CTF还活着吗？深度探讨AI时代下的技术竞赛变味与初心迷失

原文：https://k3ng.xyz/blog/ctf-is-dead

这篇文章只是我个人对这个话题的一些牢骚，所以先为它可能缺乏连贯性和严谨结构道个歉。以下观点完全源自我的个人经历和道德标准，算是一点私人体会。

往昔美好时光

回想当初，为了搞懂一个客户端攻击的原理，我能琢磨上好半天。每次发送一个测试载荷，眼睛就死死钉在 Webhook.site 的页面上，期待着那面代表胜利的旗帜出现。经历了无数次谷歌搜索和博客浏览，当旗帜终于出现时的那股兴奋劲，就是支撑我一直玩下去的动力。在大学和生活的混乱中挤出时间参加CTF，全部理由就是为了学习那些课堂里永远不会讲到的概念。

社区是CTF另一个相当独特的魅力点。CTF社区基本上是一群极客（这是褒义词），所以比赛结束后，仅仅因为对某个特定话题感兴趣，就能在 Discord 频道里聊上好几个小时，这事儿再正常不过。而真正的学习，恰恰就发生在这种交流里。你并不知道屏幕对面是谁，所以经常发生的是：你可能正在向一位毕生都在分析和防御端点日志的专家，学习 Sysmon 日志的工作细节。我个人掌握的大部分取证知识，都是从那些在现实工作中处理过此类问题的人那里学来的，这种来自一线的实战经验是无价的。另一方面，当你向一位高中生解释那道“简单”的 Web 题怎么解时，你可能会看到他眼中恍然大悟的光芒。这是一种有机、美好、充满人情味的知识交换方式。

转变发生

但是，那种社区感和共同奋斗的感觉，如今正面临威胁。人工智能（AI）已经扫清了解决挑战过程中的大部分“麻烦”，从编写脚本这样的基础操作，到极端情况下直接自动化破解整个题目。现在，你不再需要为了解一道使用小众协议的题，去翻找一份2012年的陈旧文档。你也不再需要向别人描述你尝试了X，然后Y，最后Z的调试过程。你甚至可能不需要读题目描述，因为已经没这个必要了。

更成问题的是，那种为了赢得比赛而付费使用最强AI模型的想法。CTF一直是进入网络安全领域门槛最低的途径之一，参与的唯一要求就是时间和好奇心。区分你和其他选手的，只有经验与决心。但当顶尖“选手”们开始每月为顶级模型支付数百美元时，竞技场就从技能展示，悄然变成了财力比拼。

硬币的另一面

参与者方式的转变，也同样影响着出题人。作为一名出题人，我曾花费数月去研究哪些主题对学习者真正有益——可能是现实世界APT（高级持续性威胁）使用的新颖技战术，也可能是大多数人不甚了解的底层协议。当有人讨论我埋在题目里的概念，并愿意主动深入研究时，我会感到由衷的满足。也偶有参与者私信我，询问这些概念的来源和题目的构建思路。正是这种渴望了解更多知识的热情，激励着我创造出更多有趣的挑战。

但如果现在唯一能“看到”我精心设计的题目的只剩AI模型，我的动力从何而来？我为什么要花几个月研究一个自己觉得有趣的概念，反复构建和测试以确保解题路径合理，结果只是为了让AI在几分钟内自动搞定？如果人们只是把题目文件扔给AI，那又有什么能阻止我直接让AI来生成一个“粗制滥造”的挑战呢？这种动力的缺失，必将影响当下CTF的整体质量，而那些渴望从解题过程中学习的玩家也会觉得比赛索然无味。我们正面临一个对出题人和真心求知的玩家都“双输”的局面。

AI是坏东西吗？

在抱怨了这么多AI如何“毁掉”CTF之后，我必须说：我并不反对AI本身。我认为，如果使用得当，它是一个无比强大的工具。但我们并非生活在一个完美的世界，总有人无法或不愿明智地使用它。

AI是一个出色的助手，能帮你搜集某个主题的信息，并根据你手头的挑战进行定制。我自己就广泛用它来研究出题素材，或者辅助编写脚本和README文档。但很多玩家没能理解的是：即使信息被整理好端到你面前，你仍然需要对实际发生的情况负责。让AI干完所有重活，然后说“好了，现在替我把这题解了”，这种诱惑极其危险。一旦你这么做，学习的过程就停止了。你可能拿到了旗帜，凑够了赢比赛的分数，但在比赛结束后，你实际上什么也没得到。

结论

那么，CTF死了吗？如果只看赛事数量和参与人数，答案大概是“没有”。CTF会继续存在下去。

那为什么我把这篇博文命名为“CTF已死”呢？

因为就目前而言，它 感觉上 死了。排行榜上充斥着满分解题记录，但赛后却鲜有甚至没有任何交流。那些曾经混合着好奇心、酷炫的非预期解法和经验分享的对话，如今变成了一堆AI风格的解题脚本合集。

正如我在开头所说，CTF的核心是对学习的热情。但如果你没有亲身投入其中，就不可能对某件事物产生热情。当AI只是囫囵吞枣般地通过所有挑战时，人类就不再真正参与。现在的比赛，某种程度上变成了一场提示词工程练习。

当下怎么办？

我们如何才能防止我们所熟知的CTF彻底“死亡”？如果你是一位正在读这篇文章的初学者，我的建议是：保持你的热情与好奇心。如果你真的卡住了，当然可以请AI帮忙。但在得到提示后，关掉那个标签页，亲手去实践，让你的技能在试错中磨练。

一开始会很难，但当你完全依靠自己解决一个挑战时，那种多巴胺飙升的成就感是无与伦比的。正如那句老话：“重要的不是目的地，而是旅程本身。”

对于出题人而言，让社区保持活力的最佳方式是不断创新。不断挖掘那些零日漏洞，或者研究近期APT组织使用的战术，因为现在正是一个需要创造性和新颖性挑战来给AI“使绊子”的时代。或许愿意付出努力去解题的人会更少，但你永远不会知道，有谁正在看着你的题目，并从中找到了点燃他整个网安职业生涯的火花。

至于比赛形式本身，或许也需要变革。已经有一些人提出了关于CTF应如何改革的设想，但老实说，我也没有确切的答案。有人监考的比赛或许有效，但作用范围有限；而对于在线比赛，监考基本上是不可能的。强调监考也可能被解读为对使用AI的全盘否定。最终，这取决于比赛本身的目标。如果目标是像许多大学竞赛那样，教育尽可能多的人，那么限制AI使用或许是个好主意。

总而言之，我认为当下是CTF经历的一段艰难时期，但我坚信，只要这个领域里依然有人心怀热忱，它就永远不会真正消亡。

如果你对这类安全技术话题感兴趣，欢迎来 云栈社区 的对应板块，与更多志同道合的朋友交流探讨。