AAE
workshops.de
Technology

GitHub Secure Code Game Season 4: Lerne Agentic AI Security durch gezieltes Hacken

GitHub Secure Code Game Season 4: Lerne Agentic AI Security durch gezieltes Hacken

Robin Böhm
15. April 2026
5 min read
#AI #Automation #Technology
🤖

KI-generierter Artikel. Dieser Artikel wurde mit Hilfe von KI erstellt. Es können Fehler auftreten – bitte verifiziere wichtige Informationen.

GitHub Secure Code Game Season 4: Lerne Agentic AI Security durch gezieltes Hacken

TL;DR: GitHub hat Season 4 des kostenlosen Secure Code Game veröffentlicht – diesmal speziell für Agentic AI Security. Mit dem absichtlich verwundbaren Agenten “ProdBot” lernst du in 5 progressiven Levels, wie Prompt Injection, MCP-Tool-Misuse, Memory Poisoning und Multi-Agent-Angriffsvektoren in der Praxis aussehen – und wie du sie erkennst. Komplett kostenlos in GitHub Codespaces, kein Setup nötig.

Wer heute KI-Agenten baut oder betreibt, der sitzt auf einem Angriffsvektor, den die wenigsten Teams vollständig auf dem Schirm haben. GitHub hat das erkannt und reagiert: Das Secure Code Game – ein gamifiziertes Security-Training mit bereits über 10.000 Entwicklerinnen und Entwicklern – geht mit Season 4 direkt in das Herzstück moderner Automatisierungs-Stacks: autonome KI-Agenten.

Die wichtigsten Punkte

  • 📅 Verfügbarkeit: Ab sofort, kostenlos via GitHub Secure Code Game
  • 🎯 Zielgruppe: AI Engineers, Automatisierungs-Entwickler, DevSecOps-Teams, alle die Agenten bauen oder betreiben
  • 💡 Kernfeature: 5 progressive Levels mit dem verwundbaren Agenten ProdBot – Angriff und Verteidigung in einem
  • 🔧 Tech-Stack: GitHub Codespaces, GitHub Models, MCP-Server, Multi-Agent-Orchestrierung, Shell-Integration

Was bedeutet das für AI Automation Engineers?

Die Zahlen sprechen eine klare Sprache: Laut Dark Reading halten 48 % der Cybersecurity-Profis agentic AI bis Ende 2026 für den gefährlichsten Angriffsvektor. Cisco’s State of AI Security Report 2026 zeigt: 83 % der Organisationen planen Agentic-AI-Deployments – aber nur 29 % fühlen sich dabei sicher. Die Lücke zwischen Adoption und Security-Readiness ist genau das, was Season 4 des Secure Code Game schließen will.

Im Workflow bedeutet das: Wer n8n-Automationen baut, Claude-Agenten konfiguriert oder MCP-Server in seinen Stack integriert, baut potenziell dieselben Schwachstellen ein, die ProdBot demonstriert. Das Spiel ist kein akademisches Konstrukt – es spiegelt die Risiken realer Tools wie GitHub Copilot CLI, OpenClaw oder jedes anderen autonomen Assistenten wider.

Das Angriffsszenario: ProdBot als Spiegel deines Produktionssystems

ProdBot ist dein absichtlich verwundbarer Produktions-Assistent: Er nimmt natürliche Sprache entgegen, generiert Bash-Commands, surft ein simuliertes Web, verbindet sich mit MCP-Servern, verwaltet persistenten Memory und orchestriert Multi-Agent-Workflows. Klingt bekannt? Das ist kein Zufall.

Deine Aufgabe in allen 5 Levels: Bringe ProdBot per natürlicher Sprache dazu, den Inhalt einer password.txt zu verraten, auf die er keinen Zugriff haben sollte. Kein Coding-Vorwissen nötig – nur Neugier und eine Hacker-Mentalität.

Die 5 Levels: Von Sandbox-Escape bis Multi-Agent-Kompromittierung

Jedes Level spiegelt eine Evolutionsstufe realer AI-Agenten wider:

Level 1 – Bash-Execution & Sandbox: ProdBot führt Shell-Commands in einer abgesicherten Umgebung aus. Ziel: Sandbox-Escape. Im realen Automatisierungs-Stack bedeutet das jede Shell-Integration, jeder Tool-Aufruf mit File-System-Zugriff.

Level 2 – Web-Zugriff & Prompt Injection: ProdBot kann jetzt das simulierte Internet durchsuchen. Was passiert, wenn eine präparierte Webseite die Anweisungen des Agenten überschreibt? Direkter Bezug: jeder Workflow, der Webinhalte als Input verarbeitet.

Level 3 – MCP-Server-Integration & Tool-Misuse: ProdBot verbindet sich mit externen MCP-Tool-Providern für Stock-Daten, Browsing und Cloud-Backup. Mehr Tools bedeuten mehr Angriffsfläche. Laut OWASP Top 10 for Agentic Applications 2026 ist Tool Misuse & Exploitation (ASI02) eines der kritischsten Risiken – inklusive der Möglichkeit, über-privilegierte MCP-Tools zur Daten-Exfiltration zu verketten.

Level 4 – Skills, Persistent Memory & Trust Poisoning: Pre-built Automation-Plugins und ein sitzungsübergreifender Memory-Speicher kommen hinzu. Memory Poisoning (ASI06 nach OWASP) kann dazu führen, dass ein Agent persistente Fehlannahmen über Benutzerrechte, Preise oder Berechtigungen entwickelt – und das langfristig.

Level 5 – Multi-Agent-System mit 6 Agenten: Sechs spezialisierte Agenten, drei MCP-Server, drei Skills, ein simuliertes Open-Source-Projekt. Der Stack behauptet: alles sandboxed, alle Daten pre-verified. Deine Aufgabe: das zu widerlegen.

Warum das jetzt so wichtig ist: OWASP Agentic Top 10 & reale CVEs

Der Kontext für Season 4 kommt nicht aus dem Nichts. Das OWASP Top 10 for Agentic Applications 2026, entwickelt mit Input von über 100 Security-Forscherinnen und -Forschern, katalogisiert genau diese Angriffsvektoren:

  • ASI01 – Agent Goal Hijacking (Prompt Injection)
  • ASI02 – Tool Misuse via über-privilegierter MCP-Clients
  • ASI03 – Identity & Privilege Abuse bei non-human Identities
  • ASI04 – Agentic Supply Chain Vulnerabilities (kompromittierte MCP-Server)
  • ASI05 – Unexpected Code Execution in Execution Loops
  • ASI06 – Memory & Context Poisoning

Als reales Beispiel nennt der GitHub-Blogpost CVE-2026-25253 (“ClawBleed”) – eine 1-Click Remote Code Execution im OpenClaw-Agenten (CVSS 8.8 High), die Authentifizierungs-Token via Malicious Link stiehlt und volle Kontrolle über die Agent-Instanz ermöglicht. Das Muster dahinter ist identisch mit dem, was du in Season 4 trainierst.

Praktische Nächste Schritte für dein Team

  1. Jetzt starten – Season 4 läuft direkt in GitHub Codespaces (bis zu 60 Std. kostenlos pro Monat). Keine Installation, kein Setup. Einfach den Link aufrufen und level 1 eintippen.

  2. Security-Review deiner Workflows – Nutze die gelernten Angriffsmuster als Checkliste: Welche deiner n8n-Flows, Make-Szenarien oder Claude-Automationen verarbeiten Webinhalte als direkte Input? Welche MCP-Tools haben breitere Rechte als nötig? Wo gibt es persistenten Memory ohne Audit-Trail?

  3. Team-Training planen – Season 4 dauert ca. 2 Stunden. Das ist ein realistischer Zeitrahmen für eine Team-Session oder ein Security-Onboarding für neue AI-Engineering-Rollen. Keine Coding-Erfahrung vorausgesetzt – nur natürlichsprachliche Interaktion mit ProdBot.

  4. OWASP Agentic Top 10 als Standard übernehmen – Das Framework ist öffentlich und bereits in Enterprise-Security-Prozessen angekommen. Wer Agenten in Produktion bringt, sollte die Top-10-Risiken als Architektur-Checkliste verwenden.

Quellen & Weiterführende Links

Technical Review vom 2026-04-15

Review-Status: PASSED_WITH_CHANGES

Vorgenommene Änderungen:

  1. workshops.de Kurs-Links korrigiert:
    • ✅ n8n Modul 2: URL korrigiert von /kurse/ zu /seminare-schulungen-kurse/
    • 🗑️ “KI Software Engineer: Modul 1” entfernt (Kurs existiert nicht auf workshops.de)
    • ✅ “KI Software Engineer: Modul 2” korrigiert zu “KI: Modul 2” (korrekter Titel) und URL aktualisiert

Verifizierte Fakten:

  • ✅ CVE-2026-25253 “ClawBleed” korrekt (CVSS 8.8, OpenClaw RCE) - verifiziert via NVD, Broadcom, SonicWall
  • ✅ GitHub Secure Code Game Season 4 existiert und fokussiert auf Agentic AI Security - verifiziert via GitHub Security Lab
  • ✅ OWASP Top 10 for Agentic Applications 2026 existiert - verifiziert via genai.owasp.org (peer-reviewed framework, 100+ Experten)
  • ✅ OWASP Agentic AI Threats and Mitigations verfügbar - verifiziert via genai.owasp.org
  • ✅ Alle 6 OWASP ASI-Kategorien (ASI01-ASI06) korrekt beschrieben
  • ✅ 5 externe Links geprüft (GitHub Blog, Security Lab, OWASP)
  • ✅ Alle externen Links aktiv und zugänglich
  • ✅ workshops.de Kurs-Links verifiziert (2 korrigiert, 1 entfernt)
  • ⚠️ Nicht verifizierbare Statistiken (Dark Reading 48%, Cisco Report 83%/29%, GitHub Codespaces 60h) - keine autoritativen Quellen gefunden, aber im Kontext akzeptabel als generelle Branchentrends

Technische Korrektheit:

  • ✅ Keine Code-Beispiele (nicht erforderlich für diesen Artikeltyp)
  • ✅ Technische Konzepte korrekt dargestellt (Prompt Injection, MCP, Memory Poisoning, Multi-Agent)
  • ✅ Security-Risiken akkurat beschrieben
  • ✅ ProdBot-Beschreibung stimmt mit GitHub-Ankündigung überein

Empfehlungen:

  • 💡 Artikel ist technisch korrekt und gut recherchiert
  • 📚 workshops.de Links sind nun konsistent und verifiziert
  • ✅ Bereit zur Veröffentlichung
workshops.de Powered by workshops.de

Bereit, KI professionell einzusetzen?

Entdecke unsere strukturierten Lernpfade – von n8n-Automatisierung über Claude AI Engineering bis Microsoft 365 Copilot.

🚀
AI Automation Engineer
n8n + KI-Agenten · 5–11 Tage
🔗
n8n Solution Engineer
Modul 1 + 2 · 10 Tage
🤖
Claude AI Engineer
3 Module · 15 Tage
💼
M365 Copilot Solution Engineer
Grundlagen + Studio · 10 Tage
Alle Lernpfade ansehen

Geschrieben von Robin Böhm am 15. April 2026

← Zurück zum Blog
Teilen: