フロンティアAIがCTF競技を打ち破る — GPT-5.5、狂気のPwnチャレンジを一撃で攻略

Capture The Flag（CTF）競技は、歴史的にセキュリティ人材の登竜門でしたが、元トッププレイヤーのkabir.au氏によると、オープンなCTF形式は事実上終焉を迎えています。その理由は、最先端のAIモデルが人間の関与を最小限に、人間よりも速くチャレンジを解決できるようになったからです。

何が変わったか：アシスタントから自動化へ

GPT-4が初めて登場したとき、中程度の難易度のCTFチャレンジを一発で解くことができました。暗号チャレンジをChatGPTに貼り付ければ、10分でフラグが返ってきました。難易度の高いチャレンジは手が届かなかったため、影響は限定的でした。Claude Opus 4.5が状況を変えました。「ほぼすべての中程度の難易度のチャレンジと、一部の高難易度チャレンジがエージェントで解けるようになりました。」Claude CodeによりモデルがCLIにパッケージ化され、CTFd APIを使ってチャレンジごとにClaudeインスタンスを起動し、最初の1時間は無人で実行させるオーケストレーターを構築することが簡単になりました。

GPT-5.5が決定打に

GPT-5.5とGPT-5.5 Proを広範囲に使用してきた著者は、「これらのモデルは、HackTheBoxのInsane難易度のアクティブリークレスヒープPwnチャレンジを一発で解くことができます」と報告しています。Proは「おそらく」Claude Mythosを能力で上回ります。つまり、48時間のCTFでは、オーケストレーションされたProエージェントが、小規模な主催者が作成したチャレンジの大部分を解決できるため、オープンCTFはペイ・トゥ・ウィンになります。多くのトークンを費やせるほど、より速くボードを攻略できます。

スコアボードはもはやスキルを測らない

CTFTimeのリーダーボードは、セキュリティの専門知識ではなく、オーケストレーション能力と予算を反映するようになりました。伝説的なチームの登場は減り、チャレンジ開発者のモチベーションは低下しています。著者は、「初心者でも学べる」という意見はポイントを見逃していると主張します。目に見えるスコアボードはAIを使用するチームに支配されており、初心者は基礎的な直感を養う前にAIに頼らざるを得なくなり、能動的な学習を妨げるアンチパターンになっています。

採用への影響

CTFの成績による採用は意味を失いつつあります。CTFのためのAIオーケストレーションはすでにオープンソースまたは「バイブコード可能」であり、シグナル・ノイズ比は崩壊しています。元トップチームTheHackersCrewのメンバーである著者は、競技はチーズ化可能な混乱状態にあると結論付けています。「CTFでのパフォーマンスは、かつてのようにあなたのスキルを定義しなくなりました。」