Kabir 不是那种喜欢哗众取宠的人。
他是澳大利亚 DownUnderCTF 的冠军,国际顶级战队 TheHackersCrew 的成员,CTFTime 全球排名前十的常客。他从 2021 年开始打 CTF,这个爱好直接把他带进了网络安全这个职业。
但他在 5 月 1 日发表的一篇文章,标题只有四个字:"The CTF scene is dead."
不是因为 CTF 不好玩了。是因为 AI 把它变成了一个完全不同性质的游戏。
转折点:Claude Opus 4.5
Kabir 描述的时间线清晰而残酷。
GPT-4 刚出来时,CTF 社区的反应是"还好"——中等难度的题目确实可以靠复制粘贴给 ChatGPT 来解决,但难题基本免疫。时间节省有限,比赛格局没有根本性变化。
Claude Opus 4.5 改变了一切。
Opus 4.5 发布后,几乎所有中等难度的 CTF 题目——甚至部分难题——变成了 agent-solvable 的。Claude Code 把 everything 打包进 CLI,连接各种 CLI 工具和 MCP 工具变得轻而易举。一个战队可以写一个编排器,用 CTFd API 给每道题启动一个 Claude 实例,让 AI 在第一个小时跑完所有简单和中等题,人类只需要专注于剩下的最难题目。
"拒绝使用 AI 的战队不只是错过了一个便利工具,他们是在玩一个更慢版本的比赛。"
GPT-5.5 锁定了结局
Kabir 说他一直在重度使用 GPT-5.5 和 GPT-5.5 Pro。从基准指标来看,5.5 的能力接近 Claude Mythos,而 Pro 版本可能已经超越。
这些模型能做到什么程度?一键秒杀 HackTheBox 上 Insane 难度的无泄漏堆溢出利用题。 在一个 48 小时的 CTF 中,如果你用 GPT-5.5 Pro 来编排 Insane 难度的题目,有很大概率在比赛结束前拿到 flag。
"这让开放式 CTF 变成了 pay-to-win。你能往比赛里砸的 token 越多,你就能越快清空计分板。"
评分板的崩塌
这不是一个"AI 能不能做题"的技术问题。这是一个竞赛意义被消解的社会问题。
Kabir 的核心论点是:CTFTime 排行榜已经不再反映人类安全技能的水准了。它现在衡量的是三件事:
- 你有多愿意使用前沿 AI 模型
- 你的编排工具写得有多好
- 你能负担多少 token 开销
安全技能本身,已经变成了次要因素。
更糟糕的是,那些真正定义了 CTF 文化的传奇战队,正在从排行榜上消失。TheHackersCrew 和其他许多知名战队要么不参赛了,要么大幅减少参赛人数,要么很难再进入前十。
"2026 年的计分板和之前每一年的都完全不同。"
组织者的困境
CTF 组织者不是没有尝试过反击。
他们试过各种技术手段来阻止 LLM 解题——拒绝字符串、提示注入陷阱、故意设计成 AI 不友好的题目。但这些都是临时性的摩擦。Claude Code 已经不在乎旧的拒绝字符串技巧了。前沿模型越来越擅长识别提示注入。搜索能力让基于新技术(训练截止日期之后发布的)的题目也变得容易被搜索到。
结果是一个两难困境:
- 出正常的题目 → AI agent 解决太多
- 出专门针对 AI 的题目 → 题目变得猜谜化、过度工程化、对人类玩家也不友好
"这不是真正的修复。这只是让 CTF 对所有人来说都变得更糟。"
"适应就好了"——一个空洞的口号
Kabir 在文章里最愤怒的部分,是对"just adapt bro"这个回应的批判。
一些安全社区的意见领袖说,CTF 选手应该适应 AI 时代的新规则。但 Kabir 反问:适应成什么?
如果适应意味着更好的工具,CTF 选手早就做了。如果适应意味着更难的题目,组织者早就试了。如果适应意味着接受计分板现在是 AI 编排能力的基准测试,那我们应该诚实说出来,而不是假装旧比赛还存在。
社区正在流失
这篇文章之所以引发大量讨论,是因为它描述的不仅仅是计分板的变化,而是一个社区的消亡。
"CTF 的乐趣对于最关心它的人来说已经消失了。失去的不只是一个计分板。是从初学者好奇心到精英竞争的阶梯。是挑战设计的工艺。是一个聪明的人类因为深刻理解而解决难题的感觉。"
Kabir 提到的 Plaid CTF——CTF 界最负盛名的比赛之一——已经不再举办了。这不是巧合。
未来在哪?
Kabir 并没有完全悲观。他认为 CTF 社区的价值不在于比赛本身,而在于比赛所连接的人和知识。他建议社区转向安全相关的社交活动(SecTalks)、学生会议、本地聚会,以及 HackTheBox、picoGym 等学习平台。
"比赛可能会死,但社区不应该。"
一个更大的问题
CTF 的困境不是孤立事件。它是"AI 如何改变竞争性智力活动"这个问题的一个缩影。编程竞赛、数学竞赛、甚至学术论文评审,都可能面临类似的挑战。
当 AI 的能力超过了大部分人类参与者时,竞赛的意义是什么?我们应该限制 AI 的使用(像国际象棋禁止引擎一样),还是接受它并重新定义竞赛规则?
Kabir 的文章没有给出最终答案,但他提出了一个所有人都需要面对的问题:当工具变得足够强大,竞赛还是原来的竞赛吗?