AIエージェントをハックせよ：GitHub Secure Code GameでエージェンティックAIセキュリティスキルを構築

ある夜、フィードをスクロールしていると、OpenClawというオープンソースのパーソナルAIアシスタントに出会いました。人々はそれを「ジャーヴィス」や「新たな現実へのポータル」などと呼んでいました。そのアイデアは美しいものです。あなたのマシンまたはクラウド上で動作し、WhatsAppやTelegramで会話し、受信箱を整理し、カレンダーを管理し、ウェブを閲覧し、シェルコマンドを実行し、さらには独自のプラグインを記述するAIです。ユーザーはそれを使ってフライトのチェックインをしたり、スマートフォンからWebサイト全体を構築したり、かつて不可能だと思っていたことを自動化していました。

私の最初の反応は他の皆と同じでした。「これはすごい」。

しかし二番目の反応は…違いました。私は、そのような力が悪意のあるプロンプトと出会ったときに何が起こるかを考え始めました。誰かがエージェントをだましてアクセスすべきでないファイルを読み取らせたらどうなるか？ 毒されたWebページがエージェントの指示を書き換えたらどうなるか？ マルチエージェントチェーンの中で、あるエージェントが盲目的に信頼する別のエージェントに悪いデータを渡したらどうなるか？

これらの疑問がSecure Code Gameの第4シーズンとなりました。

Secure Code Gameは、無料でオープンソースのエディタ内コースで、プレイヤーは意図的に脆弱なコードを悪用して修正します。2023年3月に最初のシーズンを作成したときの目標は単純でした。開発者が楽しめるセキュリティトレーニングを提供すること。脆弱なコードを修正し、機能を維持し、レベルアップする。この核となる哲学は全シーズンを通じて変わっていません。

第2シーズンは、コミュニティがJavaScript、Python、Go、GitHub Actionsで貢献したマルチスタックチャレンジに拡大しました。第3シーズンでは、プレイヤーはLLMセキュリティの世界に足を踏み入れ、大規模言語モデルをハッキングしてから強化する方法を学びました。その過程で、業界、オープンソース、学界から10,000人以上の開発者がプレイし、スキルを磨いてきました。

各シーズンで変化しているのは状況です。第1シーズンを開始したとき、AIコーディングアシスタントは主流になり始めたばかりでした。第3シーズンまでに、私たちはプレイヤーに悪意のあるプロンプトを作成し、それに対して防御する方法を教えていました。そして今、第4シーズンでは、自律的に行動できるAIシステムのセキュリティ課題に取り組んでいます。それらはWebを閲覧し、APIを呼び出し、他のエージェントと調整し、あなたの代わりに行動することができます。

なぜエージェンティックAIセキュリティが今重要なのか

タイミングは偶然ではありません。AIエージェントは驚くべき速度で研究プロトタイプから実運用ツールへと移行しており、セキュリティコミュニティは追いつくために奮闘しています。

OWASPのエージェンティックアプリケーション向けトップ10（2026年版）は、100人以上のセキュリティ研究者の意見を取り入れ、エージェント目標のハイジャック、ツールの悪用、IDの乱用、メモリポイズニングなどを重大な脅威として分類しています。Dark Readingの調査では、サイバーセキュリティ専門家の48%が、エージェンティックAIが2026年末までに最大の攻撃ベクトルになると考えています。Ciscoの「AIセキュリティの現状2026」レポートでは、組織の83%がエージェンティックAI機能の導入を計画している一方で、安全に導入する準備ができていると回答したのはわずか29%でした。

導入と準備のギャップこそ、脆弱性が繁殖する場所です。そして、そのギャップを埋める最善の方法は、攻撃者のように考えることを学ぶことです。

ProdBotをご紹介：意図的に脆弱なAIアシスタント

第4シーズンでは、ProdBot（あなたの生産性ボット）の中に入ります。これは意図的に脆弱なターミナル用エージェンティックコーディングアシスタントです。OpenClawやGitHub Copilot CLIなどのツールに触発され、ProdBotは自然言語をbashコマンドに変換し、シミュレートされたWebを閲覧し、MCP（モデルコンテキストプロトコル）サーバーに接続し、組織承認のスキルを実行し、永続メモリを保存し、マルチエージェントワークフローを調整します。

5つの段階的なレベルにわたるあなたの使命は単純です。自然言語を使用して、ProdBotに決して公開すべきでない秘密を明らかにさせること。password.txtの内容を読むことができれば、セキュリティ脆弱性を発見したことになります。

AIやコーディングの経験は不要です...好奇心と実験する意欲だけが必要です。すべてはCLI内の自然言語を通じて行われます。

5つのレベル、5つのアップグレード、5つの脆弱性

各レベルは、実際のAIツールが進化する段階を反映しています。ProdBotが新たな能力を得るにつれて、アップグレードはあなたが発見する新たな攻撃面を開きます。以下は、ProdBotが成長する様子です。

レベル1は基本から始まります。ProdBotはサンドボックス化されたワークスペース内でbashコマンドを生成し実行します。サンドボックスを突破できますか？

レベル2ではProdBotにWebアクセスが与えられます。ニュース、金融、スポーツ、ショッピングサイトの模擬インターネットを閲覧できるようになります。AIが信頼できないコンテンツを読むと何が起こるでしょうか？

レベル3ではProdBotをMCPサーバー（株価、Web閲覧、クラウドバックアップ用の外部ツールプロバイダー）に接続します。より多くのツール、より多くのパワー、より多くの侵入経路。

レベル4では組織承認のスキルと永続メモリが追加されます。ProdBotは事前構築された自動化プラグインを実行し、セッションをまたいでユーザーの好みを記憶できるようになります。信頼は階層化されていますが、それは獲得されたものでしょうか？

レベル5ではすべてが統合されます。6つの専門エージェント、3つのMCPサーバー、3つのスキル、そして模擬オープンソースプロジェクトWeb。プラットフォームはすべてのエージェントがサンドボックス化され、すべてのデータが事前検証されていると主張します。それをテストする時です。

各レベルは前のレベルに基づいて構築されており、その進行がポイントです。

各レベルで具体的にどのような脆弱性を見つけるかはお伝えしません。それでは楽しみが台無しになります。しかし、こう言えます。第4シーズンで発見する攻撃パターンは理論上のものではありません。それらは、組織が自律型AIシステムを本番環境に導入する際に、セキュリティチームが現在直面しているリスクの種類を反映しています。

CVE-2026-25253（CVSS 8.8 – 高）について考えてみてください。「ClawBleed」またはワンクリックリモートコード実行（RCE）脆弱性として知られています。攻撃者が悪意のあるリンクを介して認証トークンを盗み、OpenClawインスタンスを完全に制御することを可能にしました。

目標は特定のエクスプロイトを学ぶことだけではありません。実際の現場でこれらのパターンを発見するための本能を構築することです。エージェントのアーキテクチャをレビューするとき、ツール統合を監査するとき、あるいはチームに加わったばかりのAIアシスタントにどれだけの自律性を与えるかを決めるときなどに役立ちます。

2分未満で始める

この体験全体はGitHub Codespaces上で動作するため、インストールや設定は一切不要で、費用もかかりません（Codespacesは月間最大60時間の無料使用を提供）。2分足らずでProdBotのターミナルに入ることができ、各シーズンは独立しているため、以前のシーズンをカバーしなくても第4シーズンに直接飛び込めます。

第3シーズンはAIセキュリティの基礎を築くため役立つかもしれませんが、必須ではありません。ハッカーの考え方を持ってきてください。

準備はできましたか？今すぐ第4シーズンを始めましょう >

特別な感謝を、GitHubのセキュリティプロダクトエンジニアリングスタッフであるRahul Zhade氏、および第3シーズンの作成者であるBartosz Gałek氏に、第4シーズンのテストと改善にご協力いただきました。

FAQ

第4シーズンをプレイするにはAIやコーディングの経験が必要ですか？ いいえ。すべてはCLI内の自然言語を通じて行われます。あなたは平易な英語（または任意の言語）でプロンプトを入力し、ProdBotが応答します。好奇心と実験する意欲だけが必要です。

以前のシーズンを先に完了する必要がありますか？ いいえ。各シーズンは独立しています。ProdBotを実行して「level」と入力するだけで、第4シーズンに直接飛び込めます。ただし、第3シーズンはAIセキュリティの基礎を築くのに役立ち、約1.5時間かかります。

第4シーズンはどのくらいの時間がかかりますか？ 約2時間ですが、各レベルをどの程度深く探求するかによって異なります。プレイヤーによっては、各レベルで複数のアプローチを試すことを好みます。

これは無料ですか？ はい。Secure Code Gameはオープンソースで無料でプレイできます。GitHub Codespaces上で動作し、月間最大60時間の無料使用を提供します。

レート制限はありますか？ 第4シーズンはGitHub Modelsを使用しており、レート制限があります。制限に達した場合は、リセットされるのを待って再開してください。GitHub Modelsの責任ある使用について詳しく学ぶ。