文章总结： 文章探讨AI对CTF竞赛生态的冲击，指出AI自动化解题削弱了学习本质与社区交流，导致CTF精神层面的消亡。过度依赖AI使玩家失去磨练机会，也打击出题人动力。建议玩家保持好奇亲自实践，出题人创新设计对抗AI，赛事方需调整形式维护初衷。 综合评分： 80 文章分类： CTF,AI安全,安全意识,实战经验,网络安全

CTF 已死

原创

骨哥说事 骨哥说事

骨哥说事

2026年3月23日 16:27 上海

原文：https://k3ng.xyz/blog/ctf-is-dead

这仅仅是我对这个问题的一些牢骚，所以提前为其缺乏连贯性和结构性致歉。这篇帖子仅是根据我的个人经历和道德标准得出的个人看法。

往昔美好时光

曾几何时，我会为了理解客户端攻击如何工作而绞尽脑汁，每次我发送一个载荷时，都会死死盯着 Webhook.site 页面，期盼那里会有一面旗帜。在经过成千上万次谷歌搜索和博客冲浪后，终于看到旗帜出现时的兴奋感，正是我依然坚持这么做的原因。我在大学和生活的喧嚣混乱中拨出时间参与CTF的全部理由，就是为了学习那些在课堂上永远不会被提及的概念。

社区也是CTF相当独特的一个方面。CTF社区基本上就是一群极客（正面意义上的），所以在比赛结束后，仅仅为了某个特定主题而钻研，然后在 Discord 频道上聊上几个小时，是件完全正常的事情。而这种类型的交流正是学习发生的地方。你并不知道屏幕后面是谁，所以常常发生的是，你正在从一位将整个职业生涯都致力于分析和防御端点日志的人那里学习 Sysmon 日志的工作原理。我个人所掌握的大部分取证知识，都是通过那些在现实生活中做过此类工作的人学来的，而那些现实生活和实践中的知识是无价的。另一方面，当你解释如何解决那道“简单”的Web挑战时，你可能是向一位现在为你轻松解开挑战而惊叹的高中生解释。这是一种有机而美丽的、充满人情味的知识交换方式。

转变发生

但是，那种社区感和奋斗感自此受到了威胁。AI已经消除了解决挑战时所有繁重的麻烦，从诸如编写脚本这类基本操作，到极端情况下自动化解决整个挑战。现在，你永远不必再为了解决使用小众协议的那道挑战，去查阅一份发布于2012年的文档页面。你不再需要告诉别人你尝试了X、然后Y、接着Z。你甚至都不需要阅读挑战是关于什么的，因为已经不再需要你那么做了。

为赢得比赛而付费使用最强AI模型的想法也同样成问题。CTF一直是最易于进入网络安全领域的方式之一，参与的唯一要求只是时间和好奇心。将你和其他参赛者区分开来，唯有经验和决心。但是，当顶尖“选手”为顶级模型支付数百美元时，竞技场就从展示技能转变为展示你的财力有多雄厚。

硬币的另一面

人们参与CTF方式的这些转变也影响了出题人。作为一名出题人，我曾花费数月研究什么样的主题会对人们的学习有益，这些主题可以是APT（高级持续性威胁）在现实世界中使用的新颖战术和技术，也可以是大多数人在深入层面不了解其工作原理的协议。当人们讨论我融入挑战中的概念，并愿意通过自行研究来延伸他们的好奇心时，我感受到了满足。也有个别的人会私信我，询问我是如何找到这些概念的，以及想了解我是如何构建这些挑战的。这种想要了解更多知识的激情，正是激励我能够创造更多有趣挑战的动力。

但是，如果现在唯一能“看到”我挑战的就只剩AI模型，我的动力从何而来？为什么我还要花费数月时间研究我自己觉得有趣的概念，构建挑战并测试它以确保解题路径合理，结果只是为了让AI在几分钟内自动解决？如果人们只是把挑战文件丢给AI，那又有什么能阻止我直接让AI模型来制作一个“粗制滥造的”挑战？而这种动力缺失将会影响今天CTF的质量，而那些渴望学习的玩家也会觉得比赛不再有趣。我们正面临一个对出题人和那些为了体验学习艰辛而来的玩家双输的局面。

AI是坏东西吗？

在所有这些抱怨AI如何将CTF变得更糟的牢骚之后，我必须说：我并不反对AI本身。我认为如果明智地使用，它是一个强大的工具。但我们并非生活在一个完美的世界，有些人无法或不愿明智地使用AI。

AI是一个很好的助手，可以收集关于某个主题的信息，并根据你正在做的挑战来定制信息。我广泛地用它来研究我将用于自己挑战的主题，也辅助诸如编写脚本或README之类的工作。但许多玩家未能理解的是，即使这些信息被盛盘端上，他们仍然需要对实际发生的情况负责。让AI来做重活，然后说“好了，现在替我把这个挑战解决掉”，这是极其容易让人陷入的危险。但当这种情况发生时，你就不再是学习了。你可能得到了旗帜，并最终赢得了获胜所需的分数，但在比赛结束后，你并没有获得任何东西。

结论

那么，CTF死了吗？如果你看赛事和玩家的数量，答案大概是“没有”。CTF会继续存在下去。

那么，为什么我把这篇博文命名为“CTF已死”呢？

因为目前，它 感觉上 死了。排行榜充斥着许多满分解题，但在比赛结束后却鲜有甚至没有交流。那些曾经混合着好奇心、酷炫的非预期解法和经验分享的对话，现在仅仅是一堆AI风格的解题脚本合集。

如我在这篇博文开头所说，CTF全在于对学习的热情。但如果你没有亲身参与其中，你就不可能对某事物抱有热情。当AI仅仅是“烂泥糊墙”式地通过所有挑战，人类就不再投入其中。现在，比赛仅仅变成了一场提示词工程练习。

当下怎么办？

我们如何才能防止我们所熟知的CTF“死亡”？如果你目前是一位正在阅读此文的初学者玩家，我的建议是保持热情与好奇心。如果你迷失了方向，你仍然可以请AI来帮助你。但在那之后，关掉那个标签页，自己动手去做，让你的技能在试错中得到磨练。

一开始会很艰难，但当你靠自己解决一个挑战时，那种多巴胺激增的快感是无与伦比的。正如老话所说：“重要的不是目的地，而是旅程本身。”

对于出题人来说，让这个社区保持活力的最佳方式是不断创新。不断发掘那些零日漏洞，或者研究最近APT使用的战术，因为这是一个需要创造性和新颖性挑战来阻碍AI“糊弄”的时代。可能愿意付出努力去解决它的人会更少，但你永远不会知道谁在看着你的挑战，并从中发现点燃他们整个网络安全旅程的火花。

至于比赛本身，可能需要改变形式。一些人已经提出了他们关于CTF应如何变革的想法，但老实说，我对此并无定论。有人监考的比赛可能有效，但其作用有限，而对于在线比赛，监考基本上是不可能的。监考CTF可能会被理解为对在CTF中使用AI持否定态度。最终，这取决于比赛本身的目标。如果目标是像大学比赛那样教育尽可能多的人，那么限制AI使用或许是个好主意。

总而言之，我认为当前是CTF经历的一段艰难时期，但我坚信，只要这个领域依然有人燃烧着激情，它就永远不会消亡。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《CTF 已死》