詳細を読む
GitHubは2026年4月14日、AIエージェントのセキュリティを学べる無料ゲーム「Secure Code Game Season 4」と、組織のコード脆弱性を即座に把握できる「Code Security Risk Assessment」を同時に発表しました。いずれも無料で利用でき、開発者やセキュリティ担当者がAI時代のコードセキュリティに取り組む敷居を大幅に下げる施策です。
Secure Code Gameの新シーズンでは、意図的に脆弱性を仕込んだAIアシスタント「ProdBot」を攻略します。プレーヤーは自然言語でProdBotに指示を出し、サンドボックス脱出やWebアクセス悪用、MCPサーバー経由の攻撃、メモリ汚染、マルチエージェント連携の弱点といった5段階の脆弱性を発見していきます。コーディング経験は不要で、GitHub Codespacesからすぐに始められます。
背景には、自律型AIエージェントの急速な普及とセキュリティ対策の遅れがあります。OWASPが2026年版のエージェントアプリケーション向けトップ10リスクを公開し、Ciscoの調査では83%の組織がエージェントAI導入を計画する一方、安全に運用できると考える組織は29%にとどまります。攻撃者の視点を体験することで、このギャップを埋める狙いです。
一方のCode Security Risk Assessmentは、組織の管理者がワンクリックでCodeQLによる静的解析を実行し、重大度別の脆弱性数、言語別リスク、影響を受けるリポジトリの一覧をダッシュボードで確認できます。検出された脆弱性のうちCopilot Autofixで自動修正可能な件数も表示され、修正作業への移行がスムーズです。GitHub Actionsの実行時間も課金対象外となっています。
2025年にはCopilot Autofixを活用して46万件超のセキュリティアラートが修正され、手動修正と比べ平均修正時間が約2倍速くなりました。既存のシークレット診断と統合されたタブ表示により、認証情報の漏洩リスクとコード脆弱性を一画面で把握できます。GitHubは教育と診断ツールの両面から、開発組織のセキュリティ底上げを図っています。