHub Models, including details on rate limits, to help players understand these operational parameters and plan their gameplay accordingly. This ensures a fair and sustainable environment for all participants.

DI agentų saugumas: GitHub saugaus kodo žaidimas tobulina agentinius įgūdžius

title: 'DI agentų saugumas: GitHub saugaus kodo žaidimas tobulina agentinius įgūdžius' slug: "hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game" date: "2026-04-17" lang: "lt" source: "https://github.blog/security/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game/" category: "DI Saugumas" keywords:

Agentinio dirbtinio intelekto saugumas
Dirbtinio intelekto saugumas
GitHub saugaus kodo žaidimas
Kibernetinio saugumo mokymai
Saugus kodavimas
OWASP 10 geriausi agentinėms programoms
DI agentai
Pažeidžiamumų vertinimas
GitHub Codespaces
Saugumo mokymas
Užklausų inžinerijos saugumas
Kūrėjų saugumo įgūdžiai meta_description: "Naršykite „GitHub Secure Code Game“ 4-ajame sezone, kad įgytumėte esminių agentinio dirbtinio intelekto saugumo įgūdžių. Išmokite identifikuoti ir šalinti pažeidžiamumus autonominiuose DI agentuose, tokiuose kaip ProdBot, šiuose interaktyviuose, nemokamuose mokymuose." image: "/images/articles/hack-the-ai-agent-build-agentic-ai-security-skills-with-the-github-secure-code-game.png" image_alt: "Stilizuotas vaizdas, rodantis įsilaužėlio požiūrį į DI agento kodą, atspindintis agentinio dirbtinio intelekto saugumo mokymus „GitHub Secure Code Game“." quality_score: 94 content_score: 93 seo_score: 95 companies:
GitHub schema_type: "NewsArticle" reading_time: 7 faq:
question: "Ar man reikia DI ar programavimo patirties, norint žaisti 4-ąjį „Secure Code Game“ sezoną?" answer: "Ne, ankstesnė DI ar programavimo patirtis nėra būtina norint dalyvauti „GitHub Secure Code Game“ 4-ajame sezone. Visa patirtis sukurta taip, kad būtų prieinama per natūralios kalbos sąveiką komandų eilutės sąsajoje (CLI). Žaidėjai tiesiog naudoja paprastą anglų kalbą arba bet kurią pageidaujamą kalbą, kad pateiktų užklausą ProdBot, ir bot'as atitinkamai atsako. Pagrindinis reikalavimas yra smalsumas ir noras eksperimentuoti. Šis požiūris leidžia kūrėjams, saugumo specialistams ir net tiems, kurie naujai susiduria su DI ar programavimu, sutelkti dėmesį į esminių saugumo instinktų ugdymą ir atakų modelių supratimą, o ne įsitraukti į sudėtingą sintaksę ar pažangias DI koncepcijas. Žaidimas moko mąstyti kaip atakuojančiam, tyrinėjant pažeidžiamumus per intuityvias komandas, todėl tai yra įtraukiantis ir efektyvus mokymosi įrankis plačiajai auditorijai."
question: "Ar privaloma užbaigti ankstesnius sezonus prieš pradedant 4-ąjį sezoną?" answer: "Ne, ankstesnių „Secure Code Game“ sezonų užbaigimas nėra privalomas norint žaisti 4-ąjį sezoną. Kiekvienas sezonas yra sukurtas kaip atskiras, leidžiantis žaidėjams iškart pasinerti į naujausius iššūkius be ankstesnio turinio žinių. Tačiau verta paminėti, kad 3-iasis sezonas buvo skirtas didelių kalbos modelių (LLM) saugumui, apimant tokias temas kaip kenkėjiškų užklausų kūrimas ir apsauga nuo jų. Šis bendrojo DI saugumo pagrindas gali būti labai naudingas norint suprasti platesnį agentinių DI pažeidžiamumų kontekstą, nes agentinės sistemos dažnai apima LLM. Nors ir neprivaloma, žaidėjai, norintys išsamiai suprasti DI saugumą, gali rasti 3-ąjį sezoną naudinga, nors ir neprivaloma, pasirengimo patirtimi, kuriai paprastai prireikia apie 1,5 valandos."
question: "Kokia yra apytikslė trukmė, reikalinga 4-ojo sezono užbaigimui?" answer: "Numatomas laikas užbaigti 4-ąjį „Secure Code Game“ sezoną yra maždaug dvi valandos. Tačiau ši trukmė gali labai skirtis priklausomai nuo individualaus žaidimo stiliaus ir tyrinėjimo gylio. Kai kurie žaidėjai gali greičiau pereiti lygius, o kiti gali nuspręsti giliau panirti į kiekvieną iššūkį, eksperimentuodami su keliais metodais, siekiant išnaudoti pažeidžiamumus ir suprasti pagrindinius mechanizmus. Žaidimas skatina nuodugnų tyrinėjimą ir 'įsilaužėlio mentalitetą', kur skirtingų komandų išbandymas ir ProdBot galimybių ribų peržengimas yra mokymosi proceso dalis. Todėl žaidėjai, kurie intensyviau eksperimentuoja, gali praleisti daugiau laiko, galiausiai įgydami gilesnį agentinio DI saugumo supratimą."
question: "Ar dalyvavimas „GitHub Secure Code Game“ 4-ajame sezone yra nemokamas?" answer: "Taip, 4-ąjį „Secure Code Game“ sezoną galima žaisti visiškai nemokamai. Tai „GitHub“ atvirojo kodo iniciatyva, skirta suteikti prieinamus ir įtraukiančius kibernetinio saugumo mokymus. Žaidimas visiškai veikia „GitHub Codespaces“ – debesies pagrindu sukurtoje kūrimo aplinkoje, kuri siūlo iki 60 valandų nemokamo naudojimo per mėnesį. Tai reiškia, kad žaidėjams nereikia vietinėje sistemoje diegti jokios programinės įrangos, konfigūruoti sudėtingų kūrimo aplinkų ar patirti jokių su pačia platforma susijusių išlaidų, jei jie laikosi nemokamo „Codespaces“ lygio. Ši sąranka leidžia nepaprastai lengvai ir ekonomiškai efektyviai bet kam, turinčiam „GitHub“ paskyrą, prisijungti ir nedelsiant pradėti tobulinti savo agentinio DI saugumo įgūdžius, be finansinių kliūčių."
question: "Ar žaidžiant 4-ąjį sezoną yra kokių nors užklausų ribojimų ir kaip jie paveikia žaidimą?" answer: "Taip, 4-asis „Secure Code Game“ sezonas naudoja „GitHub“ modelius savo DI galimybėms, kuriems taikomi konkretūs užklausų ribojimai. Šie ribojimai yra įvesti siekiant užtikrinti atsakingą pagrindinės DI infrastruktūros naudojimą ir užkirsti kelią piktnaudžiavimui. Jei žaidimo metu žaidėjas susiduria su užklausų ribojimu, ProdBot jį informuos, kad laikinai viršijo leistiną užklausų skaičių. Tokiais atvejais rekomenduojama tiesiog palaukti, kol užklausų ribojimas bus atstatytas, po ko žaidimas gali būti sklandžiai tęsiamas nuo ten, kur buvo sustota. „GitHub“ teikia dokumentaciją apie atsakingą „GitHub“ modelių naudojimą, įskaitant išsamią informaciją apie užklausų ribojimus, kad padėtų žaidėjams suprasti šiuos veikimo parametrus ir atitinkamai planuoti savo žaidimą. Tai užtikrina sąžiningą ir tvarią aplinką visiems dalyviams."

DI agentų saugumas: patobulinkite savo gynybą su GitHub saugaus kodo žaidimu

Sparti dirbtinio intelekto evoliucija ir toliau keičia mūsų skaitmeninę aplinką. Pastaruoju metu tokios priemonės kaip OpenClaw, atvirojo kodo asmeninis DI asistentas, sužavėjo vaizduotę, žadėdamos išvalyti gautuosius, tvarkyti kalendorius, naršyti internete ir net rašyti savo papildinius. Nors tokių autonominių DI agentų potencialas neabejotinai transformuojantis, jis taip pat kelia kritinį klausimą: kas nutiks, jei ši galia pateks į piktavalių rankas? Kas nutiks, jei agentas bus apgautas, kad pasiektų neautorizuotus failus, apdorotų užnuodytą žiniatinklio turinį arba aklai pasitikėtų sugadintais duomenimis kelių agentų darbo eigoje?

Šias opias saugumo problemas „GitHub“ siekia spręsti su 4-uoju savo pripažinto „Secure Code Game“ sezonu. Remdamasis savo misija padaryti saugumo mokymus įtraukiančiais ir prieinamais, šis naujausias leidimas meta iššūkį kūrėjams ir saugumo entuziastams „nulaužti DI agentą“, taip ugdant gyvybiškai svarbius agentinio DI saugumo įgūdžius.

„Secure Code Game“: besivystanti platforma kibernetinio saugumo įgūdžiams

Nuo pat savo įkūrimo 2023 m. kovo mėn., „Secure Code Game“ siūlė unikalią, redaktoriuje vykstančią mokymosi patirtį, kurioje žaidėjai išnaudoja ir taiso tyčia pažeidžiamą kodą. Pagrindinė filosofija – padaryti saugumo mokymus maloniais – išliko pastovi, evoliucionuodama kartu su grėsmių kraštovaizdžiu.

1-asis sezonas supažindino kūrėjus su pagrindinėmis saugaus kodavimo praktikomis, siūlydamas praktinį požiūrį į pažeidžiamumų nustatymą ir pataisymą. 2-asis sezonas išplėtė šiuos iššūkius, apimdamas kelių lygmenų aplinkas, skatindamas bendruomenės indėlį į populiarias kalbas, tokias kaip JavaScript, Python, Go ir GitHub Actions. Pripažindama augančią DI svarbą, 3-iasis sezonas pasuko į didelių kalbos modelių (LLM) saugumą, mokydamas žaidėjus, kaip kurti ir gintis nuo kenkėjiškų užklausų. Daugiau nei 10 000 kūrėjų pasinaudojo šia platforma, kad pagerintų savo saugumo įžvalgumą, prisitaikydami prie naujų iššūkių, tobulėjant technologijoms.

Dabar, kai DI kodavimo asistentai tampa įprasti, o autonominiai DI agentai pereina iš tyrimų prototipų į gamybą, 4-asis sezonas sprendžia kitą sritį: agentinių DI sistemų saugumą. Šios sistemos, gebančios autonomiškai naršyti internete, vykdyti API iškvietimus ir koordinuoti kelių agentų darbą, pristato naują atakų vektorių klasę, kuri reikalauja specializuoto supratimo ir gynybos strategijų. Tiems, kurie nori gilintis į DI saugumo pagrindus, tokie ištekliai kaip Agentinio DI operacinis valdymas: 1 dalis – Suinteresuotųjų šalių vadovas gali suteikti vertingo konteksto.

Kodėl agentinio DI saugumas yra kritinis imperatyvas

Specializuotų agentinio DI saugumo mokymų laikas nėra atsitiktinumas. Autonominių DI agentų diegimas spartėja, tačiau pasirengimas saugumui kritiškai atsilieka. Naujausi pramonės pranešimai pabrėžia šią didėjančią spragą:

OWASP 10 geriausi agentinėms programoms 2026 m., sukurtas remiantis daugiau nei 100 saugumo tyrėjų įžvalgomis, dabar įtraukia tokias grėsmes kaip agento tikslo užgrobimas, įrankių netinkamas naudojimas, tapatybės piktnaudžiavimas ir atminties užnuodijimas kaip pagrindinius rūpesčius.
„Dark Reading“ apklausa atskleidė, kad 48% kibernetinio saugumo specialistų prognozuoja, jog agentinis DI taps pagrindiniu atakos vektoriumi iki 2026 m. pabaigos.
„Cisco“ 2026 m. DI saugumo ataskaitoje nerimą kelia tai, kad nors 83% organizacijų planuoja diegti agentines DI galimybes, tik 29% jaučiasi pasirengusios tai padaryti saugiai.

Toks didelis skirtumas sudaro palankią dirvą pažeidžiamumams. Efektyviausias būdas pašalinti šią spragą ir sustiprinti sistemas yra išmokti mąstyti kaip atakuojančiam – principas, kuris yra viso „Secure Code Game“ patirties pagrindas. Supratimas, kaip išnaudoti šias sistemas, yra pirmas žingsnis kuriant tvirtą gynybą. Daugiau įžvalgų apie DI sistemų saugumą galima rasti diskusijose apie Agentų kūrimą, atsparius užklausų įterpimui.

Pristatome ProdBot: jūsų tyčia pažeidžiamą DI asistentą

4-ajame „Secure Code Game“ sezone žaidėjai atsiduria atakuojančiojo vietoje, siekiančio ProdBot – tyčia pažeidžiamo, į produktyvumą orientuoto DI asistento jūsų terminalui. Įkvėptas realaus pasaulio įrankių, tokių kaip OpenClaw ir GitHub Copilot CLI, ProdBot verčia natūralią kalbą į bash komandas, naršo imituotame žiniatinklyje, sąveikauja su MCP (Model Context Protocol) serveriais, vykdo patvirtintus įgūdžius, palaiko nuolatinę atmintį ir organizuoja sudėtingas kelių agentų darbo eigas.

Žaidėjo misija per penkis progresuojančius lygius yra apgaulingai paprasta: naudoti natūralios kalbos užklausas, kad priverstų ProdBot atskleisti paslaptį, kurios jis niekada neturėtų atskleisti – konkrečiai, password.txt turinį. Sėkmingai atgavus šį failą, reiškia saugumo pažeidžiamumo aptikimą ir išnaudojimą. Nereikia jokios ankstesnės DI ar kodavimo patirties; tereikia smalsumo ir noro eksperimentuoti, nes visa sąveika vyksta natūralia kalba CLI aplinkoje.

Progresuojantys pažeidžiamumai: agentinio atakos paviršiaus įvaldymas

„Secure Code Game“ 4-asis sezonas sukurtas taip, kad atspindėtų realų DI pagrindu veikiančių įrankių evoliuciją. Kiekvienas iš penkių lygių pristato naujas ProdBot galimybes, tuo pačiu atskleisdamas naujus atakų paviršius, kuriuos žaidėjai gali atrasti ir išnaudoti. Šis laipsniškas sudėtingumas padeda žaidėjams suprasti, kaip pažeidžiamumai kaupiasi ir keičiasi, DI agentams įgyjant daugiau autonomijos ir prieigos.

Štai ProdBot evoliucijos ir atitinkamų saugumo iššūkių apžvalga:

Lygis	ProdBot nauja galimybė	Atakos paviršius ir iššūkis
1	Bash komandų vykdymas izoliuotoje darbo aplinkoje.	Ištrūkti iš izoliuotos aplinkos.
2	Žiniatinklio prieiga prie imituoto interneto.	Išnaudoti pažeidžiamumus, atsiradusius dėl nepasitikimo žiniatinklio turinio.
3	Ryšys su išoriniais MCP serveriais (akcijų kotiruotės, naršymas internete, debesies atsarginės kopijos).	Nustatyti silpnąsias vietas įrankių integravimo ir sąveikos su išorinėmis paslaugomis srityse.
4	Organizacijos patvirtinti įgūdžiai ir nuolatinė atmintis.	Apeiti pasitikėjimo sluoksnius, išnaudoti iš anksto sukurtus papildinius arba manipuliuoti atmintimi.
5	Šešių specializuotų agentų, trijų MCP serverių, trijų įgūdžių ir imituoto atvirojo kodo projekto žiniatinklio orkestravimas.	Patikrinti agento izoliavimo ir duomenų išankstinio patikrinimo teiginius sudėtingoje kelių agentų aplinkoje.

Ši progresija sukurta taip, kad sukurtų intuityvų agentinio DI saugumo rizikos supratimą. Atakų modeliai, aptikti 4-ajame sezone, nėra teoriniai; jie atspindi realias grėsmes, su kuriomis saugumo komandos šiuo metu susiduria, kai autonominės DI sistemos diegiamos gamybos aplinkose. Puikus pavyzdys yra CVE-2026-25253 (CVSS 8.8 – aukštas), pavadintas „ClawBleed“, vienu paspaudimu vykdomos nuotolinio kodo vykdymo (RCE) pažeidžiamumas, leidęs atakuojantiems pavogti autentifikavimo žetonus per kenkėjišką nuorodą, įgyjant visišką OpenClaw instancijos kontrolę.

Galutinis tikslas yra ne tik atrasti konkretų išnaudojimą. Tai yra įgimto saugumo instinkto ugdymas – gebėjimas atpažinti šiuos pavojingus modelius, peržiūrint agento architektūrą, audituojant įrankių integravimą ar nustatant tinkamą DI asistento autonomijos lygį jūsų komandoje. Tai yra apie supratimą, kaip sukurti saugesnes agentines darbo eigas, tema, kuri toliau išsamiau aptariama diskusijose apie Agentų valdomą kūrimą „Copilot Applied Science“.

Pradėkite ir patobulinkite savo DI saugumo instinktus šiandien

Vienas patraukliausių „Secure Code Game“ aspektų yra jo prieinamumas. Visa patirtis veikia „GitHub Codespaces“ aplinkoje, pašalinant bet kokio vietinio diegimo ar sudėtingų konfigūracijų poreikį. Su iki 60 valandų nemokamo naudojimo per mėnesį, teikiamo „Codespaces“, žaidėjai gali pasinerti į ProdBot terminalą per mažiau nei dvi minutes, visiškai nemokamai. Kiekvienas sezonas yra atskiras, leidžiantis žaidėjams iškart pereiti prie 4-ojo sezono, nebaigus ankstesnių, nors 3-asis sezonas suteikia naudingą pagrindą bendrajam DI saugumui.

Viskas, ko jums reikia, yra įsilaužėlio mentalitetas ir noras eksperimentuoti. DI ateitis vis labiau priklauso nuo agentų, o jos saugumo padarinių supratimas nebėra pasirinktinis.

Pasiruošę nulaužti DI agentą ir ugdyti savo agentinio DI saugumo įgūdžius? Pradėkite 4-ąjį sezoną dabar >

Ypatinga padėka Rahul Zhadei, „GitHub“ vyresniajam produkto saugumo inžinieriui, ir Bartoszui Gałekui, 3-ojo sezono kūrėjui, už jų neįkainojamą indėlį testuojant ir tobulinant 4-ąjį sezoną.