前沿 AI 如何摧毁开放式网络安全竞赛
过去几年,AI 从辅助工具变成了 CTF(Capture The Flag)竞赛的主角。一位顶级 CTF 选手 Kabir 在深度分析中指出,这一转变已经不可逆转。
故事始于 GPT-4。当时,中等难度的 CTF 挑战开始出现”一句话秒杀”的情况——把加密题粘贴进 ChatGPT,十分钟后拿到 flag。但当时人们并不太在意,因为高难度题目仍未被触及。
转折点出现在 Claude Opus 4.5 发布之后。几乎所有中等难度和部分高难度挑战都可被 AI 智能体自主解决。Claude Code 将 MCP 工具、CLI 和 CTFd API 整合在一起,使得搭建一个自动解题编排器变得轻而易举。在 48 小时竞赛中,你可以让系统先跑一个小时,然后只处理剩下来的题目。
GPT-5.5 的到来则彻底锁定了局面。它能一小时内解决 HackTheBox 上最高难度的堆利用挑战。这意味着,开放式 CTF 实际上变成了”付费赢”的游戏——谁能烧更多的 token,谁就能更快地清空题目板。
这对竞赛生态的打击是多重的。排行榜上传统强队大幅减少,因为 CTFTime 的排名不再衡量安全技能,而是衡量 AI 编排能力。新手失去了从入门到精英的成长阶梯——当排行榜被 AI 驱动的队伍占据,新人要么被迫用 AI 替代自己尚未建立的直觉,要么在看不到进步中失去动力。
竞赛组织者也陷入了困境。他们既不能通过规则禁止 AI(无法执行),也无法设计对 AI 不友好而仍对人类友好的题目。所有反制手段都只是临时摩擦,挡不住每年迭代的模型能力。
Kabir 认为,开放式 CTF 作为竞争形式已经死亡。那些真正顶级的决赛(如 DEF CON)或许还能幸存,但它们依赖的资格赛正被 AI 侵蚀。剩下的只有社区本身——人们仍然可以通过学习平台(如 HackTheBox、picoGym)和本地 meetup 保持联系和学习。
这篇文章的核心洞见不仅适用于 CTF。它揭示了一个更广泛的问题:当 AI 能够以超人类速度完成知识密集型任务时,我们如何重新设计竞赛、认证和信任体系?这对安全行业的人才筛选、技能认证和社区组织方式提出了根本性的挑战。