Frontier-KI hat das Format öffentlicher CTFs aufgebrochen

 (kabir.au)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Frontier-KI automatisiert leichte und mittlere Aufgaben in öffentlichen Online-CTFs (Capture The Flag), sodass das Scoreboard menschliche Security-Fähigkeiten nicht mehr sauber widerspiegelt
  • Das Problem ist nicht KI-Unterstützung an sich, sondern dass Modelle inzwischen Schlussfolgerungen ziehen und Lösungscode schreiben und dem Menschen nur noch das Kopieren der Flag überlassen
  • Seit Claude Opus 4.5 und Claude Code lassen sich über die CTFd-API problemweise Agenten starten, die die frühen Aufgaben abarbeiten, sodass sich Menschen leichter auf schwere Probleme konzentrieren können
  • GPT-5.5 Pro kann sogar ein aktives leakless heap pwn auf HackTheBox-Niveau Insane per One-Shot lösen, wodurch die Seite im Vorteil ist, die Token- und Agentenkosten tragen kann
  • Da öffentliche Scoreboards inzwischen auch KI-Orchestrierung und Zahlungsfähigkeit messen, wird die CTF-Leiter, über die Einsteiger durch Leistungsaufbau zu Top-Teams aufstiegen, geschwächt

Das Scoreboard öffentlicher Online-CTFs verändert sich

  • Frontier-KI hat das Format öffentlicher CTFs aufgebrochen, sodass das Scoreboard menschliche Security-Fähigkeiten nicht mehr sauber messen kann
  • Der Kern ist nicht, dass KI bloß Hinweise gibt, sondern dass Modelle Schlussfolgerungen ausführen und Lösungscode schreiben, sodass für den Menschen nur das Kopieren der Flag übrig bleibt
  • Frühere CTFs waren nicht nur Bündel von Rätseln, sondern eine Leiter, auf der Einsteiger Fähigkeiten aufbauten und zu besseren Teams und Wettbewerben aufstiegen
  • Ergebnisse in öffentlichen Online-CTFs spiegeln inzwischen nicht nur Security-Skills wider, sondern auch den Willen, Frontier-Modelle einzusetzen, die Automatisierung aufzusetzen und genügend Token zu investieren
  • Öffentliche Online-CTFs in ihrer aktuellen Form können ihre frühere Rolle kaum weiter erfüllen; es ist schwer zu behaupten, dass sich nichts Grundlegendes verändert hat

Hintergrund des Wandels

  • CTF-Erfahrung und Problembewusstsein

    • 2021 begann der Autor mit CTFs zusammen mit dem Studienstart und gewann gleich den ersten Wettbewerb, den 48-Stunden-Solo-CTF HCKSYD, nachdem alle Aufgaben in zwei Stunden gelöst waren
    • Danach gewann er mit Blitzkrieg mehrfach Australiens größten CTF DownUnderCTF und trat später dem internationalen Top-Team TheHackersCrew bei
    • TheHackersCrew erzielte auf CTFTime konstant hohe Platzierungen und landete bis Ende 2025 bei weltweiten CTFs häufig in den Top 10
    • CTFs waren der Auslöser für die Begeisterung für Security, eine Lernmethode, ein Mittel zur Selbsteinschätzung und ein Weg, viele respektierte Menschen kennenzulernen

  • Die erste Veränderung nach GPT-4

    • Seit dem Erscheinen von GPT-4 wurden viele CTF-Aufgaben mittlerer Schwierigkeit zu One-Shot-Fällen, bei denen ein einzelner Prompt bereits Lösung und Flag liefern konnte
    • Es wurde möglich, etwa eine Kryptografie-Aufgabe in ChatGPT einzufügen und zehn Minuten später mit der Antwort zurückzukommen
    • Damals waren schwierige Aufgaben meist noch weniger betroffen, und die eingesparte Zeit galt nicht als groß genug, um Wettbewerbe zu ruinieren
    • CTF-Spieler haben schon immer Werkzeuge genutzt; das Problem war daher nicht KI-Hilfe an sich, sondern ob sinnvolle menschliche Arbeit verschwindet

Die von Claude Opus 4.5 ausgelöste Formatänderung

  • Seit Claude Opus 4.5 sind fast alle Aufgaben mittlerer Schwierigkeit und einige schwere Aufgaben für Agenten lösbar geworden
  • Claude Code bündelt alles in einer CLI und erleichtert die Anbindung anderer CLI- und MCP-Tools, wodurch sich ein Orchestrator mit CTFd-API und einer Claude-Instanz pro Aufgabe leicht aufsetzen lässt
  • So kann ein System in der ersten Wettbewerbsstunde leichte und mittlere Aufgaben abarbeiten, während Menschen sich nur auf die verbleibenden Probleme konzentrieren
  • Teams ohne KI verzichten damit nicht bloß auf Komfort, sondern spielen faktisch eine langsamere Version des Wettbewerbs
  • Öffentliche Online-CTFs sind zu einem Spiel geworden, bei dem es darum geht, leichte und mittlere Aufgaben möglichst schnell zu automatisieren und möglichst viel menschliche Aufmerksamkeit für die schwersten Probleme übrig zu behalten
  • Das Scoreboard beginnt damit, neben Security-Skills und teils sogar stärker vor allem Orchestrierungsfähigkeit und die Bereitschaft zum Einsatz von Frontier-Modellen zu messen
  • Das CTFTime-Leaderboard wirkte seltsam: legendäre Teams, die sonst konstant oben standen, waren seltener zu sehen, und die Aktivität der Spieler schien zurückzugehen
  • Wenn Aufgabenersteller wochenlang raffinierte Probleme bauen und Agenten sie in Minuten lösen, sinkt auch die Motivation, CTFs wie eine Kunstform zu behandeln

Der entscheidende Wandel nach GPT-5.5

  • GPT-5.5 und GPT-5.5 Pro liegen Benchmarks zufolge nahe an Claude Mythos oder könnten ihn im Fall von Pro sogar übertreffen
  • Diese Modelle können ein active leakless heap pwn auf HackTheBox-Niveau Insane per One-Shot lösen
  • Damit lässt sich ein großer Teil der Probleme bewältigen, die kleine CTF-Veranstalter realistisch erstellen können, und wenn man Pro in einem 48-Stunden-CTF auf Insane-Probleme orchestriert, besteht eine realistische Chance, die Flag noch vor Wettbewerbsende zu bekommen
  • Dadurch bekommen öffentliche CTFs einen Pay-to-win-Charakter
  • Je mehr Token in einen Wettbewerb gesteckt werden, desto schneller lässt sich das Scoreboard nach unten arbeiten
  • Spezialisierte Cybersecurity-Modelle wie alias1 von Alias Robotics werden dabei im Vergleich zu allgemeinen Frontier-LLMs tendenziell weniger wichtig
  • Der Wettbewerb verschiebt sich zu der Frage, wer sich die Kosten leisten kann, genügend Agenten mit genug Kontext über ausreichend lange Zeit laufen zu lassen
  • CTF-Ergebnisse definieren individuelle Fähigkeiten nicht mehr wie früher, und auch der Wert von CTF-Resultaten für die Rekrutierung von Security-Personal nimmt ab
  • Die meiste für CTFs nötige Orchestrierung ist bereits Open Source oder lässt sich mit vibebasiertem Coding bauen; als Maß für KI-Kompetenz taugt sie daher ebenfalls kaum

Beschädigter Lernpfad für Einsteiger

  • Das Scoreboard war eine Lernleiter

    • CTFs waren eine Leiter, auf der Einsteiger mehr Aufgaben lösten, höhere Platzierungen erreichten, besseren Teams beitraten und wettbewerbsfähiger wurden
    • Wenn öffentliche Scoreboards von Teams mit KI dominiert werden, werden Einsteiger von KI verdrängt, bevor sie überhaupt das Gefühl entwickeln konnten, das die KI ersetzt
    • Das ist ein Antipattern, das aktives Lernen behindert, denn der lehrreiche Teil entsteht gerade durch aktives Ringen und direktes Durcharbeiten
    • Selbst bei echter Anstrengung sinkt die Motivation stark, wenn die obere Hälfte der Leiter automatisiert ist und sichtbarer Fortschritt ausbleibt

  • Der Unterschied zwischen Einsteiger-CTFs und Lernplattformen

    • Wenn selbst Einsteiger-CTFs zu Orten werden, an denen Leute still Prompts einfügen und damit im Scoreboard aufsteigen, lohnt es sich für Aufgabenersteller eher, Energie in Lernplattformen zu stecken
    • Auf Plattformen wie picoGym und HackTheBox liegt der erwartete Nutzen in der Ausbildung, und Einsteiger haben weniger Anreiz, sich selbst beim Lernen zu betrügen, als auf einem öffentlichen Scoreboard
    • Für Einsteiger ist es besser, in picoGym, HackTheBox und anderen Lab-Umgebungen zu lernen, als in einem Wettbewerb, der nur so tut, als würde ein öffentliches Scoreboard menschliches Wachstum abbilden

Die Grenzen des Einwands „CTF ist nicht tot“

  • Der Einwand, KI könne nicht alle Aufgaben lösen und CTFs wie DEF CON gebe es weiterhin, stimmt teilweise, trifft aber die Kernfrage nicht
  • Die schwersten Aufgaben in Finalrunden auf höchstem Niveau haben nur sehr wenige Teilnehmende, und der Zugang erfolgt meist über Qualifikationen, die einfacher sind als das Finale
  • Wenn diese Qualifikationen durch Agenten zusammenbrechen, sinkt die Zahl der wirklich qualifizierten Menschen, die überhaupt noch zu den Aufgaben gelangen, die gegen KI resistent sind
  • Eine kleine Zahl elitärer Finals kann das öffentliche Online-Format, das die meisten Menschen tatsächlich spielen, nicht retten
  • Entscheidend ist nicht, dass jede einzelne Aufgabe lösbar wäre, sondern dass ein ausreichend großer Teil des Scoreboards automatisiert ist und damit seine frühere Bedeutung verloren hat

Security-Forschung und Wettbewerbs-CTFs sind nicht dasselbe

  • CTFs können neue interessante Techniken zeigen, waren aber nie selbst der Ort, an dem Security-Forschung entdeckt wird
  • Aus der Tatsache, dass KI im Security-Bereich nützlich ist, folgt nicht, dass sie unbegrenzt in dessen Wettbewerbsstruktur eingebracht werden sollte
  • Unbegrenzte KI in CTFs entfernt den Menschen fast vollständig aus dem Rätselprozess und reduziert die Kunstfertigkeit der Security auf Prompts
  • LLMs werden die Security-Kompetenz weiter steigern, solange es CTFs gibt, aber das bedeutet nicht, dass das Wettbewerbsformat gesund ist
  • CTFs dienten dazu, Techniken zu teilen und die Grenzen menschlicher Security-Fähigkeiten zu verschieben, doch dieser Zweck wird gerade entkernt

Das Problem mit dem Vergleich zu Schach-Engines

  • Im Schach dominieren Computer schon lange, doch Schach-Engines dürfen in Wettkampfpartien nicht verwendet werden
  • Schach-Engines dienen Analyse, Training, Kommentierung und Übung und bereichern das Umfeld des Wettbewerbs, statt den Wettkämpfer zu ersetzen
  • Würde man allen Schachspielern die beste Engine geben und ihre freie Nutzung während der Partie erlauben, würde sich die Frage stellen, ob das fair ist, ob es Spaß macht zuzusehen, Preisgelder rechtfertigt oder menschliche Grenzen verschiebt
  • Dieselben Fragen gelten auch für CTFs

Warum Veranstalter nur schwer reagieren können

  • CTF-Veranstalter haben Techniken ausprobiert, um LLM-Lösungen zu brechen oder zu bremsen, doch meist bleibt es bei vorübergehender Reibung
  • Claude Code lässt sich von alten String-Tricks zur Verweigerung nicht mehr nennenswert aus dem Tritt bringen
  • Frontier-Modelle werden besser darin, Prompt-Injection zu erkennen
  • Websuche schwächt die Schutzwirkung von Aufgaben, die auf Techniken beruhen, die erst nach dem Trainings-Cutoff veröffentlicht wurden
  • Regeln, die den Einsatz von LLMs verbieten, werden bei öffentlichen Online-Events leicht ignoriert und sind kaum durchsetzbar
  • Baut man allgemeine Aufgaben, lösen Agenten zu viele davon; baut man agentenfeindliche Aufgaben, werden sie oft auch für Menschen erratisch, überdesignt und unerquicklich
  • Diese Reaktionen sind keine echte Lösung, sondern machen CTFs für alle schlechter

Die Leerstelle in „Passt euch einfach an“

  • Wenn Anpassung bedeutet, bessere Werkzeuge zu bauen, dann tun CTF-Spieler das bereits seit Langem
  • Wenn Anpassung bedeutet, schwierigere Aufgaben zu schreiben, haben Veranstalter auch das bereits versucht
  • Wenn Anpassung bedeutet, das Scoreboard als Benchmark für KI-Orchestrierung zu akzeptieren, dann sollte man das ehrlich so sagen, statt so zu tun, als existiere der frühere Wettbewerb noch
  • Selbst wenn man heute erratische und überdesignte Aufgaben baut, die LLMs nicht lösen können, gibt es keinen guten Weg, auf dem Spieler die nötigen Fähigkeiten lernen und zugleich wettbewerbsfähig bleiben
  • Nach ein paar weiteren Modellgenerationen könnte selbst das bedeutungslos werden, weil der Fortschritt von LLMs in Security so schnell ist, dass Aufgabendesign kaum dauerhaft vorausbleiben kann

Die Folgen für die heutige CTF-Szene

  • Das CTFTime-Leaderboard spiegelt Geschichte und menschliche Fähigkeiten kaum noch wider, und das Scoreboard von 2026 sieht im Vergleich zu früheren Jahren kaum wiedererkennbar aus
  • Viele große und renommierte Teams, darunter TheHackersCrew, spielen gar nicht mehr, treten mit deutlich weniger Leuten an oder haben Schwierigkeiten, in die Top 10 zu kommen
  • Unreguliertes Cheating hat stark zugenommen, und einige gute CTFs wie Plaid CTF finden nicht mehr statt
  • Viele Mitglieder des lokalen Teams Emu Exploit sehen es ähnlich; sie nehmen regelmäßig an der International Cybersecurity Championship teil, erzielen Top-Ergebnisse in Bug-Bounty-Programmen, treten bei Pwn2Own an und halten Vorträge auf Konferenzen wie Black Hat
  • Die Menschen, die das Interesse verlieren, sind keine Außenstehenden, sondern genau jene Art von Personen, die die CTF-Szene ursprünglich hervorbrachte und band
  • Der Verlust betrifft nicht nur das Scoreboard, sondern die Leiter von der Neugier des Einsteigers bis zum Elitewettbewerb, die Handwerkskunst des Aufgabendesigns und das menschliche Gefühl, etwas Schwieriges durch tiefes Verständnis gelöst zu haben
  • Öffentliche Online-CTFs in ihrer aktuellen Form können dieses Erbe schwer fortführen, und die Weigerung, den grundlegenden Wandel anzuerkennen, macht es noch schwieriger, offen über den Verlust zu sprechen

Was für die Zukunft bleiben sollte

  • Vieles rund um CTF und KI wird kommerzialisiert und entzieht sich der Kontrolle, doch CTFs hatten einen sehr positiven Einfluss auf die Branche
  • Durch CTFs lernte der Autor viele freundliche, kluge und leidenschaftliche Menschen kennen und erlebte wunderschön gestaltete Aufgaben sowie interessante unbeabsichtigte Lösungswege
  • Die CTF-Community war ein großartiger Ort zum Lernen, Wachsen und Vernetzen, und dieser Teil darf nicht verloren gehen, egal wohin sich der Wettbewerb bewegt
  • Die Community sollte zusammenbleiben, ihre Leidenschaft bewahren und neue Wege schaffen, um weiterzulernen
  • Security-nahe soziale Events wie SecTalks, studentische Konferenzen und lokale Meetups sind gute Wege, um Verbindung und Beteiligung aufrechtzuerhalten
  • Auch Lernplattformen mit Communities wie Discord sind wertvolle Ressourcen
  • Selbst wenn sich kein gleichwertiger Ersatz für früher finden lässt, ist die rund um CTFs entstandene Community heute noch wichtiger, um neue Wege zu finden, den Wettbewerbsgeist lebendig zu halten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Hacker-News-Kommentare

  • Man möchte fast darum bitten, Abkürzungen beim ersten Auftreten wenigstens einmal auszuschreiben. Selbst wenn 90 % der Leser sie schon kennen, werden die restlichen 10 % dankbar sein, es kostet fast keine Mühe und vergrößert die Reichweite des Textes oder der Idee.
    Eine Ausnahme ist, wenn die Abkürzung selbst so bekannt ist, dass viele das Konzept gut kennen, aber nicht wissen, wofür sie ursprünglich steht. Ich erinnere mich, wie ich einmal in einer Firmenschulung „Border Gateway Protocol“ hörte, kurz nachdachte und dann meinte: „Ach, du meinst BGP?“

    • Ich frage mich, welche Abkürzung du meinst. Bei CTF würde ich sagen, dass die Abkürzung selbst bekannter ist als die ausgeschriebene Form, ähnlich wie bei BGP.
      Allgemeiner gilt: Nicht jeder Text richtet sich an alle Leser. Wenn man einen CTF-Blogbeitrag für Leute schreibt, die CTF mögen, braucht man CTF dem Zielpublikum nicht zu erklären. HN ist letztlich eine Link-Sammlung, aber manchmal ist es ein bisschen so, als würde man Gespräche anderer belauschen und bekommt nicht den ganzen Kontext mit.
    • Da das gerade der Top-Kommentar ist: CTF steht für Capture The Flag.
      Persönlich habe ich das Konzept allerdings noch nie mit diesem Initialismus bezeichnet gehört. In meinem Umfeld war das fast nie Thema, also nur als Einordnung.
    • Ich denke, bei vielen Abkürzungen erklärt die ausgeschriebene Form die Bedeutung kaum. Neulich habe ich CI erklärt, und die andere Person fragte, wofür es steht. Da wurde mir klar, dass „Continuous Integration“ fast nutzlos ist für jemanden, der verstehen will, was CI tatsächlich ist.

  • Wenn man „CTF“ durch „Gymnasium“ oder „Universität“ ersetzt, ist das eine Beschreibung davon, dass Bildung einen langsamen Kollaps erlebt. Die einzige Rettung ist wohl, dass die meisten wenigstens Anwesenheit vor Ort verlangen.
    Die Pipeline zum Ersetzen von Menschen scheint man gefunden zu haben, aber für Bildung noch nicht. LLMs können großartige Lehrer sein, aber der Versuchung zu widerstehen, ihnen einfach „Mach das für mich“ zu sagen, ist fast unmöglich.

    • Alles, was wir in den letzten zehn Jahren gelernt haben, deutet darauf hin, dass Computer der menschlichen Bildung überhaupt nicht helfen. Wir erinnern uns besser, wenn wir mit Stift und Papier schreiben, und lernen besser mit Whiteboards und gedruckten Büchern.
      Die einfache Lösung wäre, den Großteil des Computings komplett aus der Bildung zu entfernen. Blaue composition books, Bleistifte und Whiteboards trainieren Menschen. Taschenrechner können hilfreich sein, aber vielleicht sind Rechenschieber sogar besser. Gegen AI-erzeugte recycelte Informationen braucht man Menschen, die aus ersten Prinzipien kritisch denken können.
    • Ich führe gerade Bewerbungsgespräche für Softwareentwickler und habe die erste Runde als Präsenzinterview angesetzt, um Betrug zu verhindern. Der Abstand zwischen Leuten, die vor AI gelernt haben, und denen, die nach AI gelernt haben, ist enorm.
      Ein Entwickler mit drei Jahren Berufserfahrung und Software-Abschluss konnte ohne AI nicht einmal fizzbuzz schreiben.
    • Soll das dann heißen, Frontier AI habe das Format „Gymnasium“ oder „Universität“ zerstört?
      Der Hype um AI ist insgesamt ermüdend. Die eine Seite redet, als beginne ein neues Zeitalter der Menschheit und als würde bald das ganze Universum übernommen, die andere sagt, die gesamte Gesellschaft breche zusammen.
      Gerade im Bildungsbereich scheinen alle die Hände zu heben und zu sagen, man könne nichts tun. Die Lösung ist simpel: Man bewertet Schüler und Studenten in Präsenz. Mehr ist es nicht. Jeder andere „Kollaps der Bildung“ hat andere Ursachen als AI.
    • Also ein großartiger Lehrer, der unzuverlässige Informationen mit voller Überzeugung vermittelt?
    • Dieses Interview [0] im Oxide-&-Friends-Podcast über AI in der CS-Ausbildung fand ich ziemlich eindrucksvoll.
      Natürlich steht Brown University CS nicht für das gesamte Bildungswesen, aber es ist trotzdem eine interessante Perspektive.
      [0] Episode webpage: https://share.transistor.fm/s/31855e83

  • Ich stimme der Grundannahme dieses Textes zu, aber mir springt immer wieder Folgendes ins Auge:
    Da steht: „Das Problem war nie, dass AI helfen konnte“, und direkt in den nächsten drei Sätzen ist das eigentliche Problem dann doch die Hilfe durch AI.
    „Teams, die kein AI nutzten, verzichteten nicht nur auf Bequemlichkeit, sondern traten in einer langsameren Version des Wettbewerbs an.“
    „CTF war nicht nur ein Bündel aus Rätseln. Es war eine Leiter.“
    „Die Behauptung ist nicht, dass jede Challenge gelöst wurde. Die Behauptung ist …“
    „Verloren gegangen ist nicht nur die Anzeigetafel. Es ist die Leiter zu …“
    Tut mir leid, aber mir fällt so etwas ständig auf. Geht das nur mir so?

  • Ich habe kürzlich ein Obfuskationstool gebaut und das Modell den Code deobfuskieren und in die ursprüngliche Form optimieren lassen. Danach habe ich das Obfuskationstool immer weiter verbessert, bis das nicht mehr ging. Lustigerweise kam bei diesem Prozess auch noch ein Deobfuskations- und Optimierungstool heraus, das wahrscheinlich stärker ist als die meisten kommerziellen Tools.
    Die Lösung ist wohl nur, CTFs schwieriger zu machen, aber ab wann werden CTFs zu schwierig? Vielleicht sind selbst „schwierige“ CTFs im Kern zu „einfach“ und laufen am Ende doch auf Ketten logischer Schlüsse und brute force in Richtung Lösung hinaus. Die Art, wie man Lösungen direkt vor den Augen verstecken kann, ist schließlich begrenzt.
    Oder menschliche Kreativität ist bereits erschöpft und nicht so unendlich, wie wir dachten. Nur die Zeit wird es zeigen.
    Mir kam auch noch eine andere Idee: Man könnte zwei Flags verstecken, von denen eines nur AI-Agenten finden können und nicht Menschen oder von Menschen gebaute Tools.

    • Interessant. Ich habe vor Kurzem fast genau dasselbe gemacht. Um die Grenzen von JS-Obfuskationstools maximal auszureizen, habe ich gpt/claude den End-Output immer wieder deobfuskieren lassen und dann mit gpt das Tool so verbessert, dass es dieses Deobfuskationstool wieder bricht.
      Hast du das irgendwo veröffentlicht? Ein Beispiel-Output meines JS-Obfuskationstools ist hier: https://gist.github.com/Trung0246/c8f30f1b3bb6a9f57b0d9be94d...
    • Für manche könnte man außerkörperliche Erfahrungen verlangen, das können Computer nicht. Oder man baut einfach VR-Minispiele ein, wie die 90er sich das immer vorgestellt haben.

  • Ich kann das Gefühl dieses Textes nachvollziehen. Für mich hat AI sowohl das Spielen von CTFs als auch das Erstellen von CTF-Challenges ruiniert.
    Am nervigsten ist diese Haltung: „Keine Ahnung, aber hier ist das Flag.“
    Früher war es so, dass ich mit Freunden an einer CTF-Challenge stundenlang festhing, dann kam ein anderer Freund dazu, wir schauten gemeinsam drauf und lösten es in 30 Minuten. Das war eine der lohnendsten Lernerfahrungen überhaupt. Heute kommt der Freund dazu, wirft es clanker hin und fünf Minuten später ist es gelöst. Fragt man, wie es funktioniert hat, kommt immer: „Keine Ahnung, was es gemacht hat, aber wen interessiert’s? Hier ist doch das Flag.“
    Beim Erstellen von Challenges ist es genauso. Wenn man nach einem Write-up fragt oder ob jemand eine andere Lösung hatte, kommt meistens nur: „Keine Ahnung, clanker hat es gelöst“, und der ganze Spaß ist weg.
    Deshalb halte ich dieses CTF-Format definitiv für tot. Der Hauptgrund ist die starke Wettbewerbsorientierung und das Preisgeld. Diese Struktur hat Leute dazu gebracht, Challenges mit Tricks zu lösen, und früher war das okay, weil ungewöhnliche Lösungen eben kreative Geistesblitze waren. Aber jetzt braucht man wegen AI weder Köpfchen noch Tricks noch Menschen. Wie gesagt: Es ist ein Pay-to-win-System.
    Ich denke, 24/7-CTFs werden mehr Aufmerksamkeit bekommen. Dort ist das Scoreboard nicht wichtig und es gibt kein Preisgeld.

  • Meta-Kommentar, aber dieser Beitrag wurde ursprünglich unter dem Titel „The CTF scene is dead“ eingereicht, und das war sehr leicht verständlich. Gerade wurde er aber in den ersten Satz des Untertitels geändert: „Frontier AI has broken the open CTF format“, und das ist deutlich schwerer zu erfassen. Es liest sich fast wie ein garden-path sentence.
    Zuerst dachte ich, „Frontier“ sei ein Firmenname und CTF ein Dateiformat. Wenn man Capture The Flag nicht kennt, hilft diese Änderung nicht. Wenn man es kennt, ist sie meiner Meinung nach sogar schlechter.

    • Falls es hilft: Ich finde den zweiten Titel viel verständlicher, weniger clickbaity und informationsreicher. Ich stimme aber zu, dass er verwirrend sein kann; vielleicht wäre „frontier AI models have“ besser, weil frontier in diesem Bereich ein gängiger Begriff ist.
    • Stimme zu. Ich brauchte einen Moment, um es zu verstehen. Vermutlich, weil ich „frontier models“ noch nie als Frontier AI formuliert gesehen habe. Vor allem mit großem F klingt es wie ein Firmenname.
    • Frontier in „Frontier Model“ ist 2026 vermutlich legitimer Wortschatz, den man kennen sollte. Das ist keine vom Autor erfundene oder willkürlich gewählte Formulierung, sondern in diesem Bereich gebräuchlich.
    • Im Text wird CTF nirgends definiert, und in den Top-Kommentaren hier auch nicht. Deshalb habe ich weitergescrollt.
      Die Grundregel lautet, jede Abkürzung bei der ersten Verwendung zu definieren.
    • Warum kapern Leute immer den Thread, um über den Titel zu reden? Die meisten Titel sind schlecht. Einfach downvoten und weitergehen.

  • So etwas passiert auch in anderen Formen des Wettbewerbsprogrammierens. Moderne AIs haben Problemlösefähigkeiten auf dem Niveau der besten Menschen, und wenn man AI nicht einfach verbieten kann, werden die Wettbewerbe von AI-Agenten dominiert werden.
    Ich dachte, bei Code Golf würde es länger dauern, weil es dort viel weniger Trainingsdaten gibt. Es ist ja ein nischigeres Gebiet. Aber selbst dort beginnt AI mit menschlichen Experten gleichzuziehen. Golf ist meine liebste Art von Programmierpuzzle, daher finde ich das traurig.
    Es ist wirklich erstaunlich, wie weit die Problemlösefähigkeiten von AI gekommen sind.

  • https://en.wikipedia.org/wiki/Capture_the_flag_(cybersecurit...
    Noch wird AI dort nicht erwähnt, aber wenn AI Wettbewerbe immer stärker dominiert, wird sich das wahrscheinlich bald ändern.

    • AI in CTFs zu verwenden ist wie ein Auto zu benutzen, um im 100-Yard-Lauf besser zu werden.

  • Das ist nicht nur bei CTFs so. Ich bin ziemlich überzeugt, dass bei Game Jams wie Ludum Dare oder bei Hackathons die Programmiererrolle faktisch vorbei ist.

  • In der Welt des Wettbewerbsprogrammierens gab es schon immer Offline-Wettbewerbe, und seit AI sind sie noch wichtiger geworden. Eigentlich waren sie schon vorher im Allgemeinen fairer. Wenn CTFs überleben wollen, müssen sie diese Strategie vermutlich übernehmen.
    Man könnte sogar weitergehen und alles erlauben, was bereits auf dem Computer vorhanden ist, aber nichts darüber hinaus. Einige Wettbewerbsprogrammier-Wettbewerbe erlauben zum Beispiel unbegrenzt Papierunterlagen. Bei CTFs bräuchte man deutlich mehr als das, also wären elektronische Unterlagen nötig.