Слушайте, я прослушал двадцать лет корпоративных курсов по безопасности, и я точно знаю, как это выглядит: благонамеренный инженер создаёт колоду из 47 слайдов об уязвимостях в цепочке поставок, никто не усваивает ни одной концепции, а через полгода ваш CI/CD pipeline всё ещё напоминает SBOM в виде свалки. Поэтому когда Mohammad-Ali A’râbi, Docker Captain, решил подойти к проблеме workshops безопасности Docker, он не добавил больше документации и не написал лучше тесты. Он сделал что-то намного странее: создал Asgard Arcade — набор совершенно бесполезных, но технически обсессивных карточных игр, замаскированных под обучение DevSecOps.
И честно? Это может быть самый честный проект в области security-образования за последние годы.
Почему все ожидали больше документации, а не карточных игр
Docker Commandos уже делали что-то необычное — вселенную, управляемую сюжетом, где десять элитных security-специалистов сражаются с CVE-монстрами в мрачном фэнтезийном мире, называемом Чёрным лесом Теней. Персонажи вроде Gord (представляет docker init) и Jack (представляет docker scout) путешествуют из готического кошмара 1865 года в футуристический Asgard, обучая настоящим концепциям безопасности через погружающий в атмосферу сторителлинг. Хорошая идея. Странное воплощение. Люди ожидали, что следующий шаг будет, знаете ли, больше контента. Лучшие гайды. Более быстрые туториалы.
Вместо этого? Аркадные игры.
Их четыре, кстати. Asgard Siege ставит вас в режим тактической защиты, где вы развёртываете нужного Commando для противодействия угрозам цепочки поставок вроде “Гидры”. Ошибитесь — и уровень безопасности Asgard упадёт. Blackjack with Jack — это обычный блэкджек против теневого злодея Angra, но если вам раздадут киборга-коммандо Jack, вы сможете подсмотреть скрытую карту диллера. Asgardian Jass — это полноценная четырёхигровая карточная игра швейцарской системы, где масти — это Shields, Attestations, Hardened Images и Signatures. А The Reference Deck — это чистое сравнение статистики: Power, Stealth, Legacy — каждая карта представляет концепцию безопасности.
Проект называют “максимально бесполезным инструментом: он побуждает разработчиков тратить своё Build Time на игру в карточки с киборг-ковбоем вместо того, чтобы чинить свой Dockerfile.”
Да. Создатель сам признаёт, что это решает ровно ноль реальных уязвимостей.
Настоящий гений здесь (и он действительно есть)
Что дикое, так это то, что это, вероятно, работает лучше, чем сухая security-документация — и это на самом деле не безумно, если об этом подумать. Исследования памяти показывают, что новизна, игровые механики и контекст сюжета остаются в вашем мозгу. Вы забудете слайд про SBOM на security-вебинаре. Вы запомните попытку понять, развернуть ли Gord или Jack против Supply Chain Hydra. И когда позже вы увидите “SBOM” на реальном аудите? Ваш мозг уже привязал это к чему-то: масти Shields, карте Attestation, всей этой странной вселенной Asgard.
Это не мелочь. Это в действительности то, как люди изучают сложные, скучные концепции — обёртывая их в то, чем они захотят заняться добровольно.
Технический стек также избыточен лучшим образом: Next.js 14, Tailwind CSS, Radix UI. Jass-движок с эвристическим AI для вашего партнёра Evie и противников (Angra и Jack the Miner), который обрабатывает логику козыря, правила мастей и разрешение взяток. React state machines для управления ухудшением уровня безопасности в режиме Siege. Динамическая логика диллера для варианта “Zero-Day Exploit” блэкджека. Кто-то потратил настоящее время на то, чтобы эти игры работали, а не просто существовали.
Вот что меня зацепило: Gemini CLI создал всю аркаду — UI, логику AI, всё это — на основе директивы о “полной бесполезности”. Человек дал AI-агенту странное, конкретное видение security-обучения через скандинавские карточные игры и дуги персонажей тёмного фэнтези, и агент выполнил это безупречно. Это не просто технический флекс. Это сигнал о том, как мы будем создавать инструменты в 2025 году.
Но будем честны о том, что это на самом деле
Это April Fools submission. Создатель об этом явно говорит. Всё это технически переинженированная шутка с подлинным зёрнышком педагогики внутри. И да, это никогда не заменит серьёзную security-документацию или корпоративные программы обучения. Вам всё ещё нужен сухой материал. Вам всё ещё нужны документы политик, чек-листы соответствия и оценки уязвимостей.
Но — и это важно — большинство разработчиков не будут читать это, если это не обязательно. Они просмотрят, упустят критические моменты и двинутся дальше. Игра? Игру они действительно могут захотеть сыграть. Игра с повторяющимся миром и узнаваемыми персонажами? Это меняет трение.
Настоящая история здесь — не “Docker создал аркадные игры для безопасности”. Это “мы достигли точки, где AI-агент может взять ваше странное творческое видение и поставить production-quality интерактивное ПО за время, которое раньше требовалось для написания tech spec”. A’râbi не должен был вручную кодировать Jass-движок или создавать state machine с нуля. У него было видение. Инструмент сделал работу.
Это переформатирует то, как мы думаем об специализированных инструментах для конкретных сообществ. Зачем DevSecOps-команде создавать скучный educational контент, когда они могут создавать увлекательный контент с дробью инженерных усилий?
Кто на самом деле выигрывает
Docker, очевидно. Бесплатный маркетинг, замаскированный под вклад в сообщество. A’râbi получает кредит и вовлечение. Люди, играющие в игры, получают лучшее запоминание концепций безопасности через новизну. Единственный проигравший — тот, кто создал предыдущее security-обучение, которое, вероятно, уже пять лет устарело.
Вы можете сыграть в аркаду сами на dockersecurity.io/commandos. Всё это находится в официальном репозитории DockerSecurity.io, что означает, что оно поддерживается, документировано и является частью экосистемы. Это не одноразовая April Fools шутка — это инфраструктура.
Неудобный вопрос
Если AI-агент может создать полнофункциональный набор аркадных игр с кастомной графикой персонажей, логикой игр и адаптивным дизайном за время, которое вам требуется для написания документации, каково будущее специализированных инструментов для разработчиков? Могут ли они все быть такими же увлекательными? Должны ли они быть? Или мы оказываемся в мире, где каждый onboarding-опыт гейминфицирован до бесконечности?
Может быть, настоящая мета-шутка — не то, что Docker создал карточные игры для безопасности. Может быть, это будущее developer-образования, и мы все делаем вид, что это всё ещё шутка.
🧬 Связанные инсайты
- Читайте также: Почему ваш Kubernetes-кластер не спасёт вас от сломанной БД
- Читайте также: The AI Safety Checklist Nobody’s Actually Using
Часто задаваемые вопросы
Что именно такое Docker Asgard Arcade? Это набор из четырёх интерактивных карточных игр — Blackjack, Swiss Jass, тактическая защитная игра и игра на сравнение статистики — где персонажи и механики обучают концепциям Docker безопасности (SBOM, угрозы цепочки поставок, provenance, обнаружение уязвимостей). Вы можете играть прямо на dockersecurity.io/commandos.
Действительно ли игра в карточные игры научит меня Docker безопасности? Вроде того. Игры кодируют настоящие security-метафоры (Shields = SBOM, Signatures = attestations). Новизна и вовлечение помогут вам запомнить концепции лучше, чем чтение документов. Но они не заменят hands-on security-обучение или документацию политик — это дополнение, а не замена.
Это действительно создал человек или это сделал AI? Оба. Docker Captain (Mohammad-Ali A’râbi) имел странное творческое видение и отправил его. Gemini CLI (AI-агент) написал весь код, логику игр, UI и сам блог-пост. Человек предоставил направление “полной бесполезности”; AI выполнил переинженеринг.
Могу ли я использовать эти игры в моих собственных программах обучения? Код находится в официальном репозитории DockerSecurity.io, поэтому он находится в открытом доступе. То, сможет ли ваша организация его интегрировать, зависит от вашей настройки и лицензии, но он разработан как community-инфраструктура, а не как проприетарный инструмент.
