AI frontier đã phá vỡ định dạng CTF công khai

 (kabir.au)
1 điểm bởi GN⁺ 2 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • AI frontier đang tự động hóa các bài dễ và trung bình trong CTF (Capture The Flag) trực tuyến công khai, khiến bảng điểm không còn phản ánh rõ ràng năng lực bảo mật của con người
  • Vấn đề không nằm ở việc có trợ giúp AI hay không, mà là ở chỗ mô hình đã đạt tới mức tự suy luận và viết mã lời giải, để lại cho con người chỉ việc sao chép flag
  • Từ sau Claude Opus 4.5 và Claude Code, việc dựng agent riêng cho từng bài qua CTFd API để xử lý các bài đầu trận trở nên khả thi, giúp con người dễ tập trung hơn vào các bài khó
  • GPT-5.5 Pro thậm chí có thể giải một phát các bài HackTheBox độ khó Insane dạng active leakless heap pwn, khiến bên nào chịu được chi phí token và agent sẽ có lợi thế hơn
  • Khi bảng điểm công khai bắt đầu đo cả khả năng điều phối AI lẫn năng lực chi trả, chiếc thang CTF nơi người mới tích lũy kỹ năng để vươn lên các đội mạnh dần bị suy yếu

Bảng điểm của CTF trực tuyến công khai đã thay đổi

  • AI frontier đã phá vỡ định dạng CTF công khai, khiến bảng điểm không còn là công cụ đo năng lực bảo mật của con người một cách rõ ràng nữa
  • Điểm cốt lõi không phải AI chỉ đưa gợi ý, mà là mô hình tự thực hiện suy luận, viết mã lời giải, rồi chỉ để lại thao tác sao chép flag cho con người
  • Trước đây, CTF không chỉ là một tập hợp câu đố mà còn là một chiếc thang để người mới nâng kỹ năng và tiến lên những đội, những giải đấu ở đẳng cấp cao hơn
  • Thành tích trong CTF công khai trực tuyến giờ không chỉ phản ánh kỹ năng bảo mật, mà còn phản ánh cả ý chí sử dụng mô hình frontier, khả năng dựng tự động hóa và năng lực bỏ đủ token vào cuộc chơi
  • CTF công khai trực tuyến ở định dạng hiện tại khó có thể tiếp tục đảm nhiệm vai trò trước đây, và cũng khó nói rằng chưa có thay đổi mang tính căn bản

Bối cảnh của sự thay đổi

  • Trải nghiệm CTF và vấn đề được nhìn ra

    • Tác giả bắt đầu chơi CTF khi vào đại học năm 2021, và ở giải đầu tiên là HCKSYD, một CTF solo kéo dài 48 giờ, đã giải toàn bộ đề trong 2 giờ và giành chiến thắng
    • Sau đó, cùng Blitzkrieg, tác giả nhiều lần vô địch DownUnderCTF, giải CTF lớn nhất Australia, rồi sau này gia nhập đội quốc tế top đầu TheHackersCrew
    • TheHackersCrew liên tục có thứ hạng cao trên CTFTime và đến cuối năm 2025 thường xuyên nằm trong top 10 các CTF tầm cỡ thế giới
    • CTF là thứ khiến tác giả yêu thích bảo mật, là phương thức học tập, là công cụ tự đo lường bản thân và là con đường để gặp nhiều người đáng kính

  • Thay đổi đầu tiên sau GPT-4

    • Sau khi GPT-4 xuất hiện, khá nhiều bài CTF độ khó trung bình trở thành mục tiêu có thể được giải một phát (one-shot) chỉ với một prompt để lấy ra lời giải và flag
    • Đã có thể xảy ra tình huống chỉ cần dán một bài mật mã vào ChatGPT, quay lại sau 10 phút là có đáp án
    • Khi đó, các bài khó hơn nhìn chung vẫn ít bị ảnh hưởng, và phần thời gian tiết kiệm được chưa bị xem là đủ lớn để phá hỏng cả giải đấu
    • Người chơi CTF vốn từ trước đến nay vẫn luôn dùng công cụ, nên vấn đề không phải ở bản thân trợ giúp AI, mà là liệu nó đã đạt đến mức xóa sổ công việc có ý nghĩa của con người hay chưa

Claude Opus 4.5 đã làm thay đổi định dạng

  • Từ sau Claude Opus 4.5, gần như mọi bài độ khó trung bình và một phần bài khó đều trở thành đối tượng có thể được agent giải
  • Claude Code gom mọi thứ vào CLI và giúp việc kết nối các công cụ CLI khác cũng như MCP trở nên dễ dàng, nhờ đó việc dựng một orchestrator khởi chạy một instance Claude cho từng bài qua CTFd API cũng trở nên đơn giản
  • Trong giờ đầu tiên của cuộc thi, có thể dùng hệ thống để xử lý các bài dễ và trung bình, rồi để con người chỉ tập trung vào số bài còn lại
  • Các đội không dùng AI không chỉ bỏ lỡ sự tiện lợi đơn thuần, mà thực chất đang thi một phiên bản chậm hơn của cùng cuộc chơi
  • CTF công khai trực tuyến đã biến thành trò chơi xem ai tự động hóa bài dễ và trung bình nhanh hơn, và ai giữ lại được nhiều sự chú ý của con người hơn cho những bài khó nhất
  • Bảng điểm bắt đầu đo cả kỹ năng bảo mật lẫn, đôi khi còn nhiều hơn thế, năng lực điều phối và ý chí dùng mô hình frontier
  • Bảng xếp hạng CTFTime bắt đầu tạo cảm giác kỳ lạ: những đội huyền thoại từng liên tục đứng đầu xuất hiện ít hơn, còn mức độ hoạt động của người chơi dường như cũng suy giảm
  • Nếu người ra đề bỏ ra nhiều tuần để tạo nên một bài tinh vi nhưng agent lại giải xong trong vài phút, thì động lực đối xử với CTF như một loại hình nghệ thuật cũng giảm đi

Bước ngoặt quyết định sau GPT-5.5

  • GPT-5.5GPT-5.5 Pro theo benchmark đã tiệm cận Claude Mythos, hoặc với bản Pro thậm chí có thể vượt qua
  • Những mô hình này có thể giải một phát các bài HackTheBox thuộc loại Insane active leakless heap pwn
  • Chúng có thể xử lý phần lớn các loại bài mà một đơn vị tổ chức CTF nhỏ có thể thực tế tạo ra, và nếu điều phối Pro cho các bài Insane trong một CTF 48 giờ, vẫn có khả năng lấy được flag trước khi cuộc thi kết thúc
  • Kết quả là CTF công khai bắt đầu mang tính pay-to-win
  • Càng đổ nhiều token vào cuộc thi, bạn càng có thể đi xuống bảng điểm nhanh hơn
  • Các mô hình an ninh mạng chuyên biệt như alias1 của Alias Robotics đang dần trở nên kém quan trọng hơn so với các frontier LLM phổ dụng
  • Cuộc cạnh tranh giờ chuyển thành xem ai đủ khả năng chi trả để chạy đủ số lượng agent với đủ ngữ cảnh trong đủ thời gian
  • Thành tích CTF không còn định nghĩa kỹ năng cá nhân như trước, và ý nghĩa của việc tuyển dụng nhân sự an ninh mạng dựa trên thành tích CTF cũng suy giảm
  • Phần lớn orchestration cần cho CTF hiện đã là mã nguồn mở hoặc có thể dựng bằng vibe coding, nên đây cũng không còn là thước đo tốt cho năng lực AI

Con đường học tập của người mới bị tổn hại

  • Bảng điểm từng là chiếc thang học tập

    • CTF từng là một chiếc thang để người mới giải được nhiều bài hơn, đạt thứ hạng cao hơn, gia nhập đội tốt hơn và trở nên cạnh tranh hơn
    • Nếu bảng điểm công khai bị các đội dùng AI thống trị, người mới sẽ bị AI lấn át ngay cả trước khi kịp rèn được những cảm giác mà AI đang thay thế
    • Đây là một phản mẫu cản trở việc học chủ động, trong khi phần thật sự mang tính giáo dục lại nằm ở sự vật lộn tích cực và việc tự mình va chạm trực tiếp
    • Dù có bỏ công sức thật sự, nếu phần trên của chiếc thang đã bị tự động hóa khiến không còn thấy sự tiến bộ rõ ràng, động lực cũng sẽ giảm mạnh

  • Khác biệt giữa CTF cho người mới và nền tảng học tập

    • Nếu ngay cả CTF cho người mới cũng trở thành nơi mọi người âm thầm dán prompt để leo bảng điểm, thì với người ra đề, đầu tư vào nền tảng học tập sẽ hợp lý hơn
    • Trên các nền tảng như picoGymHackTheBox, giá trị kỳ vọng nằm ở giáo dục, và động cơ để người mới tự lừa quá trình học của mình thấp hơn so với trên bảng điểm công khai
    • Với người mới, học qua picoGym, HackTheBox và các môi trường lab khác sẽ tốt hơn là tham gia một cuộc cạnh tranh mà bảng điểm công khai giả vờ phản ánh sự trưởng thành của con người

Giới hạn của phản biện “CTF chưa chết”

  • Phản biện rằng AI chưa thể giải mọi bài và các giải như DEF CON vẫn còn tồn tại là đúng ở một mức độ nào đó, nhưng không chạm vào phần cốt lõi của vấn đề
  • Những bài khó nhất ở vòng chung kết cấp cao nhất có rất ít người tham gia, và thường chỉ có thể tiếp cận qua vòng loại vốn dễ hơn vòng chung kết
  • Nếu vòng loại bị agent làm sụp đổ, thì số người thật sự xứng đáng tiếp cận đến những bài còn kháng được AI sẽ giảm đi
  • Một số ít trận chung kết của giới tinh hoa không thể cứu được định dạng công khai trực tuyến mà phần lớn mọi người thực sự tham gia
  • Vấn đề không phải là mọi bài đều bị giải, mà là một phần đủ lớn của bảng điểm đã bị tự động hóa đến mức mất đi ý nghĩa như trước

Nghiên cứu bảo mật và CTF cạnh tranh là hai việc khác nhau

  • CTF có thể cho thấy những kỹ thuật mới thú vị, nhưng bản thân nó chưa từng là nơi tạo ra khám phá của nghiên cứu bảo mật
  • Chỉ vì AI hữu ích trong lĩnh vực an ninh mạng không có nghĩa là nó phải được đưa vào cấu trúc cạnh tranh của lĩnh vực đó một cách không giới hạn
  • AI không giới hạn trong CTF gần như loại con người ra khỏi bài toán câu đố, và thu nhỏ tính nghệ thuật của bảo mật thành prompt
  • LLM sẽ tiếp tục nâng cao năng lực bảo mật chừng nào CTF còn tồn tại, nhưng điều đó không có nghĩa là định dạng cạnh tranh hiện tại là lành mạnh
  • CTF từng là cách để chia sẻ kỹ thuật và đẩy giới hạn kỹ năng bảo mật của con người, nhưng mục đích đó đang bị bóc tách dần

Vấn đề với phép so sánh engine cờ vua

  • Cờ vua từ lâu đã bị máy tính thống trị, nhưng engine cờ vua không được phép dùng trong thi đấu đối kháng
  • Engine cờ vua được dùng cho phân tích, huấn luyện, bình luận và luyện tập, làm phong phú hệ sinh thái xung quanh cuộc thi chứ không thay thế người thi đấu
  • Nếu cung cấp cho mọi kỳ thủ engine tốt nhất và cho phép tự do dùng trong lúc thi đấu, sẽ nảy sinh câu hỏi liệu điều đó có công bằng, có còn hấp dẫn để xem, có xứng đáng với tiền thưởng, và có còn đẩy giới hạn con người hay không
  • Những câu hỏi tương tự cũng áp dụng cho CTF

Vì sao ban tổ chức khó đối phó

  • Các đơn vị tổ chức CTF đã thử những kỹ thuật để phá hoặc kìm hãm lời giải do LLM tạo ra, nhưng phần lớn chỉ tạo ra ma sát tạm thời
  • Claude Code không còn bị lay chuyển đáng kể bởi các mẹo chuỗi từ chối cũ
  • Các mô hình frontier ngày càng giỏi nhận ra prompt injection
  • Tính năng tìm kiếm web làm suy yếu khả năng phòng thủ của những bài dựa trên kỹ thuật xuất hiện sau mốc cắt dữ liệu huấn luyện
  • Luật cấm dùng LLM rất dễ bị phớt lờ trong các sự kiện công khai trực tuyến và gần như không thể thực thi
  • Nếu ra đề theo kiểu thông thường thì agent giải được quá nhiều; còn nếu ra đề theo hướng đối kháng với agent thì bài lại dễ trở thành kiểu đoán mò, overengineered và khó chịu với cả con người
  • Những cách ứng phó này không phải lời giải thật sự, mà chỉ đẩy CTF theo hướng tệ hơn cho tất cả mọi người

Lỗ hổng trong câu nói “cứ thích nghi đi”

  • Nếu thích nghi có nghĩa là làm công cụ tốt hơn, thì người chơi CTF vốn đã làm điều đó từ lâu
  • Nếu thích nghi có nghĩa là viết những bài khó hơn, thì ban tổ chức cũng đã thử rồi
  • Nếu thích nghi có nghĩa là chấp nhận bảng điểm như một benchmark orchestration AI, thì nên thẳng thắn nói vậy thay vì giả vờ cuộc cạnh tranh cũ vẫn còn tồn tại
  • Ngay cả khi tạo ra được những bài đoán mò hoặc overengineered mà LLM hiện chưa giải nổi, người chơi vẫn không có một lộ trình tốt để vừa học được kỹ năng cần thiết vừa duy trì tính cạnh tranh
  • Và chỉ sau thêm vài thế hệ mô hình nữa, ngay cả điểm tựa đó cũng có thể trở nên vô nghĩa, vì tốc độ phát triển năng lực bảo mật của LLM khiến thiết kế đề khó lòng đi trước lâu dài

Hệ quả với bối cảnh CTF hiện nay

  • Bảng xếp hạng CTFTime đã gần như không còn phản ánh được tính lịch sử hay kỹ năng con người, và bảng điểm năm 2026 đã khác đến mức khó nhận ra so với những năm trước
  • Nhiều đội lớn, có tiếng, bao gồm cả TheHackersCrew, либо không còn thi nữa, либо thi với quân số ít hơn nhiều, либо gặp khó khăn để lọt vào top 10
  • Gian lận không bị kiểm soát đã tăng mạnh, và một số CTF tốt như Plaid CTF thậm chí không còn được tổ chức nữa
  • Nhiều thành viên của đội địa phương Emu Exploit cũng có cảm nhận tương tự; đây là những người liên tục tham gia International Cybersecurity Championship, đạt thành tích cao trong chương trình bug bounty, thi Pwn2Own và thuyết trình ở các hội nghị như Black Hat
  • Những người đang mất hứng không phải khán giả ngoài cuộc, mà chính là kiểu người mà bối cảnh CTF từng tạo ra và giữ chân
  • Mất mát không chỉ là bảng điểm, mà còn là chiếc thang dẫn từ sự tò mò của người mới đến cạnh tranh đỉnh cao, là tay nghề thủ công trong thiết kế đề, và là cảm giác con người thật sự hiểu sâu rồi tự mình giải được thứ khó
  • CTF công khai trực tuyến ở dạng hiện tại khó có thể kế thừa di sản đó, và nếu phủ nhận sự thay đổi căn bản này thì lại càng khó nói thẳng về mất mát một cách trung thực

Điều nên được giữ lại về sau

  • Dù nhiều thứ xung quanh CTF và AI đang bị thương mại hóa và vượt khỏi tầm kiểm soát, CTF vẫn đã tạo ra tác động rất tích cực cho ngành
  • Thông qua CTF, tác giả đã gặp nhiều người tử tế, thông minh và đầy nhiệt huyết, đồng thời trải nghiệm những bài được thiết kế đẹp và những lời giải ngoài dự tính rất thú vị
  • Cộng đồng CTF từng là một không gian tuyệt vời để học hỏi, trưởng thành và kết nối, và bất kể cuộc cạnh tranh rồi sẽ đi về đâu, phần này không nên bị đánh mất
  • Cộng đồng cần tiếp tục ở lại cùng nhau, giữ lửa đam mê và tạo ra những con đường mới để tiếp tục học hỏi
  • Các sự kiện xã hội gần với bảo mật như SecTalks, hội nghị sinh viên và meetup địa phương là những cách tốt để duy trì kết nối và sự tham gia
  • Những nền tảng học tập có cộng đồng như Discord cũng là nguồn lực có giá trị
  • Dù khó tìm ra một phương án thay thế giống hệt quá khứ, cộng đồng được xây quanh CTF hiện quan trọng hơn bao giờ hết trong việc tìm cách mới để giữ lại tinh thần cạnh tranh

Bài viết liên quan

1 bình luận

 
GN⁺ 2 giờ trước
Ý kiến trên Hacker News

  • Chắc đến mức muốn phải van xin mọi người hãy viết đầy đủ cụm từ ít nhất một lần khi dùng từ viết tắt lần đầu. Dù 90% độc giả đã biết thì 10% còn lại sẽ biết ơn, mà việc này hầu như không tốn công, lại còn giúp bài viết hay ý tưởng tiếp cận được rộng hơn
    Ngoại lệ là khi bản thân từ viết tắt đã quá nổi tiếng, đến mức nhiều người hiểu khái niệm nhưng lại không biết nó vốn là viết tắt của cụm nào. Tôi nhớ hồi trước trong một buổi đào tạo ở công ty, khi nghe cụm “Border Gateway Protocol”, tôi phải nghĩ một lúc rồi mới nhận ra: “À, ý là BGP à?”

    • Tôi tò mò là đang nói đến từ viết tắt nào. Nếu là CTF thì tôi nghĩ bản thân từ viết tắt này còn được biết đến rộng hơn cả dạng viết đầy đủ, giống như BGP
      Nói rộng hơn, không phải mọi bài viết đều nhắm tới mọi độc giả. Nếu bạn viết một bài blog CTF cho những người thích CTF, thì không cần phải giải thích CTF cho nhóm độc giả mục tiêu đó. Xét cho cùng HN là một trang tổng hợp liên kết, nhưng đôi khi cũng giống như đang nghe lén cuộc trò chuyện của người khác, nên không phải lúc nào cũng nắm được toàn bộ ngữ cảnh
    • Vì đây là bình luận đang đứng đầu nên ghi luôn: CTF là viết tắt của Capture The Flag
      Cá nhân tôi thì chưa từng nghe ai gọi khái niệm đó bằng chính cụm chữ cái đầu này, dù cũng phải nói là quanh tôi chủ đề này hầu như chưa bao giờ được nhắc đến, nên chỉ là vậy thôi
    • Tôi nghĩ nhiều từ viết tắt không thật sự được giải thích rõ nghĩa chỉ bằng cách viết đầy đủ. Mới đây tôi giải thích CI là gì, rồi người kia hỏi nó viết tắt của cụm nào, và tôi nhận ra rằng cụm Continuous Integration gần như vô ích với ai đang muốn hiểu CI thực sự là gì

  • Nếu thay ‘CTF’ bằng ‘trường trung học’ hay ‘đại học’, thì đây sẽ là mô tả cho một sự sụp đổ chậm rãi của giáo dục. Điểm cứu vãn duy nhất là phần lớn vẫn yêu cầu phải có mặt trực tiếp
    Có vẻ chúng ta đã tìm ra đường ống để thay thế con người, nhưng phía giáo dục thì vẫn chưa giải được. LLM có thể là một người thầy tuyệt vời, nhưng gần như không thể cưỡng lại cám dỗ bảo nó “làm hộ tôi đi”

    • Mọi thứ tôi học được trong 10 năm qua đều cho thấy máy tính hoàn toàn không giúp ích gì cho giáo dục con người. Khi viết bằng bút và giấy chúng ta nhớ tốt hơn, và học tốt hơn với bảng trắng và sách giấy
      Giải pháp đơn giản là loại bỏ gần như toàn bộ máy tính khỏi giáo dục. Quyển composition book màu xanh, cây bút chì và bảng trắng mới là thứ rèn luyện con người. Máy tính cầm tay có thể hữu ích, nhưng có khi bàn tính còn tốt hơn. Để chống lại mớ thông tin tái chế do AI tạo ra, chúng ta cần những con người có thể tư duy phản biện từ các nguyên lý đầu tiên
    • Tôi đang phỏng vấn tuyển lập trình viên phần mềm, và để ngăn gian lận tôi đã biến vòng đầu thành phỏng vấn trực tiếp. Khoảng cách giữa những người học trước AI và sau AI là rất lớn
      Có một lập trình viên 3 năm kinh nghiệm, có bằng phần mềm, nhưng không có AI thì đến fizzbuzz cũng không viết nổi
    • Ý là kiểu như “Frontier AI đã phá hỏng mô hình ‘trường trung học’ hay ‘đại học’” à?
      Cơn sốt quanh AI nói chung thật sự khiến tôi mệt mỏi. Một bên thì nói như thể nhân loại đang mở ra kỷ nguyên mới và sắp thống trị toàn bộ vũ trụ, bên kia thì nói xã hội đang sụp đổ toàn diện
      Trong giáo dục thì đặc biệt có cảm giác mọi người đang giơ tay đầu hàng và nói không làm gì được. Giải pháp rất đơn giản: đánh giá học sinh bằng thực hiện trực tiếp. Chỉ vậy thôi. Mọi thứ khác gọi là “sự sụp đổ của giáo dục” không phải do AI mà do nguyên nhân khác
    • Ý là một người thầy tuyệt vời chuyên đưa ra thông tin không đáng tin cậy với vẻ cực kỳ tự tin à?
    • Trên podcast Oxide & Friends có cuộc phỏng vấn [0] về AI trong giáo dục CS khá ấn tượng
      Dĩ nhiên CS của Brown University không đại diện cho toàn bộ giáo dục, nhưng vẫn là một góc nhìn thú vị
      [0] Episode webpage: https://share.transistor.fm/s/31855e83

  • Tôi đồng ý với tiền đề của bài này, nhưng cứ bị vướng ở điểm sau
    Viết rằng “vấn đề chưa bao giờ nằm ở chỗ AI có thể giúp”, rồi ngay ba câu sau lại nói vấn đề thực sự chính là sự trợ giúp của AI
    “Những đội không dùng AI không chỉ bỏ lỡ sự tiện lợi, mà còn đang thi đấu ở một phiên bản chậm hơn.”
    “CTF không chỉ là một chùm câu đố. Nó là một cái thang.”
    “Không phải khẳng định rằng mọi thử thách đều đã bị giải. Điều được khẳng định là…”
    “Điều bị mất không chỉ là bảng điểm. Đó là cái thang dẫn tới …”
    Xin lỗi, nhưng tôi cứ thấy như vậy mãi. Có phải chỉ mình tôi không?

  • Gần đây tôi làm một công cụ làm rối mã, rồi cho model gỡ rối mã và tối ưu lại về dạng gốc, sau đó tiếp tục cải tiến công cụ làm rối cho đến khi nó không làm được nữa. Điều buồn cười là sau quá trình đó, tôi cũng đồng thời có luôn một công cụ gỡ rối và tối ưu hóa có lẽ mạnh hơn phần lớn công cụ thương mại
    Giải pháp chỉ là làm CTF khó hơn, nhưng từ lúc nào thì CTF trở nên quá khó? Có lẽ ngay cả CTF “khó” về bản chất vẫn quá “đơn giản”, vì cuối cùng cấu trúc của nó vẫn quy về chuỗi suy luận và vét cạn để tìm lời giải. Cách che giấu lời giải ngay trước mắt cũng có giới hạn
    Hoặc cũng có thể sự sáng tạo của con người đã cạn, và nó không vô hạn như ta từng nghĩ. Thời gian sẽ trả lời
    Tôi còn nghĩ ra một ý khác. Có thể giấu hai lá cờ, trong đó một cái chỉ AI agent mới tìm được còn con người hay công cụ do con người tạo ra thì không

    • Thú vị đấy. Gần đây tôi cũng gần như làm đúng việc đó. Để đẩy giới hạn của công cụ làm rối JS xa nhất có thể, tôi cứ bắt gpt/claude liên tục gỡ rối đầu ra cuối cùng, rồi lại dùng gpt cải tiến công cụ để phá chính bộ gỡ rối đó
      Bạn có công khai đâu đó không? Đây là ví dụ đầu ra từ công cụ làm rối JS của tôi: https://gist.github.com/Trung0246/c8f30f1b3bb6a9f57b0d9be94d...
    • Một số cái thì chỉ cần yêu cầu xuất hồn khỏi cơ thể là được, máy tính không làm được. Hoặc như thập niên 90 vẫn hay tưởng tượng, chỉ cần thêm mini-game VR vào cũng được

  • Tôi hiểu cảm giác của bài này. Với tôi, AI đã làm hỏng cả việc chơi CTF lẫn làm thử thách CTF
    Điều khó chịu nhất là thái độ kiểu “không biết nữa nhưng đây là flag”
    Trước đây khi chơi CTF với bạn bè, chúng tôi có thể vật lộn với một thử thách hàng giờ, rồi một người bạn khác tham gia, cả nhóm cùng xem lại và 30 phút sau giải ra, và đó là một trong những trải nghiệm học hỏi đáng giá nhất. Giờ thì bạn bè đến, ném nó cho clanker và 5 phút sau là xong. Hỏi nó hoạt động thế nào thì lúc nào cũng nhận được câu trả lời kiểu “không biết nó đã làm trò gì, nhưng ai quan tâm? Flag ở đây rồi mà”
    Khi tạo thử thách cũng vậy. Nếu hỏi xin bài giải hoặc hỏi có ai giải theo cách khác không, thường chỉ nhận được câu “không biết, clanker giải rồi”, thế là mất hết niềm vui
    Vì vậy tôi nghĩ mô hình CTF này chắc chắn đã chết. Lý do chính là tính cạnh tranh cao và tiền thưởng. Cấu trúc này khiến người ta tìm cách lách để giải thử thách, và trước đây những cách giải khác thường như vậy vẫn ổn vì đó là khoảnh khắc sáng tạo. Nhưng giờ với AI thì không còn cần trí óc, mẹo mực hay con người nữa. Đúng như bài nói, đây là mô hình trả tiền để thắng
    Tôi nghĩ CTF 24/7 sẽ được chú ý hơn. Ở đó bảng điểm không quan trọng, và cũng không có tiền thưởng

  • Nói chuyện ngoài lề một chút, bài này ban đầu được gửi với tiêu đề “The CTF scene is dead” và rất dễ hiểu. Nhưng vừa rồi nó bị đổi thành câu đầu của phụ đề: “Frontier AI has broken the open CTF format”, và giờ khó nắm bắt hơn nhiều. Nó đọc giống một garden-path sentence
    Lúc đầu tôi tưởng “Frontier” là tên công ty và CTF là một định dạng tệp nào đó. Nếu không biết về các cuộc thi Capture The Flag thì thay đổi này chẳng giúp ích gì. Nếu đã biết thì tôi còn thấy nó tệ hơn

    • Không biết có giúp gì không, nhưng tôi thấy tiêu đề thứ hai dễ hiểu hơn nhiều, bớt kiểu câu kéo hơn và cung cấp nhiều thông tin hơn. Tôi đồng ý là nó gây bối rối, nhưng frontier là một thuật ngữ dùng nhiều trong lĩnh vực này, nên chỉ cần viết “frontier AI models have” là ổn hơn
    • Đồng ý. Tôi phải mất một lúc mới hiểu. Có lẽ vì đây là lần đầu tôi thấy “frontier models” được diễn đạt thành Frontier AI. Nhất là khi chữ F viết hoa, nghe hệt như tên công ty
    • Trong “Frontier Model”, Frontier là một từ vựng hoàn toàn chính đáng mà tới năm 2026 có lẽ nên biết. Đây không phải từ tác giả bịa ra hay chọn ngẫu nhiên, mà là cách nói phổ biến trong lĩnh vực này
    • Bài viết không hề định nghĩa CTF ở đâu, và các bình luận trên này cũng vậy. Thế nên tôi bỏ qua
      Quy tắc cơ bản là phải định nghĩa mọi từ viết tắt ở lần đầu dùng
    • Sao mọi người lúc nào cũng cướp luồng để nói về tiêu đề vậy? Phần lớn tiêu đề bài viết đều dở tệ. Cứ downvote rồi đi tiếp là được

  • Chuyện này cũng đang xảy ra ở các dạng lập trình thi đấu khác. AI hiện đại có năng lực giải quyết vấn đề ngang với con người hàng đầu, và nếu không thể cấm AI một cách dễ dàng thì cuộc chơi sẽ bị AI agent thống trị
    Tôi từng nghĩ code golf sẽ mất lâu hơn, vì dữ liệu huấn luyện quá ít. Nó là mảng ngách hơn mà. Nhưng ngay cả ở đó AI cũng bắt đầu ngang tầm chuyên gia con người rồi. Golf là dạng câu đố lập trình tôi thích nhất nên thấy khá buồn
    Thật đáng kinh ngạc khi năng lực giải quyết vấn đề của AI đã tiến xa đến vậy

  • https://en.wikipedia.org/wiki/Capture_the_flag_(cybersecurit...
    Hiện vẫn chưa nhắc đến AI, nhưng nếu AI ngày càng thống trị các cuộc thi thì khả năng cao sớm muộn cũng sẽ thay đổi

    • Dùng AI trong CTF cũng giống như dùng ô tô để giỏi chạy 100 yard vậy

  • Đây không chỉ là chuyện riêng của CTF. Tôi tin rất mạnh rằng trong game jam như Ludum Dare hay hackathon, vai trò lập trình viên về cơ bản đã chấm dứt

  • Giới lập trình thi đấu vốn luôn có các cuộc thi offline, và sau AI thì tầm quan trọng của chúng càng tăng hơn. Thực ra ngay từ trước đó chúng vốn đã công bằng hơn nói chung. Nếu CTF muốn sống sót thì có lẽ cũng phải chấp nhận chiến lược này
    Đi xa hơn nữa, cũng có thể áp dụng cách cho phép bất cứ thứ gì đã có sẵn trong máy tính, nhưng không cho thêm gì khác. Ví dụ một số cuộc thi lập trình thi đấu cho phép tài liệu giấy không giới hạn. Với CTF chắc sẽ cần nhiều hơn thế, nên có lẽ phải cho phép cả tài liệu điện tử