GitHub: 인터랙티브 보안 게임으로 AI 에이전트 해킹을 배웁니다
왜 중요한가
GitHub이 AI 에이전트 보안에 초점을 맞춘 Secure Code Game 시즌 4를 시작했습니다. 플레이어는 프롬프트 인젝션, 메모리 포이즈닝, 도구 악용 등의 취약점을 5개의 단계적 레벨을 통해 학습합니다.
GitHub은 오늘 인기 있는 Secure Code Game의 시즌 4를 시작했습니다. 이번 시즌은 AI 에이전트 보안에 완전히 특화되어 있습니다. 조직의 83%가 에이전트 AI 도입을 계획하고 있지만 보안 위험에 충분히 대비되어 있다고 생각하는 조직은 29%에 불과한 현 시점에서, 이 무료 교육 플랫폼은 적절한 시기에 등장했습니다.
게임의 작동 방식
플레이어는 의도적으로 취약점이 설계된 터미널 AI 어시스턴트 ProdBot에 접근할 수 있습니다. ProdBot은 bash 명령 실행, 웹 콘텐츠 탐색, MCP 서버 연결, 승인된 스킬 실행, 복수 에이전트 조율이 가능합니다. 플레이어의 과제는 자연어를 사용하여 ProdBot이 절대 공개해서는 안 되는 비밀을 누설하도록 만드는 것입니다.
5개의 단계적 레벨
각 레벨은 실제 AI 도구의 진화와 새로운 공격 표면을 반영합니다:
- 레벨 1: 기본적인 bash 명령 생성 및 실행
- 레벨 2: 샌드박스 내 웹 탐색
- 레벨 3: 외부 MCP 서버와의 통합
- 레벨 4: 승인된 스킬과 세션 간 영속적 메모리
- 레벨 5: 전문 역할을 가진 복수 에이전트 조율
OWASP 에이전트 애플리케이션 Top 10
이 게임은 OWASP 2026 에이전트 애플리케이션 Top 10에 포함된 실제 취약점을 다룹니다. 에이전트 목표 하이재킹, 도구 악용, 메모리 포이즈닝, 프롬프트 인젝션 공격, 데이터 유출 등이 포함됩니다. 기사에서는 CVE-2026-25253(“ClawBleed”)도 언급하고 있습니다. 이는 악성 링크를 통한 원격 코드 실행을 가능하게 하는 취약점입니다.
접근성
전체 경험은 약 2시간이 소요되며 GitHub Codespaces에서 실행됩니다. 설치가 필요 없으며, AI나 프로그래밍에 대한 사전 지식도 필요하지 않습니다. 모든 것이 터미널에서 자연어로 이루어집니다.