C
ChaoBro
ИИ-модели

Когда ИИ может мгновенно решать все задачи CTF: топ-участник объявил «CTF мёртв»

by ChaoBro
#CTF #ИИ-безопасность #Claude Opus 4.5 #GPT-5.5 #соревнования

Кабир — не тот человек, кто любит привлекать к себе внимание шумными заявлениями.

Он чемпион австралийского соревнования DownUnderCTF, участник международной элитной команды TheHackersCrew и постоянный участник топ-10 мирового рейтинга CTFTime. Он участвует в CTF с 2021 года — этот хобби напрямую привёл его в профессию кибербезопасности.

Но 1 мая он опубликовал статью с заголовком всего из четырёх слов: «The CTF scene is dead.» («Сцена CTF мертва»).

Это произошло не потому, что CTF перестали быть увлекательными. Причина в том, что ИИ превратил их в игру принципиально иного рода.

Переломный момент: Claude Opus 4.5

Хронология, описанная Кабиром, ясна и беспощадна.

Когда вышел GPT-4, реакция сообщества CTF была: «Ну ничего страшного» — задачи средней сложности действительно можно было решать простым копированием и вставкой в ChatGPT, но сложные задачи почти не поддавались. Экономия времени была ограничена, а структура соревнований не претерпела фундаментальных изменений.

Claude Opus 4.5 изменил всё.

После выхода Opus 4.5 практически все задачи средней сложности — и даже часть сложных — стали решаемыми агентами. Claude Code интегрирует всё в CLI, подключение различных CLI-инструментов и инструментов MCP стало тривиальным. Команда может написать оркестратор, использующий API CTFd для запуска отдельного экземпляра Claude на каждую задачу; ИИ за первый час решает все лёгкие и средние задачи, а людям остаётся сосредоточиться только на самых сложных.

«Команды, отказывающиеся использовать ИИ, теряют не просто удобный инструмент — они участвуют в замедленной версии соревнования.»

GPT-5.5 поставил точку

Кабир говорит, что активно использует GPT-5.5 и GPT-5.5 Pro. По показателям бенчмарков, возможности GPT-5.5 приближаются к Claude Mythos, а версия Pro, возможно, уже их превзошла.

На что способны эти модели? Мгновенное решение задач уровня «Insane» на HackTheBox — например, эксплуатации переполнения кучи без утечек. В 48-часовом CTF, если использовать GPT-5.5 Pro для оркестрации задач уровня «Insane», высока вероятность получить флаг ещё до окончания соревнования.

«Это превращает открытые CTF в формат pay-to-win: чем больше токенов вы готовы потратить на соревнование, тем быстрее вы очистите таблицу результатов.»

Крах таблицы результатов

Это не технический вопрос «может ли ИИ решать задачи». Это социальная проблема — утрата самого смысла соревнования.

Основной тезис Кабира таков: рейтинг CTFTime более не отражает уровень человеческих навыков в области безопасности. Сегодня он измеряет три вещи:

  1. Насколько вы готовы использовать передовые ИИ-модели
  2. Насколько хорошо вы умеете писать оркестрационные инструменты
  3. Какой объём токенов вы можете себе позволить

Сами навыки безопасности уже стали второстепенным фактором.

Ещё хуже то, что легендарные команды, которые формировали культуру CTF, исчезают из рейтинга. TheHackersCrew и многие другие известные команды либо перестали участвовать, либо значительно сократили число участников, либо почти не попадают в топ-10.

«Таблица результатов 2026 года будет принципиально отличаться от таблиц всех предыдущих лет.»

Дилемма организаторов

Организаторы CTF не остались бездействовать.

Они пробовали различные технические методы блокировки решения задач LLM — строки отказа, ловушки для prompt-инъекций, намеренное создание задач, «недружелюбных» к ИИ. Но это лишь временные препятствия. Claude Code уже игнорирует старые методы строк отказа. Современные модели всё лучше распознают prompt-инъекции. Возможности поиска позволяют находить решения даже для задач, основанных на технологиях, выпущенных после даты обучения моделей.

В результате возникает дилемма:

  • Публиковать обычные задачи → ИИ-агенты решают слишком много
  • Публиковать задачи, специально заточенные против ИИ → задачи становятся головоломочными, чрезмерно инженерными и неприятными даже для людей

«Это не настоящее исправление. Это просто ухудшение CTF для всех.»

«Просто адаптируйтесь» — пустой лозунг

Самая яростная часть статьи Кабира — критика ответа «just adapt bro» («просто адаптируйся, чувак»).

Некоторые лидеры мнений в сообществе безопасности утверждают, что участникам CTF следует адаптироваться к новым правилам эпохи ИИ. Но Кабир задаёт встречный вопрос: к чему именно адаптироваться?

Если адаптация означает лучшие инструменты — участники CTF давно этим занимаются. Если адаптация означает более сложные задачи — организаторы уже пробовали. Если адаптация означает принятие того, что таблица результатов теперь — это бенчмарк способности оркестрировать ИИ, — тогда мы должны честно об этом сказать, а не делать вид, что старый формат соревнований всё ещё существует.

Сообщество теряет участников

Статья вызвала широкое обсуждение не просто потому, что описывает изменения в таблице результатов, а потому что фиксирует угасание целого сообщества.

«Удовольствие от CTF исчезло для тех, кто ценит их больше всего. Потеря — это не только таблица результатов. Это лестница от любопытства новичков до элитных соревнований. Это мастерство проектирования задач. Это ощущение, когда умный человек решает сложную задачу благодаря глубокому пониманию.»

Plaid CTF — одно из самых авторитетных соревнований в мире CTF — больше не проводится. Это не совпадение.

Куда идти дальше?

Кабир не скатывается в полный пессимизм. Он считает, что ценность сообщества CTF заключается не в самих соревнованиях, а в людях и знаниях, которые они объединяют. Он предлагает сместить фокус на социальные мероприятия в сфере безопасности (SecTalks), студенческие конференции, локальные встречи, а также учебные платформы вроде HackTheBox и picoGym.

«Соревнования могут умереть, но сообщество — нет.»

Более широкая проблема

Кризис CTF — не изолированное явление. Это пример того, как ИИ меняет все соревновательные интеллектуальные активности. Программирование, математика, даже рецензирование научных статей — всё это может столкнуться с аналогичными вызовами.

Что значит «соревнование», когда возможности ИИ превосходят большинство людей? Следует ли ограничить использование ИИ (как в шахматах запрещены движки), или принять его и переопределить правила игры?

В своей статье Кабир не даёт окончательного ответа, но ставит вопрос, который должен задать себе каждый: когда инструмент становится достаточно мощным — остаётся ли соревнование тем же самым?

Источник: kabir.au/blog/the-ctf-scene-is-dead

Похожие материалы

Официальный релиз MCP-сервера от Chrome DevTools: ИИ-агенты для программирования наконец-то могут «видеть» браузер

Команда разработчиков Chrome официально выпустила chrome-devtools-mcp — MCP-сервер, предоставляющий ИИ-агентам для программирования возможности браузерных DevTools. Это означает, что такие инструменты, как Claude Code и Cursor, теперь могут напрямую управлять браузером: исследовать DOM, отлаживать сетевые запросы и анализировать производительность. Проект уже набрал более 40 000 звёзд на GitHub.

Google I/O 2026: «Агентизация» поиска — это не обновление, а переписывание с нуля

На конференции I/O 2026 компания Google представила планы по полной перестройке поиска с помощью агентного ИИ (Agentic AI). В будущем Google Поиск перестанет быть инструментом, который просто «принимает ключевые слова и выдает список ссылок», и превратится в интеллектуального агента, способного самостоятельно выполнять сложные задачи. Это не просто обновление поиска, а вызов всей бизнес-модели поисковых систем.

Технология водяных знаков Google SynthID внедряется гигантами вроде OpenAI и Nvidia: отслеживание происхождения контента ИИ вступает в эпоху стандартизации

Разработанная Google технология водяных знаков SynthID для ИИ становится де-факто отраслевым стандартом — компании-лидеры, такие как OpenAI и Nvidia, уже объявили о её внедрении. Эта технология, позволяющая внедрять невидимые метки в контент, созданный ИИ, открывает новые технические пути для борьбы с дипфейками и отслеживания происхождения материалов ИИ. Однако противостояние создателей и обходчиков водяных знаков только начинается.