Kabir氏は、注目を集めるためだけに過激な発言をするタイプの人間ではない。
彼はオーストラリアのDownUnderCTFチャンピオンであり、国際的に名高いチーム「TheHackersCrew」のメンバーでもある。CTFTimeの世界ランキングでは常にトップ10入りを果たしており、2021年からCTFを始め、その経験が直接彼をサイバーセキュリティという職業へと導いた。
しかし、彼が5月1日に公開した記事のタイトルはわずか4文字——「The CTF scene is dead.(CTFシーンは終わった)」。
これはCTFが「楽しくなくなった」からではない。AIによって、CTFがまったく別の性質のゲームへと変わってしまったからだ。
転換点:Claude Opus 4.5
Kabir氏が描くタイムラインは明確かつ厳しい。
GPT-4が登場した当初、CTFコミュニティの反応は「まあ、まだ大丈夫」だった——中程度の難易度の問題なら、ChatGPTにコピペするだけで解けるケースもあったが、高難易度の問題はほぼAIに耐性があった。時間短縮効果は限定的で、競技全体の構造に根本的な変化はなかった。
だがClaude Opus 4.5の登場が、すべてを変えてしまった。
Opus 4.5リリース後、ほぼすべての中難度CTF問題——さらには一部の高難度問題さえ——が「agent-solvable(エージェントで解ける)」状態へと移行した。Claude Codeはあらゆる処理をCLIに統合し、さまざまなCLIツールやMCPツールとの連携を極めて容易にした。チームは単一のオーケストレーター(編成ツール)を書けば、CTFd APIを用いて各問題ごとにClaudeインスタンスを起動させ、最初の1時間で全簡単・中難度問題をAIに自動解決させることができる。人間は残った最難関問題にのみ集中すればよい。
「AIを使わないチームは、単に便利なツールを逃しているわけではない。彼らは『より遅いバージョンの競技』をプレイしているのだ。」
GPT-5.5が結末を確定させた
Kabir氏は、GPT-5.5およびGPT-5.5 Proを日常的に重度利用していると明かす。ベンチマーク指標によると、GPT-5.5の能力はClaude Mythosに匹敵し、Pro版はすでにそれを上回っている可能性がある。
これらのモデルはどこまでできるのか?
HackTheBox上の「Insane(狂気)」難易度の「リークなしヒープオーバーフロー脆弱性の実行」問題を、ワンクリックで即座に攻略できる。
48時間制のCTFにおいて、GPT-5.5 Proを用いてInsane難易度の問題をオーケストレーションすれば、試合終了前にフラグを獲得する可能性は非常に高い。
「これにより、オープン形式のCTFは事実上の『pay-to-win(課金優位)』競技と化した。試合中に投入できるトークン量が多ければ多いほど、スコアボードをより速くクリアできるようになるのだ。」
スコアボードの崩壊
これは単なる「AIが問題を解けるかどうか」という技術的課題ではない。これは、競技としての意味そのものが消滅してしまったという社会的問題である。
Kabir氏の核心的主張はこうだ:CTFTimeのランキングは、もはや人間のセキュリティスキルを反映していない。今やそれは以下の3つの要素を測定しているにすぎない:
- あなたがどれだけ最先端のAIモデルを積極的に使うか
- あなたのオーケストレーションツールの品質(設計・実装力)はどれほど高いか
- あなたがどれだけ多くのトークン費用を負担できるか
セキュリティスキルそのものは、すでに二次的な要素と化している。
さらに深刻なのは、CTF文化そのものを築き上げてきた伝説的なチームたちが、ランキングから姿を消しつつあることだ。TheHackersCrewをはじめ、多くの著名チームは出場を中止したり、出場数を大幅に減らしたり、あるいはトップ10入りが極めて困難になっている。
「2026年のスコアボードは、それ以前のどの年ともまったく異なるものになるだろう。」
主催者のジレンマ
CTF主催者が対抗策を講じていないわけではない。
LLMによる自動解答を防ぐため、さまざまな技術的手段が試みられてきた——拒否文字列の挿入、プロンプトインジェクション用の罠設置、意図的にAIに不親和な問題設計など。だがこれらはいずれも一時的な摩擦にすぎない。Claude Codeは既存の拒否文字列テクニックを無視するようになっており、最先端モデルはプロンプトインジェクションの検出能力をますます高めている。また、検索機能の進化により、学習データの最終更新日以降に公開された新技術に基づく問題ですら、容易に検索可能となっている。
その結果、主催者は二律背反的なジレンマに直面している:
- 通常の問題を出す → AIエージェントが大部分を解決してしまう
- AI専用の問題を出す → 問題が「推測ゲーム化」「過剰なエンジニアリング化」し、人間プレイヤーにとっても不親和になってしまう
「これは真の修復ではない。ただ、CTFをすべての人に『より悪く』しているだけだ。」
「適応すればいいだけ」——空虚なスローガン
Kabir氏が最も怒りを込めて批判しているのは、「just adapt bro(さあ、適応すればいいだけだよ)」という反応だ。
一部のセキュリティコミュニティの意見リーダーは、CTF選手がAI時代の新しいルールに「適応すべき」だと主張する。しかしKabir氏は逆に問う:いったい何に「適応」すればよいのか?
もし「適応」というのがより優れたツールを使うことを意味するなら、CTF選手たちはとっくにそうしている。
もし「適応」というのがより難しい問題を解くことを意味するなら、主催者たちはとっくに試みている。
もし「適応」というのが、スコアボードが今や「AIオーケストレーション能力のベンチマーク」であると受け入れることを意味するなら、私たちは正直にそう告白すべきであり、旧来の競技がまだ存在すると偽ってはならない。
コミュニティの流失
この記事が大きな議論を呼んでいる理由は、単にスコアボードの変化を描写しているだけではないからだ。それはコミュニティそのものの消滅を描いている。
「CTFの楽しさは、最もそれを大切に思っていた人々からすでに失われている。失われたのはスコアボードだけではない。それは、初心者の好奇心からエリート級の競争へとつながる階段であり、チャレンジ問題の設計という工芸であり、深い理解に基づいて人間が自ら難問を解決したときの達成感なのだ。」
Kabir氏が言及するPlaid CTF——CTF界で最も権威ある大会の一つ——は、すでに開催されていない。これは偶然ではない。
未来はどこにあるか?
Kabir氏は、決して完全に悲観的ではない。彼は、CTFコミュニティの価値が競技そのものにあるのではなく、競技を通じて結ばれる「人」と「知識」にあると見ている。そのため、彼はコミュニティがSecTalksなどのセキュリティ関連ソーシャルイベント、学生向けカンファレンス、地域のミートアップ、そしてHackTheBoxやpicoGymといった学習プラットフォームへとシフトすることを提言している。
「競技は終わるかもしれない。だが、コミュニティは終わってはならない。」
より大きな問い
CTFの危機は孤立した出来事ではない。それは「AIがいかに競争的な知的活動を変容させるか」という、より広範な問いの縮図である。プログラミングコンテスト、数学オリンピック、さらには学術論文の査読に至るまで、同様の課題が迫っている可能性がある。
AIの能力が大多数の人間参加者を凌駕したとき、競技の意義とは何か?
我々は、チェスにおけるエンジン使用禁止のように、AIの利用を制限すべきか? それとも、それを受容し、競技ルールを再定義すべきか?
Kabir氏の記事は最終的な答えを提示しないが、誰もが直視せねばならない問いを投げかけている:
「ツールが十分に強力になったとき、その競技は、もはや『元の競技』と言えるのか?」