Doświadczony gracz CTF i członek międzynarodowych zespołów cyberbezpieczeństwa ostrzega, że zaawansowane modele AI fundamentalnie zmieniły charakter zawodów Capture The Flag. Jak pisze autor w szczegółowej analizie, konkursy z otwartym dostępem przekształciły się z testów umiejętności w zawody automatyzacji.
Autor, który rozpoczął grę w CTF w 2021 roku i sukcesywnie zdobywał czołowe miejsca z zespołami Blitzkrieg i TheHackersCrew, obserwował stopniową transformację sceny. Jego doświadczenie obejmuje zwycięstwa w DownUnderCTF, największym australijskim CTF, oraz regularne miejsca w top 10 najbardziej prestiżowych światowych zawodów.
Kluczowe wnioski
- Modele takie jak GPT-4 sprawiły, że średnio trudne wyzwania CTF stały się rozwiązywalne jednym zapytaniem do AI.
- Claude Opus 4.5 umożliwił automatyczne rozwiązywanie prawie wszystkich zadań średniej trudności i niektórych trudnych poprzez agenty AI.
- GPT-5.5 Pro może rozwiązać zadania na poziomie „Insane” z HackTheBox, co czyni otwarte CTF zawodami typu „pay-to-win”.
- Tradycyjna drabinka rozwoju dla początkujących została przerwana przez dominację AI na tablicach wyników.
- Legendarne zespoły pojawiają się rzadziej w rankingach, a twórcy wyzwań tracą motywację do tworzenia kunsztownych zadań.
Przełomowy moment z Claude Opus 4.5
Prawdziwa zmiana nastąpiła z wprowadzeniem Claude Opus 4.5. Model ten, wyposażony w Claude Code i możliwość łączenia z narzędziami CLI oraz MCP, umożliwił tworzenie orchestratorów wykorzystujących API CTFd do automatycznego uruchamiania instancji Claude dla każdego wyzwania.
Zespoły mogły teraz uruchomić system na pierwszą godzinę zawodów, a następnie skupić się wyłącznie na najtrudniejszych zadaniach, które pozostały nierozwiązane. To zmieniło naturę konkurencji – zamiast testować umiejętności bezpieczeństwa, CTF zaczęły mierzyć szybkość automatyzacji i gotowość do używania najnowszych modeli AI.
Skutki były natychmiastowe i widoczne. Ranking CTFTime zaczął wydawać się „nieprawdziwy”, legendarne zespoły pojawiały się rzadziej, a aktywność graczy spadła. Twórcy wyzwań, którzy traktowali CTF jako formę sztuki, stracili motywację do spędzania tygodni na budowaniu pięknych zadań, które agent mógł rozwiązać w minuty.
GPT-5.5 jako punkt zwrotny
Wprowadzenie GPT-5.5 i GPT-5.5 Pro według autora „przypieczętowało sprawę”. Te modele, o możliwościach zbliżonych do Claude Mythos (Pro prawdopodobnie je przewyższa), potrafią rozwiązać jednym strzałem zadania na poziomie „Insane” z aktywnym wyciekiem pamięci sterty w HackTheBox.
Modele te mogą rozwiązać znaczną część tego, co mniejszy organizator CTF może realistycznie wyprodukować. Orchestracja GPT-5.5 Pro przeciwko zadaniom „Insane” w 48-godzinnym CTF daje realne szanse na zdobycie flagi przed końcem wydarzenia.
To przekształca otwarte CTF w zawody „pay-to-win” – im więcej tokenów można rzucić na konkurencję, tym szybciej można „spalić” całą tablę wyników. Wyspecjalizowane modele cyberbezpieczeństwa, takie jak alias1 od Alias Robotics, stają się mniej istotne w porównaniu z ogólnymi modelami frontier.
Przerwana ścieżka rozwoju początkujących
Autor krytykuje pogląd, że początkujący nadal mogą uczyć się z CTF jak zawsze. Jego zdaniem takie stanowisko ignoruje znaczenie tabeli wyników jako drabinki rozwoju. CTF nie były tylko zestawem zagadek – stanowiły system progressji, gdzie nawet początkujący mieli coś do wspinania się.
Gdy widoczna tablica wyników jest zdominowana przez zespoły używające AI, początkujący są zachęcani do korzystania z AI, zanim rozwiną instynkty, które AI zastępuje. To anty-wzorzec, który zapobiega aktywnemu uczeniu się, podczas gdy aktywna walka to element, który faktycznie uczy.
Autor zaleca początkującym korzystanie z platform takich jak picoGym czy HackTheBox, gdzie celem jest rzeczywiste uczenie się, a nie udawanie, że publiczna tablica wyników nadal odzwierciedla ludzki rozwój.
Transformacja CTF z konkursu umiejętności w zawody automatyzacji oznacza koniec ery, w której wyniki w CTF mogły służyć jako miara kompetencji w cyberbezpieczeństwie. Najbardziej doświadczeni gracze obserwują, jak tradycyjny format, który wprowadził ich w świat bezpieczeństwa, zostaje zastąpiony przez wyścig wydajności AI i budżetów na tokeny.
