AI 杀死了 CTF——这对网络安全培训意味着什么
AI 杀死了 CTF——这对网络安全培训意味着什么
「我说这话不是因为我讨厌 CTF。恰恰相反,CTF 曾经让我爱上了安全领域。」
一位全球顶级的 CTF(Capture The Flag,夺旗赛)选手刚刚宣布:CTF 已死。他的文章在 Hacker News 拿到了 336 分,安全社区正在激烈讨论。
问题不在于 CTF 不受欢迎——而是 AI 太擅长解题了。
发生了什么事
作者是澳大利亚最大 CTF 的冠军得主、全球 Top 10 团队的常客。他梳理了 CTF 衰落的三个 AI 里程碑:
GPT-4 (2023): 中等难度的挑战开始被「秒杀」——把一道密码学题目扔进 ChatGPT,10 分钟后拿回 flag。当时硬核题目还守得住,大家觉得只是多了个小便利。
Claude Opus 4.5 (2025): 局势变了。几乎所有中等难度和部分高难度挑战都变成了 Agent 可解。选手们搭建自动化系统,让 Claude 实例并行跑所有题目,第一小时自动运行,只剩最后几道难题需要人工。
GPT-5.5 (2026): 最后一击。按基准测试指标,GPT-5.5 已经接近 Claude 的水平。排行榜现在衡量的不再是安全技能,而是 AI 编排能力 + 使用前沿模型的意愿。
真正的问题
「问题从来不是 AI 能帮忙。CTFer 一直在用工具。问题是当模型自己做推理、写解题脚本,留给人类除了复制 flag 之外无事可做。」
这和我们在「AI 精神病」讨论中看到的软件工程困境如出一辙。当 AI 从助手变成替代者时,整个竞争格局都在改变。
后果是实实在在的:
- 出题人不再投入数周打造精巧题目——反正 Agent 几分钟就能解决
- 传奇战队在排行榜上越来越少出现
- 选手活跃度明显下降
- 排行榜本身开始感觉不对劲
为什么这事不止关乎 CTF
过去十年,CTF 一直是网络安全人才的培养皿。它教会了选手:
- 如何学习——面对新题型不断适应
- 如何衡量自己——在输赢中获得明确反馈
- 如何建立人脉——许多安全从业者的职业生涯始于 CTF 战队
如果 AI 毁掉了这个培训模式,用什么来替代?
即将到来的 AI 原生安全培训
历史告诉我们三条路:
1. 更难的问题(军备竞赛)
出题人会设计 AI 无法破解的题型——需要人类直觉、物理硬件、实时数据或多步骤推理。这已经在发生了。
2. AI 辅助型比赛
目标从「自己找到 flag」变成「用 AI 工具比别人更快找到 flag」。竞赛衡量的能力从纯安全知识变成了 AI 编排 + 安全判断力。
3. 真实场景模拟
最有前景的方向:从合成的 CTF 转向真实事件响应模拟。AI 可以生成逼真的攻击场景,人类的任务是分类、判断和制定策略——这些仍然是 AI 的弱项。
对安全从业者的启示
作者的结论令人警醒:
「看着人们假装旧格式还行得通,很令人沮丧——因为旧游戏已经不在了。」
安全从业者需要明白:
- 别在旧赛道竞争——你衡量的将是你的 AI 编排能力,不是你的安全技能
- 专注人类优势——判断力、直觉、战略思维仍然是 AI 无法替代的
- 学会与 AI 协作——最好的安全专家将是那些能用 AI 放大自己能力的人,而不是拒绝使用 AI 的人
AI 没有杀死安全行业。它只是摧毁了一种特定的培训形式。这个领域在进化,而随之进化的从业者将会胜出。
浏览我们整理的 AI 开发与安全工具合集——从代码助手到安全分析工具。