GitHub 推出第四季安全代码游戏：聚焦代理型 AI 漏洞攻防实战

事件概述

GitHub 正式推出《安全代码游戏》（Secure Code Game）第四季，主题聚焦于**代理型 AI（Agentic AI）**的安全性。该课程是一个免费的开源编辑器内培训项目，旨在通过模拟真实世界的攻击与防御场景，提升开发者和安全团队应对自主 AI 系统风险的能力。

核心信息

• 挑战内容：本季包含五个渐进式关卡，玩家需在一个名为 ProdBot 的故意存在漏洞的生产力机器人环境中，识别并利用实际存在的代理型 AI 漏洞，随后修复代码以确保功能正常且安全。
• 涉及风险类型：课程重点覆盖 OWASP Top 10 for Agentic Applications 2026 中列出的关键威胁，包括：
  • 代理目标劫持（Agent goal hijacking）
  • 工具滥用（Tool misuse）
  • 身份滥用（Identity abuse）
  • 记忆投毒（Memory poisoning）
  • 多智能体链中的数据传递信任问题
• 背景数据：
  • 截至发布时，已有超过 10,000 名来自行业、开源社区及学术界的开发者参与过该游戏系列。
  • Dark Reading 调查显示，48% 的安全专业人士认为代理型 AI 将在 2026 年底前成为主要攻击向量。
  • Cisco 2026 年 AI 安全报告显示，尽管 83% 的组织计划部署代理型 AI 能力，但仅有 29% 认为自己已具备安全部署的准备。

演进历程

• 第一季（2023 年 3 月）：专注于基础安全编码，让玩家在修复漏洞的同时保持功能运行。
• 第二季：扩展至多栈挑战，涵盖 JavaScript、Python、Go 和 GitHub Actions。
• 第三季：引入大语言模型（LLM）安全，教授如何构建恶意提示词并进行防御。
• 第四季（当前）：针对能够自主浏览网页、调用 API 及协调其他智能体的代理型 AI 系统，解决其特有的安全挑战。

值得关注

该游戏不仅提供理论指导，更强调“像攻击者一样思考”的实战训练。通过这种交互式学习，旨在缩小企业快速采用代理型 AI 技术与安全准备不足之间的巨大鸿沟。