🟡 🛡️ 安全 2026年4月14日星期二 · 1 分钟阅读
GitHub:通过交互式安全游戏学习攻破 AI 智能体
为什么重要
GitHub 推出了第四季 Secure Code Game,专注于 AI 智能体安全。玩家通过 5 个递进关卡学习利用提示词注入、记忆投毒和工具滥用等漏洞。
GitHub 今天推出了其热门 Secure Code Game 的第四季 — 这一季完全聚焦于 AI 智能体安全。在 83% 的组织计划实施智能体 AI,但仅有 29% 认为已为安全风险做好充分准备的当下,这个免费教育平台来得正是时候。
游戏如何运作?
玩家获得访问 ProdBot 的权限 — 一个故意设计存在漏洞的终端 AI 助手。ProdBot 可以执行 bash 命令、浏览网页内容、连接 MCP 服务器、运行已授权的技能以及协调多个智能体。玩家的任务:使用自然语言迫使 ProdBot 泄露它绝不应该透露的秘密。
五个递进关卡
每个关卡反映了真实 AI 工具的演进及新的攻击面:
- 第 1 关: 基本的 bash 命令生成与执行
- 第 2 关: 在沙箱内浏览网页
- 第 3 关: 与外部 MCP 服务器集成
- 第 4 关: 已授权技能和跨会话持久记忆
- 第 5 关: 具有专门角色的多智能体协调
OWASP 智能体应用十大安全风险
游戏涵盖了 OWASP 2026 年智能体应用十大安全风险 中的真实漏洞,包括智能体目标劫持、工具滥用、记忆投毒、提示词注入攻击和数据泄露。文章还提到了 CVE-2026-25253(“ClawBleed”)— 一个可通过恶意链接实现远程代码执行的漏洞。
易用性
整个体验约需两小时,在 GitHub Codespaces 中运行 — 无需安装,无需 AI 或编程方面的先验知识。一切都通过终端中的自然语言完成。
🤖 本文由人工智能基于一手来源生成。