CTFは Capture The Flag の略で、サイバーセキュリティの問題を解いて「flag」と呼ばれる答えを取る競技です。
たとえば、暗号、Web、pwn(メモリ破壊系の攻撃)、リバースエンジニアリング(プログラム解析)など、いろんな分野の問題が出ます。
ざっくり言うと、セキュリティ版の謎解き大会 です。
しかもただの遊びではなく、実力の証明としてもかなり重宝されてきました。
「この人、CTFで強いならセキュリティの素養があるよね」という見方が、長くコミュニティの中で機能していたわけです。
この記事の著者 Kabir 氏は、2021年にCTFを始めてから、国内外の強豪チームで活躍してきた人物です。
つまり、外から雑に「最近の若者は〜」と言っているのではなく、中のトップ層にいた人が、実体験をもとに『もう昔のCTFとは違う』と訴えている のがポイントです。ここはかなり重い話だと思います。
記事の中心的な主張はシンプルです。
frontier AI が強くなりすぎて、オープンなCTFのスコアボードが、人間の実力をきれいに測れなくなった
ここでいう frontier AI は、ChatGPTやClaudeのような最先端の大規模言語モデル(LLM)のことです。
LLMは、文章を作るだけでなく、コードを書いたり、手順を考えたり、問題を分解したりするのが得意になってきました。
著者によると、最初は「中級の問題がたまに解ける」くらいだったのが、Claude Opus 4.5 や GPT-5.5 世代になると状況がかなり変わったそうです。
中級問題の多く、さらに一部の難問まで、人間がほとんど手を動かさなくても解けてしまう ようになった、と述べています。
これ、CTFの本質からするとかなり大きいです。
CTFって本来は「どれだけ自力で考え、試し、失敗し、理解したか」が面白さの核でした。
でも AI が問題文を見て、方針を立て、コードまで書いてくれるなら、プレイヤーがやることは「プロンプトを書く」「結果を貼る」になりがちです。
正直、これは競技としてはかなり味気ない。私もここはかなり納得感がありました。
記事では、「AIは昔から補助ツールとして使われてきた。でも今回はレベルが違う」と言っています。
たしかに、CTFでツールを使うこと自体は珍しくありません。
むしろ、検索、デバッガ、Pythonスクリプト、pwntools など、ツールを賢く使うのも実力のうち でした。
でも今起きているのは、「人間が考えて、AIがちょっと助ける」ではなく、
AIが考えて、AIが解いて、人間はフラグをコピペするだけ になっているケースが増えている、という話です。
ここが重要です。
ツールの補助と、思考の代行は全然違います。
前者は人間の技術を底上げするけれど、後者は人間の学習機会を奪いやすい。
著者はまさにその境界線を超えた、と見ているわけです。
CTFにはたいていスコアボードがあります。
誰が何問解いたか、どのチームが上位か、というランキングです。
著者が強く問題視しているのは、このスコアボードがもう 人間の実力だけを反映していない ことです。
AIをどれだけ回せるか、何台のエージェントを動かせるか、どれだけ早く自動化できるか――そういう要素が混ざり込む。
つまり、競技の本質が少しずつ変わってしまう。
もはや「誰が一番セキュリティに強いか」ではなく、
「誰が一番うまくAIをオーケストレーションできるか」 になっている、と著者は言いたいわけです。
「オーケストレーション」は、複数のツールやAIをまとめて動かすことです。
たとえば、問題が配布されたら自動でAIに投げ、進捗を見て別のモデルを使い、残った問題だけ人間が見る――そんな流れを組むことです。
これが普通にできると、チームの強さはかなり変わります。
個人的には、ここまで来ると「競技」より「運用」に近いな、と思います。
「でも初心者は今まで通り学べばいいのでは?」
これに対して著者はかなりはっきり反論しています。
CTFは単なる問題集ではなく、上達の階段 だった。
最初は1問も解けなくても、少しずつ解けるようになり、順位が上がり、チームに入り、もっと難しい大会に挑戦していく。
この「成長が見える仕組み」がCTFの魅力だった、というわけです。
ところが、AIがスコアボードを埋め尽くすと、初心者はこう感じやすい。
この流れ、かなりまずいです。
著者はこれを anti-pattern(うまくいかない悪い設計)だと言っています。
私もここはかなり同意です。
初心者が「考える前にAIに聞く」癖を最初から持つと、実力の土台が育ちにくい。便利だけど、学習の場としては少し危うい。そんな感じです。
記事では、「CTFは死んでない、AIで拡張されただけ」という反論にも触れています。
ただ著者は、それは本質を外していると言います。
なぜなら、確かに最上位の決勝戦では AI でも解けない問題が残るかもしれない。
でも、多くの人が実際に遊んでいるのはオープンなオンラインCTFや予選 です。
そこで上位がAIに占められるなら、競技の土台そのものが変わってしまう。
これは面白い指摘です。
「最難関は残っている」ことは、全体の健全性を保証しません。
むしろ、入口の予選が崩れると、上に進む人の質や数が変わってしまう。
結果として、競技コミュニティの空気そのものが薄くなるんですよね。
著者は、AIがセキュリティ研究に役立つこと自体は否定していません。
これは大事です。
「AIが悪」と言っているわけではないんです。
むしろ、AIは解析、コード生成、補助的な調査で役に立つ場面がたくさんあります。
ただし、それは 研究や実務の補助 として有用なのであって、
競技としてのCTFにそのまま持ち込むと、ゲーム性が壊れる という主張です。
チェスの例えも出てきます。
チェスでは、エンジン(強力な解析ソフト)は対局中に使ってはいけません。
使うのは分析や練習のときです。
もし対局中に全員がエンジンを自由に使えたら、それはもうチェスらしい競争ではないでしょう。
この比喩はかなりわかりやすいです。
CTFも同じで、AIは周辺の学習には役立つけれど、試合本番で自由に使うと競技の意味が薄れる というわけです。
著者は、CTF主催者がAI対策をしていないわけではないと認めています。
たとえば、
こういう対策はあるけれど、著者の目には どれも一時しのぎ に見えています。
しかも、AI対策を強めるほど、問題が人間にとっても不自然になる。
つまり、
これは主催者としてかなりつらいジレンマです。
「AIに強くしたい」ほど「人間に優しくなくなる」。
この構造は、たしかにかなり厄介だと思います。
記事の言い方はかなり強烈です。
「The CTF scene is dead」――CTFシーンは死んだ、というタイトル通りです。
ただし、これは「CTFという言葉が完全に消える」という意味ではありません。
著者が言いたいのは、昔の意味でのオープンなオンラインCTFは、もう以前のようには機能しない ということです。
この4つが揃うと、たしかに「競技としてのCTF」はかなり苦しいです。
個人的には、ここまで言い切るのは強いけれど、完全な誇張とも言いにくいと思います。
少なくとも、昔と同じ感覚で「CTFの順位=人間の強さ」とは言いづらくなっているのは確かでしょう。
著者は、初心者には picoGym や HackTheBox のような学習用環境 を勧めています。
これらは、競争よりも教育が主目的です。
この選び方はかなり筋がいいと思います。
なぜなら、学習用環境では
からです。
要するに、CTFの“勝ち負け”を追うより、まずは“理解する場”へ移ったほうがいい という提案です。
これは少し寂しいけれど、現実的ではあります。
この記事が面白いのは、かなり厳しいことを言いながらも、CTF文化そのものの価値はちゃんと認めているところです。
CTFは、
こうした良さがあった。
そこは著者も否定していません。
だからこそ、「この文化が今の形のまま続くとは思えない」と言っているのだと思います。
単なる懐古主義ではなく、文化の終わりと変質を見ている 記事なんですよね。
この視点はかなり鋭いです。
この記事の主張を一言でまとめると、
AIはCTFを便利にしたのではなく、オープンCTFの意味を変えてしまった ということです。
技術的にはすごく面白い現象です。
でも競技として見ると、かなりしんどい。
人間の努力がそのまま順位に結びつく、あの「わかりやすい燃え方」が薄れてしまうのは、やっぱり寂しいです。
一方で、私はこの記事を読んで、CTFそのものが完全に終わるというより、役割分担が変わるのではないか とも思いました。
競技の場としては苦しくなっても、学習、研究、コミュニティ形成の場としての価値は残るかもしれません。
ただ、昔のような「スコアボードを見れば強さがわかる」という素朴な時代には戻れない――この点は、かなり現実的な見方ではないでしょうか。
