如果你参加过 CTF(Capture The Flag)网络安全竞赛,你可能会感到一阵寒意。一位曾在 DownUnderCTF 夺冠、随 TheHackersCrew 战队多次跻身全球前十的顶尖选手 Kabir,发布了一篇题为《CTF 圈已死》的文章,在 HN 上引发了 308 条激烈讨论。
从工具辅助到完全替代:AI 如何一步步瓦解 CTF
Kabir 的时间线清晰而残酷:
GPT-4 时代(2023)——中等难度的 CTF 题目开始能被”一发入魂”(one-shot),即一次 prompt 就能生成完整的解题方案和 flag。当时的反应是”还好,难题基本不受影响”。
Claude Opus 4.5 时代(2025)——格局变了。几乎所有的中等难度题和部分高难题变得”agent-solvable”。配合 CTFd API 和 Claude Code CLI,选手可以写一个编排器,在比赛第一小时自动启动多个 AI 实例,把能自动化的全部吞掉。团队间的差距从”谁更有技术”变成了”谁启动 AI 更快”。
GPT-5.5 Pro 时代(2026年5月)——Kabir 实测后发现,GPT-5.5 Pro 已经能秒解 HackTheBox 上 Insane 级别的堆溢出利用题。这意味着一个小型 CTF 组织者能出的绝大多数题目,AI 都能独立解决。CTF 变成了付费即赢的游戏——谁能在 48 小时内砸更多 token,谁就能烧穿题板。
记分板不再衡量技能
Kabir 一针见血地指出:CTF 不只是解题游戏,它是一架阶梯。新手通过 CTF 看到自己的进步——解更多题、排名更高、加入更好的战队。这个反馈循环正在断裂。
当公开记分板被 AI 武装的团队统治时,一个新人面对的选择是:要么也用 AI,在自己还没建立基本功之前就被 AI 替代了思考;要么坚持手打,但排名上永远看不到进步。两种情况都在摧毁 CTF 的教育价值。
更令人担忧的是挑战作者的心态。一位出题人可能需要数周打磨一道精妙的题目,但 AI 代理几分钟就把它嚼碎了。”这就像出了一道艺术品,然后被扔进了碎纸机。”
HN 社区:这不是作弊,而是 CTF 文化的一部分
HN 上的讨论修正了一个重要认知。知名安全专家 tptacek 指出:”AI 解 CTF 题通常不算作弊——这本身就是 CTF 文化的一部分。顶级队伍一直都有工具箱来快速撕碎前期题目,CTF 从来就不是一个公平竞技场。”问题不在于 AI 被使用,而在于当 AI 强大到几乎不需要人类参与时,比赛的意义何在。
也有评论者将这个现象与教育的全面崩塌做了类比:”把 CTF 换成’高中’或’大学’,你会发现我们正在经历同一件事——LLM 可以成为优秀的老师,但’直接帮我做’的诱惑几乎无法抗拒。”
一位出题人分享了自己的对抗经验:”我写了一个混淆器,然后用 AI 反混淆,不断改进直到 AI 无法破解。结果我同时得到了一个顶级的反混淆器——比大多数商业工具都强。”或许未来 CTF 的出路不在于禁止 AI,而在于设计 AI 也无法轻易解开的题目。
📎 原文:The CTF scene is dead · HN讨论:308条评论