Frontier AI ทำลายรูปแบบ CTF แบบเปิดสาธารณะแล้ว

 (kabir.au)
1 คะแนน โดย GN⁺ 2 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Frontier AI ทำให้การทำโจทย์ CTF (Capture The Flag) ออนไลน์แบบเปิดสาธารณะในระดับง่ายและกลางเป็นงานอัตโนมัติ จนกระดานคะแนนไม่สามารถสะท้อนทักษะด้านความปลอดภัยของมนุษย์ได้อย่างชัดเจนอีกต่อไป
  • ปัญหาไม่ใช่แค่การมี AI ช่วย แต่คือโมเดลไปถึงระดับที่สามารถ ให้เหตุผลและเขียนโค้ดสำหรับวิธีแก้ ได้เอง เหลือให้มนุษย์แค่คัดลอกแฟลก
  • หลังการมาของ Claude Opus 4.5 และ Claude Code การใช้ CTFd API เพื่อเปิดเอเจนต์แยกตามแต่ละโจทย์มาจัดการโจทย์ช่วงต้นทำได้ง่ายขึ้น และมนุษย์ก็โฟกัสกับโจทย์ยากได้มากขึ้น
  • GPT-5.5 Pro สามารถแก้โจทย์ HackTheBox ระดับ Insane แบบ active leakless heap pwn ได้ในครั้งเดียว ทำให้ฝ่ายที่รับภาระค่าโทเคนและค่าเอเจนต์ได้เปรียบ
  • เมื่อกระดานคะแนนสาธารณะกลายเป็นตัววัดทั้ง การ orchestration ของ AI และความสามารถในการจ่ายเงิน บันไดของ CTF ที่เคยเปิดทางให้มือใหม่พัฒนาฝีมือจนไต่ขึ้นสู่ทีมระดับสูงก็อ่อนแอลง

กระดานคะแนนของ CTF ออนไลน์แบบเปิดสาธารณะกำลังเปลี่ยนไป

  • เมื่อ Frontier AI ทำลายรูปแบบ CTF แบบเปิดสาธารณะ กระดานคะแนนก็ไม่สามารถใช้วัดทักษะด้านความปลอดภัยของมนุษย์ได้อย่างชัดเจนอีกต่อไป
  • แก่นสำคัญไม่ใช่ว่า AI แค่ช่วยให้คำใบ้ แต่คือสถานการณ์ที่โมเดล ลงมือให้เหตุผลและเขียนโค้ดแก้โจทย์เอง แล้วปล่อยให้มนุษย์เหลือเพียงการคัดลอกแฟลก
  • CTF ในอดีตไม่ใช่แค่ชุดปริศนา แต่เป็น บันได ที่ให้มือใหม่สั่งสมทักษะและไต่ไปสู่ทีมกับการแข่งขันในระดับที่สูงขึ้น
  • ผลงานใน CTF ออนไลน์แบบเปิดสาธารณะจึงสะท้อนมากกว่าทักษะด้านความปลอดภัย แต่รวมถึงความตั้งใจจะใช้โมเดล frontier ความสามารถในการตั้งระบบอัตโนมัติ และศักยภาพในการทุ่มโทเคนได้มากพอ
  • CTF ออนไลน์แบบเปิดสาธารณะในรูปแบบปัจจุบันจึงยากจะทำหน้าที่แบบเดิมต่อไป และยากจะมองว่าไม่มีการเปลี่ยนแปลงเชิงรากฐานเกิดขึ้น

ฉากหลังของการเปลี่ยนแปลง

  • ประสบการณ์ CTF และปัญหาที่มองเห็น

    • เริ่มเล่น CTF ตั้งแต่เข้ามหาวิทยาลัยในปี 2021 และในการแข่งแรกคือ HCKSYD ซึ่งเป็น CTF เดี่ยว 48 ชั่วโมง ก็แก้ครบทั้งหมดภายใน 2 ชั่วโมงและคว้าแชมป์
    • หลังจากนั้นก็ชนะหลายครั้งใน DownUnderCTF ซึ่งเป็น CTF ที่ใหญ่ที่สุดของออสเตรเลียร่วมกับ Blitzkrieg และภายหลังก็เข้าร่วมทีมระดับโลก TheHackersCrew
    • TheHackersCrew ทำอันดับสูงอย่างสม่ำเสมอใน CTFTime และจนถึงปลายปี 2025 ก็มักติดท็อป 10 ของ CTF ระดับโลกอยู่บ่อยครั้ง
    • CTF เป็นจุดเริ่มที่ทำให้ชอบงานด้านความปลอดภัย เป็นทั้งวิธีเรียนรู้ วิธีวัดตัวเอง และเส้นทางไปเจอผู้คนมากมายที่นับถือ

  • การเปลี่ยนแปลงระลอกแรกหลัง GPT-4

    • หลังการมาของ GPT-4 โจทย์ CTF ระดับกลางจำนวนมากกลายเป็นเป้าหมายของการแก้แบบ one-shot ที่ได้ทั้งวิธีทำและแฟลกจากพรอมต์ครั้งเดียว
    • เกิดสถานการณ์แบบคัดลอกโจทย์คริปโตไปวางใน ChatGPT แล้วกลับมาอีก 10 นาทีเพื่อรับคำตอบได้
    • ในเวลานั้นโจทย์ยากส่วนใหญ่ยังได้รับผลกระทบน้อยกว่า และเวลาที่ประหยัดได้ก็ยังไม่ถูกมองว่ามากพอจะทำให้การแข่งขันพัง
    • ผู้เล่น CTF เดิมก็ใช้เครื่องมือช่วยกันอยู่แล้ว ดังนั้นปัญหาจึงไม่ใช่ตัว AI assistance เอง แต่คือการไปถึงระดับที่ งานของมนุษย์ที่มีความหมายหายไป

การเปลี่ยนรูปแบบจาก Claude Opus 4.5

  • หลัง Claude Opus 4.5 โจทย์ระดับกลางแทบทั้งหมดและโจทย์ยากบางส่วนกลายเป็นสิ่งที่เอเจนต์สามารถแก้ได้
  • Claude Code รวมทุกอย่างไว้บน CLI และทำให้เชื่อมกับ CLI อื่นรวมถึงเครื่องมือ MCP ได้ง่าย จึงทำให้การสร้าง orchestrator ที่ใช้ CTFd API เปิดอินสแตนซ์ Claude แยกตามแต่ละโจทย์เป็นเรื่องง่าย
  • จึงสามารถใช้ระบบจัดการโจทย์ง่ายและกลางทั้งหมดในชั่วโมงแรกของการแข่งขัน แล้วให้มนุษย์โฟกัสเฉพาะโจทย์ที่เหลือ
  • ทีมที่ไม่ใช้ AI จึงไม่ได้แค่พลาดความสะดวก แต่เหมือนกำลังลงแข่งใน เวอร์ชันที่ช้ากว่า ของการแข่งขันเดียวกัน
  • CTF ออนไลน์แบบเปิดสาธารณะจึงเปลี่ยนเป็นเกมของการทำโจทย์ง่ายและกลางให้เป็นอัตโนมัติได้เร็วแค่ไหน และเหลือความสนใจจากมนุษย์ไว้ให้โจทย์ที่ยากที่สุดได้มากเพียงใด
  • กระดานคะแนนเริ่มวัดทั้งทักษะด้านความปลอดภัย และในบางครั้งอาจวัด ความสามารถด้าน orchestration กับความตั้งใจใช้ frontier model มากยิ่งกว่า
  • ลีดเดอร์บอร์ดของ CTFTime เริ่มดูผิดแปลก โดยทีมระดับตำนานที่เคยอยู่หัวตารางสม่ำเสมอดูจะลดบทบาทลง และกิจกรรมของผู้เล่นก็ดูเหมือนน้อยลง
  • ถ้านักออกโจทย์ใช้เวลาหลายสัปดาห์ทำโจทย์อย่างประณีต แต่เอเจนต์กลับแก้ได้ภายในไม่กี่นาที แรงจูงใจที่จะมอง CTF เป็นงานศิลป์รูปแบบหนึ่งก็ย่อมลดลง

การเปลี่ยนแปลงชี้ขาดหลัง GPT-5.5

  • GPT-5.5 และ GPT-5.5 Pro ตามเกณฑ์ benchmark มีความสามารถใกล้กับ Claude Mythos หรือในกรณีของ Pro อาจเหนือกว่าด้วยซ้ำ
  • โมเดลเหล่านี้สามารถแก้โจทย์ HackTheBox ประเภท Insane active leakless heap pwn ได้แบบ one-shot
  • มันสามารถจัดการโจทย์ส่วนใหญ่ที่ผู้จัด CTF ขนาดเล็กพอจะสร้างได้จริง และหากใช้ Pro แบบ orchestration กับโจทย์ระดับ Insane ใน CTF 48 ชั่วโมง ก็มีโอกาสได้แฟลกก่อนจบการแข่งขัน
  • ผลคือ CTF แบบเปิดสาธารณะเริ่มมีลักษณะของ pay-to-win
  • ยิ่งทุ่มโทเคนเข้าไปในการแข่งมากเท่าไร ก็ยิ่งไต่กระดานคะแนนลงมาได้เร็วขึ้นเท่านั้น
  • โมเดลเฉพาะทางด้านความมั่นคงปลอดภัยไซเบอร์อย่าง alias1 ของ Alias Robotics กำลังมีความสำคัญลดลงเมื่อเทียบกับ frontier LLM ทั่วไป
  • การแข่งขันจึงเปลี่ยนไปเป็นเรื่องว่าใครจะรับภาระต้นทุนในการรันเอเจนต์ได้มากพอ มี context มากพอ และให้เวลามากพอได้
  • ผลงานใน CTF จึงไม่สามารถนิยามทักษะส่วนบุคคลได้เหมือนเดิม และความหมายของการใช้ผลงาน CTF เพื่อคัดเลือกบุคลากรด้านความปลอดภัยก็ลดลง
  • orchestration ส่วนใหญ่ที่ CTF ต้องใช้ก็มีทั้งแบบโอเพนซอร์สอยู่แล้วหรือสร้างได้ด้วย vibe coding จึงไม่ได้เป็นตัวชี้วัดทักษะด้าน AI ที่ดีนัก

เส้นทางการเรียนรู้ของมือใหม่ที่เสียหาย

  • กระดานคะแนนเคยเป็นบันไดการเรียนรู้

    • CTF เคยเป็น บันได ที่ให้มือใหม่แก้โจทย์ได้มากขึ้น ทำอันดับสูงขึ้น เข้าร่วมทีมที่ดีกว่า และเพิ่มความสามารถในการแข่งขันของตัวเอง
    • เมื่อกระดานคะแนนสาธารณะถูกครอบงำโดยทีมที่ใช้ AI มือใหม่ก็จะถูก AI เบียดออกไปก่อนที่จะได้พัฒนาสัญชาตญาณที่ AI เข้ามาแทนที่เสียอีก
    • นี่คือ anti-pattern ที่ขัดขวางการเรียนรู้เชิงรุก ทั้งที่ส่วนที่สอนกันจริง ๆ คือความลำบากจากการลงมือเองและการปะทะกับปัญหาโดยตรง
    • ต่อให้ลงแรงจริง แต่ถ้าบันไดช่วงบนถูกทำให้เป็นอัตโนมัติจนไม่เห็นการเติบโตที่จับต้องได้ แรงจูงใจก็ย่อมลดลงอย่างมาก

  • ความต่างระหว่าง CTF สำหรับมือใหม่กับแพลตฟอร์มการเรียนรู้

    • ถ้าแม้แต่ CTF สำหรับมือใหม่ยังกลายเป็นพื้นที่ที่คนแอบวางพรอมต์แล้วไต่กระดานคะแนนเงียบ ๆ นักออกโจทย์ก็ควรทุ่มแรงไปกับแพลตฟอร์มการเรียนรู้จะดีกว่า
    • บนแพลตฟอร์มอย่าง picoGym และ HackTheBox ความคาดหวังหลักคือการศึกษา และแรงจูงใจให้มือใหม่โกงตัวเองก็ต่ำกว่ากระดานคะแนนสาธารณะ
    • สำหรับมือใหม่ การเรียนผ่าน picoGym, HackTheBox และสภาพแวดล้อมแบบแล็บอื่น ๆ จึงดีกว่าการแข่งที่กระดานคะแนนสาธารณะแสร้งทำเป็นสะท้อนการเติบโตของมนุษย์

ข้อจำกัดของคำโต้แย้งว่า “CTF ยังไม่ตาย”

  • ข้อโต้แย้งที่ว่า AI ยังแก้ทุกโจทย์ไม่ได้ และยังมี CTF อย่าง DEF CON อยู่จริงบางส่วน แต่ไม่ใช่การป้องกันประเด็นหลัก
  • โจทย์ที่ยากที่สุดในรอบชิงระดับสูงสุดมีผู้เล่นน้อยมาก และโดยปกติก็ต้องผ่านรอบคัดเลือกที่ง่ายกว่ารอบชิงเพื่อจะเข้าไปถึงได้
  • ถ้ารอบคัดเลือกพังเพราะเอเจนต์ จำนวนคนที่มีคุณสมบัติเหมาะสมจริงและจะไปถึงโจทย์ที่ยังต้าน AI ได้ก็จะลดลง
  • การมีรอบชิงของกลุ่มยอดฝีมือเพียงไม่กี่คน ไม่สามารถช่วยชีวิต รูปแบบสาธารณะออนไลน์ ที่คนส่วนใหญ่เล่นอยู่จริงได้
  • ประเด็นสำคัญจึงไม่ใช่ว่าทุกโจทย์ถูกแก้ได้หมดแล้ว แต่คือส่วนที่มากพอของกระดานคะแนนถูกทำให้เป็นอัตโนมัติจนสูญเสียความหมายแบบเดิมไปแล้ว

งานวิจัยด้านความปลอดภัยกับ CTF เชิงแข่งขันไม่ใช่สิ่งเดียวกัน

  • CTF อาจแสดงเทคนิคใหม่ที่น่าสนใจได้ แต่ตัวมันเองไม่ใช่จุดค้นพบของงานวิจัยด้านความปลอดภัยมาแต่เดิม
  • เพียงเพราะ AI มีประโยชน์ในสายความปลอดภัย ไม่ได้แปลว่าจะต้องปล่อยให้มันเข้ามาอย่างไร้ขีดจำกัดใน โครงสร้างการแข่งขัน ของสาขานั้น
  • AI ที่ไม่ถูกจำกัดใน CTF แทบจะตัดมนุษย์ออกจากการแก้ปริศนา และย่อศิลปะของความปลอดภัยให้เหลือแค่พรอมต์
  • LLM จะยังคงยกระดับขีดความสามารถด้านความปลอดภัยตราบใดที่ CTF ยังมีอยู่ แต่นั่นไม่ได้หมายความว่ารูปแบบการแข่งขันนั้นยังมีสุขภาวะดี
  • เดิม CTF เป็นวิธีแบ่งปันเทคนิคและผลักขีดจำกัดของทักษะด้านความปลอดภัยของมนุษย์ แต่จุดมุ่งหมายนั้นกำลังถูกลอกออกไป

ปัญหาของอุปมาเรื่อง chess engine

  • ในหมากรุก คอมพิวเตอร์ครองความเหนือชั้นมานานแล้ว แต่ chess engine ไม่ได้รับอนุญาตให้ใช้ระหว่างการแข่งขัน
  • chess engine ถูกใช้เพื่อการวิเคราะห์ การฝึก การอธิบาย และการซ้อม โดยไม่ได้มาแทนผู้แข่งขัน แต่ทำให้โลกแวดล้อมของการแข่งขันสมบูรณ์ขึ้น
  • หากมอบเอนจินที่ดีที่สุดให้ผู้เล่นหมากรุกทุกคนและปล่อยให้ใช้ได้อย่างอิสระระหว่างเกม ก็ย่อมเกิดคำถามว่ามันยุติธรรมหรือไม่ ยังดูสนุกหรือไม่ คุ้มกับเงินรางวัลหรือไม่ และยังผลักขีดจำกัดของมนุษย์อยู่หรือไม่
  • คำถามเดียวกันนี้ใช้กับ CTF ได้เช่นกัน

ทำไมผู้จัดถึงรับมือได้ยาก

  • ผู้จัด CTF พยายามใช้เทคนิคเพื่อทำลายหรือสกัดการแก้โจทย์ด้วย LLM แต่ส่วนใหญ่เป็นเพียง แรงเสียดทานชั่วคราว
  • Claude Code ไม่ได้สั่นคลอนอย่างมีนัยสำคัญจากกลยุทธ์สตริงปฏิเสธแบบเก่า
  • frontier model กำลังเก่งขึ้นในการตรวจจับ prompt injection
  • ความสามารถในการค้นหาเว็บทำให้แนวป้องกันของโจทย์ที่อิงเทคนิคซึ่งเกิดหลังช่วงตัดข้อมูลฝึกอ่อนแอลง
  • กฎห้ามใช้ LLM ก็ถูกเพิกเฉยได้ง่ายในงานออนไลน์แบบเปิดสาธารณะ และแทบจะบังคับใช้ไม่ได้
  • ถ้าทำโจทย์แบบทั่วไป เอเจนต์ก็จะแก้ได้มากเกินไป แต่ถ้าทำโจทย์ที่เป็นปฏิปักษ์ต่อเอเจนต์ ก็มีแนวโน้มกลายเป็นโจทย์เดาสุ่ม ออกแบบเกินจำเป็น และไม่น่าพอใจสำหรับมนุษย์ด้วย
  • แนวทางเหล่านี้จึงไม่ใช่คำตอบที่แท้จริง แต่เป็นการทำให้ CTF แย่ลงสำหรับทุกคน

ช่องโหว่ของคำพูดว่า “ก็แค่ปรับตัว”

  • ถ้าการปรับตัวหมายถึงการสร้างเครื่องมือที่ดีกว่า ผู้เล่น CTF ก็ทำเช่นนั้นกันมานานแล้ว
  • ถ้าหมายถึงการเขียนโจทย์ให้ยากขึ้น ผู้จัดก็ลองทำมาแล้วเช่นกัน
  • ถ้าหมายถึงการยอมรับว่ากระดานคะแนนเป็น benchmark ของ AI orchestration ก็ต้องพูดออกมาตรง ๆ และเลิกแกล้งว่าการแข่งขันแบบเดิมยังคงอยู่
  • ต่อให้สร้างโจทย์แบบเดาสุ่มหรือออกแบบเกินจำเป็นที่ LLM ปัจจุบันยังแก้ไม่ได้ ก็ยังไม่มีเส้นทางที่ดีให้ผู้เล่นได้เรียนรู้ทักษะที่จำเป็นพร้อมกับรักษาความสามารถในการแข่งขันไว้
  • และอีกไม่กี่โมเดลต่อจากนี้ แม้แต่จุดนั้นก็อาจหมดความหมาย เพราะความก้าวหน้าในความสามารถด้านความปลอดภัยของ LLM เร็วจนการออกแบบโจทย์ยากจะนำหน้าได้นาน

ผลสะเทือนต่อวงการ CTF ปัจจุบัน

  • ลีดเดอร์บอร์ดของ CTFTime กลายเป็นสิ่งที่แทบไม่สะท้อนทั้งประวัติศาสตร์และทักษะของมนุษย์อีกต่อไป และ กระดานคะแนนปี 2026 ก็เปลี่ยนไปจนแทบจำไม่ได้เมื่อเทียบกับปีก่อน ๆ
  • ทีมใหญ่และมีชื่อเสียงจำนวนมากรวมถึง TheHackersCrew เลิกเล่นไปเลย หรือเล่นด้วยคนน้อยลงมาก หรือประสบปัญหาในการติดท็อป 10
  • การโกงที่ไม่ถูกควบคุมเพิ่มขึ้นอย่างมาก และ CTF ดี ๆ บางงานอย่าง Plaid CTF ก็ไม่จัดอีกต่อไป
  • สมาชิกจำนวนมากของทีมท้องถิ่น Emu Exploit ก็รู้สึกคล้ายกัน โดยคนกลุ่มนี้เป็นผู้ที่ลงแข่ง International Cybersecurity Championship อย่างต่อเนื่อง ทำผลงานระดับสูงใน bug bounty เข้าร่วม Pwn2Own และขึ้นพูดในงานประชุมอย่าง Black Hat
  • คนที่หมดความสนใจไม่ใช่คนนอกที่ยืนดู แต่คือคนแบบเดียวกับที่วงการ CTF เคยสร้างขึ้นมาและรักษาไว้
  • สิ่งที่สูญเสียไปจึงไม่ใช่แค่กระดานคะแนน แต่รวมถึงบันไดจากความอยากรู้อยากเห็นของมือใหม่ไปสู่การแข่งขันระดับหัวกะทิ งานช่างฝีมือในการออกแบบโจทย์ และสัญชาตญาณของมนุษย์ที่เข้าใจสิ่งยากอย่างลึกซึ้งจนแก้ได้
  • CTF ออนไลน์แบบเปิดสาธารณะในปัจจุบันจึงยากจะสืบทอดมรดกนั้นต่อไป และถ้าปฏิเสธการเปลี่ยนแปลงเชิงรากฐาน ก็ยิ่งยากจะพูดถึงความสูญเสียอย่างตรงไปตรงมา

สิ่งที่ควรรักษาไว้ต่อจากนี้

  • แม้หลายสิ่งรอบ CTF และ AI จะถูกทำให้เป็นเชิงพาณิชย์และอยู่นอกการควบคุม แต่ CTF ก็สร้างผลกระทบเชิงบวกอย่างมากต่ออุตสาหกรรม
  • ผู้เขียนได้พบผู้คนมากมายที่ใจดี ฉลาด และมีแพสชันผ่าน CTF และยังได้สัมผัสทั้งโจทย์ที่ออกแบบอย่างงดงามและวิธีแก้ที่ไม่ตั้งใจแต่น่าสนใจ
  • ชุมชน CTF เคยเป็นพื้นที่ยอดเยี่ยมสำหรับการเรียนรู้ การเติบโต และการเชื่อมโยงกัน และไม่ว่าการแข่งขันจะไปทางไหน ส่วนนี้ไม่ควรถูกสูญเสีย
  • ชุมชนควรอยู่ร่วมกันต่อไป รักษาความหลงใหลไว้ และสร้างเส้นทางใหม่สำหรับการเรียนรู้อย่างต่อเนื่อง
  • กิจกรรมทางสังคมที่ใกล้เคียงกับสายความปลอดภัยอย่าง SecTalks, งานประชุมสำหรับนักศึกษา และมีตอัปท้องถิ่น เป็นวิธีที่ดีในการรักษาความเชื่อมโยงและการมีส่วนร่วม
  • แพลตฟอร์มการเรียนรู้ที่มีคอมมูนิตี้อย่าง Discord ก็เป็นทรัพยากรที่มีคุณค่า
  • แม้จะหาทางเลือกที่เหมือนอดีตได้ยาก แต่ชุมชนที่ก่อตัวขึ้นรอบ CTF ก็ยิ่งสำคัญขึ้นในตอนนี้ เพื่อค้นหาวิธีใหม่ในการรักษาจิตวิญญาณของการแข่งขัน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2 시간 전
ความคิดเห็นจาก Hacker News

  • ชวนให้รู้สึกว่าอย่างน้อยเวลาจะใช้ตัวย่อครั้งแรกก็ควรเขียนคำเต็มสักครั้ง ต่อให้ผู้อ่าน 90% จะรู้อยู่แล้ว แต่อีก 10% ก็จะขอบคุณ แถมแทบไม่ต้องออกแรงอะไร และยังช่วยให้บทความหรือไอเดียเข้าถึงคนได้กว้างขึ้นด้วย
    ข้อยกเว้นคือกรณีที่ตัวย่อนั้นดังมากจนหลายคนรู้จักแนวคิดนี้ดี แต่ไม่รู้ว่าจริง ๆ ย่อมาจากอะไร ตอนเคยได้ยินคำว่า “Border Gateway Protocol” ในการอบรมที่บริษัท ผมต้องคิดอยู่แว้บหนึ่งก่อนจะนึกได้ว่า “อ๋อ หมายถึง BGP นี่เอง?”

    • อยากรู้ว่าหมายถึงตัวย่อไหน ถ้าเป็น CTF ผมมองว่าตัวตัวย่อนี่แหละเป็นที่รู้จักกว่าคำเต็มเสียอีก เหมือน BGP
      พูดกว้าง ๆ ก็คือ ไม่ใช่ทุกบทความจะเขียนมาเพื่อผู้อ่านทุกคน ถ้าคุณเขียนบล็อก CTF สำหรับคนที่ชอบ CTF อยู่แล้ว ก็ไม่จำเป็นต้องอธิบาย CTF ให้กลุ่มเป้าหมาย สุดท้าย HN ก็เป็นเว็บรวมลิงก์ แต่บางทีก็คล้ายการแอบฟังบทสนทนาคนอื่น เลยอาจเก็บบริบททั้งหมดไม่ได้
    • เพราะตอนนี้เป็นคอมเมนต์บนสุด เลยขอเขียนไว้ว่า CTF ย่อมาจาก Capture The Flag
      ส่วนตัวแล้วผมไม่เคยได้ยินใครเรียกแนวคิดนี้ด้วยตัวย่อนี้เลยสักครั้ง รอบตัวผมแทบไม่ค่อยมีคนพูดถึงเรื่องนี้อยู่แล้ว ก็เลยอาจเป็นแค่กรณีของผมเอง
    • ผมว่าตัวย่อหลายคำ ต่อให้เขียนคำเต็มออกมาก็ไม่ได้ช่วยอธิบายความหมายเท่าไร ไม่นานมานี้ผมอธิบายว่า CI คืออะไร แล้วอีกฝ่ายถามว่ามันย่อมาจากอะไร ตอนนั้นเลยตระหนักว่าคำว่า Continuous Integration แทบไม่มีประโยชน์เลยสำหรับคนที่กำลังพยายามเข้าใจว่า CI คืออะไรจริง ๆ

  • ถ้าแทนคำว่า ‘CTF’ ด้วย ‘มัธยมปลาย’ หรือ ‘มหาวิทยาลัย’ มันก็จะกลายเป็นคำอธิบายว่า การศึกษา กำลังประสบกับ การล่มสลายอย่างช้า ๆ อยู่เหมือนกัน สิ่งเดียวที่ยังพอช่วยไว้ได้คือส่วนใหญ่ยังบังคับให้เข้าเรียนแบบเจอหน้ากัน
    ดูเหมือนเราจะหาวิธีสร้างสายพานแทนที่มนุษย์ได้แล้ว แต่ยังหาวิธีใช้กับการศึกษาไม่ได้ LLM อาจเป็นครูที่ยอดเยี่ยมได้ แต่แทบเป็นไปไม่ได้เลยที่จะต้านแรงยั่วใจไม่ให้สั่งว่า “ทำแทนฉันหน่อย”

    • ทุกอย่างที่ผมเรียนรู้มาตลอด 10 ปีหลังชี้ไปทางเดียวกันว่า คอมพิวเตอร์ไม่ได้ช่วยการศึกษาของมนุษย์เลย เราจำได้ดีกว่าเมื่อเขียนด้วยปากกาและกระดาษ และเรียนรู้ได้ดีกว่าด้วยไวท์บอร์ดกับหนังสือกระดาษ
      วิธีแก้ง่าย ๆ คือเอาการประมวลผลแทบทั้งหมดออกจากการศึกษาไปเลย สมุด composition book สีน้ำเงิน ดินสอ และไวท์บอร์ดต่างหากที่ฝึกมนุษย์ได้ เครื่องคิดเลขอาจช่วยได้ แต่บางทีลูกคิดอาจดีกว่าเสียอีก ถ้าจะรับมือกับข้อมูลรีไซเคิลที่ AI สร้างขึ้น เราต้องการมนุษย์ที่คิดเชิงวิพากษ์จากหลักการพื้นฐานได้
    • ผมกำลังสัมภาษณ์รับซอฟต์แวร์ดีเวลอปเปอร์ แล้วเปลี่ยนรอบแรกให้เป็น สัมภาษณ์แบบเจอหน้า เพื่อกันการโกง ช่องว่างระหว่างคนที่เรียนมาก่อนยุค AI กับหลังยุค AI มันมหาศาลมาก
      มีดีเวลอปเปอร์ประสบการณ์ 3 ปีพร้อมปริญญาด้านซอฟต์แวร์คนหนึ่ง ที่ถ้าไม่มี AI ก็เขียน fizzbuzz ยังไม่ได้เลย
    • หมายถึงประมาณว่า “Frontier AI ทำลายรูปแบบ ‘มัธยมปลาย’ หรือ ‘มหาวิทยาลัย’” แบบนั้นเหรอ?
      กระแสโอเวอร์เรื่อง AI โดยรวมมันชวนให้เหนื่อยมาก ฝั่งหนึ่งพูดเหมือนมนุษยชาติกำลังเข้าสู่ยุคใหม่และอีกไม่นานจะครองทั้งจักรวาล อีกฝั่งก็พูดเหมือนสังคมทั้งหมดกำลังพังทลาย
      โดยเฉพาะเรื่องการศึกษา ทุกคนดูเหมือนยกมือยอมแพ้แล้วบอกว่าไม่มีอะไรทำได้ วิธีแก้มันง่ายมาก ก็ประเมินนักเรียนด้วย การปฏิบัติงานต่อหน้า แค่นั้นเอง “การล่มสลายของการศึกษา” อย่างอื่นนอกเหนือจากนี้ไม่ได้เกิดจาก AI แต่เกิดจากสาเหตุอื่น
    • หมายถึงเป็นครูที่ยอดเยี่ยมในการให้ ข้อมูลที่ไม่น่าเชื่อถือ อย่างมั่นใจงั้นเหรอ?
    • บทสัมภาษณ์ [0] ในพอดแคสต์ Oxide & Friends ที่พูดถึง AI ในการศึกษา CS น่าสนใจมาก
      แน่นอนว่า CS ของ Brown University ไม่ได้เป็นตัวแทนของการศึกษาทั้งหมด แต่ก็ยังเป็นมุมมองที่น่าสนใจ
      [0] Episode webpage: https://share.transistor.fm/s/31855e83

  • ผมเห็นด้วยกับสมมุติฐานของบทความนี้ แต่มีจุดหนึ่งที่สะดุดตาผมตลอด
    เขาบอกว่า “ปัญหาไม่เคยอยู่ที่ AI สามารถช่วยได้” แต่สามประโยคถัดมากลับเขียนว่าปัญหาจริงคือ ความช่วยเหลือจาก AI
    “ทีมที่ไม่ใช้ AI ไม่ได้แค่พลาดความสะดวก แต่กำลังแข่งขันในเวอร์ชันที่ช้ากว่า”
    “CTF ไม่ได้เป็นแค่ชุดของปริศนา มันคือบันได”
    “นี่ไม่ใช่การอ้างว่าทุกชาเลนจ์ถูกแก้หมดแล้ว ข้ออ้างคือ…”
    “สิ่งที่สูญเสียไปไม่ใช่แค่กระดานคะแนน แต่มันคือบันไดสู่ …”
    ขอโทษนะ แต่ผมอดเห็นความขัดแย้งพวกนี้ไม่ได้ มีแค่ผมหรือเปล่า?

  • ช่วงนี้ผมกำลังทำเครื่องมือ obfuscation อยู่ แล้วก็ให้โมเดล deobfuscate โค้ดและปรับแต่งกลับไปสู่รูปแบบต้นฉบับ จากนั้นก็พัฒนาเครื่องมือ obfuscation ต่อไปเรื่อย ๆ จนกว่ามันจะทำไม่ได้ เรื่องตลกคือพอทำกระบวนการนี้ไปเรื่อย ๆ ผมก็ได้เครื่องมือ deobfuscation/optimization ที่น่าจะทรงพลังกว่าเครื่องมือเชิงพาณิชย์ส่วนใหญ่ไปด้วย
    วิธีแก้ก็มีแค่ทำให้ CTF ยากขึ้น แต่ CTF จะยากเกินไปตั้งแต่เมื่อไร? บางที CTF แบบ ‘ยาก’ ก็อาจยัง ‘ง่าย’ เกินไปในเชิงโครงสร้างอยู่ดี จนสุดท้ายก็ลงเอยที่สายโซ่ตรรกะกับการ brute-force หาเฉลย เพราะวิธีซ่อนคำตอบไว้ตรงหน้ามันก็มีจำกัด
    หรือไม่ก็ความคิดสร้างสรรค์ของมนุษย์อาจถูกใช้ไปเกือบหมดแล้ว และมันอาจไม่ได้ไร้ขีดจำกัดอย่างที่เราคิด เวลาจะเป็นคนบอกเอง
    ผมนึกอีกไอเดียหนึ่งออก คือซ่อนธงไว้สองอัน โดยทำให้อันหนึ่งมีแต่ AI agent เท่านั้นที่หาเจอ แต่มนุษย์หรือเครื่องมือที่มนุษย์สร้างหาไม่เจอ

    • น่าสนใจนะ ช่วงหลัง ๆ ผมก็ทำแทบจะเหมือนกันเลย เพื่อดันขีดจำกัดของ เครื่องมือ obfuscation สำหรับ JS ให้สุด ผมให้ gpt/claude คอย deobfuscate เอาต์พุตสุดท้ายซ้ำ ๆ แล้วก็ใช้ gpt อีกทีปรับปรุงเครื่องมือให้ทำลาย deobfuscator นั้นได้
      คุณเผยแพร่ไว้ที่ไหนบ้างไหม? นี่คือตัวอย่างเอาต์พุตจากเครื่องมือ obfuscation JS ของผม: https://gist.github.com/Trung0246/c8f30f1b3bb6a9f57b0d9be94d...
    • บางโจทย์ก็แค่บังคับให้ต้องถอดจิต ซึ่งคอมพิวเตอร์ทำไม่ได้ หรือไม่ก็ใส่ มินิเกม VR เข้าไปเลย แบบที่ยุค 90 ชอบจินตนาการกัน

  • ผมเข้าใจความรู้สึกของบทความนี้ สำหรับผม AI ทำลายทั้งการเล่น CTF และการสร้างชาเลนจ์ CTF
    สิ่งที่น่าหงุดหงิดที่สุดคือท่าทีแบบ “ไม่รู้หรอก แต่นี่ไงธง”
    เมื่อก่อนเวลาเล่น CTF กับเพื่อน ๆ เราจะติดอยู่กับชาเลนจ์เดียวกันเป็นชั่วโมง ๆ แล้วเพื่อนอีกคนเข้ามาช่วยดู สุดท้ายแก้ได้ใน 30 นาที ซึ่งเป็นประสบการณ์การเรียนรู้ที่คุ้มค่ามากที่สุดแบบหนึ่ง เดี๋ยวนี้เพื่อนจะเข้ามาแล้วโยนให้ clanker แก้ จากนั้น 5 นาทีก็เสร็จ พอถามว่ามันทำงานยังไง ก็มักได้คำตอบว่า “ไม่รู้ว่ามันทำอะไร ใครจะสนล่ะ? ธงก็อยู่นี่ไง”
    ตอนทำชาเลนจ์ก็เหมือนกัน ถ้าขอวิธีทำหรือถามว่ามีใครแก้ต่างจากนี้ไหม ก็มักได้คำตอบว่า “ไม่รู้เหมือนกัน แต่ clanker แก้ได้” ความสนุกมันหายไปเลย
    เพราะงั้นผมว่ารูปแบบ CTF นี้ตายแน่ ๆ แล้ว สาเหตุหลักคือความเป็นการแข่งขันสูงกับเงินรางวัล โครงสร้างแบบนี้ผลักให้คนแก้โจทย์ด้วยลูกเล่นทางลัด ซึ่งเมื่อก่อนการแก้แบบแหวกแนวก็ยังเป็นช่วงเวลาแห่งความคิดสร้างสรรค์ที่ยอมรับได้ แต่ตอนนี้ด้วย AI ไม่ต้องใช้ทั้งสมอง ไม่ต้องใช้ลูกเล่น และไม่ต้องใช้มนุษย์ อย่างที่บทความบอก มันคือ โครงสร้างที่จ่ายเงินแล้วชนะได้
    ผมคิดว่า CTF แบบ 24/7 น่าจะได้รับความสนใจมากขึ้น เพราะที่นั่นกระดานคะแนนไม่สำคัญ และไม่มีเงินรางวัลด้วย

  • พูดเชิงเมตาหน่อย บทความนี้เดิมถูกส่งมาด้วยชื่อ “The CTF scene is dead” ซึ่งเข้าใจง่ายมาก แต่เมื่อกี้เพิ่งถูกเปลี่ยนเป็นประโยคแรกของคำโปรยคือ “Frontier AI has broken the open CTF format” แล้วกลับเข้าใจยากขึ้นมาก อ่านเหมือน garden-path sentence
    ตอนแรกผมนึกว่า “Frontier” เป็นชื่อบริษัท และ CTF เป็นฟอร์แมตไฟล์อะไรสักอย่าง ถ้าไม่รู้จักการแข่งขัน Capture The Flag การเปลี่ยนชื่อนี้ไม่ได้ช่วยเลย ถ้ารู้อยู่แล้ว ผมกลับคิดว่ามันแย่ลงด้วยซ้ำ

    • ไม่แน่ใจว่าจะช่วยไหม แต่ผมกลับรู้สึกว่าชื่อที่สองเข้าใจง่ายกว่า ดูไม่คลิกล่อมากนัก และให้ข้อมูลมากกว่า ผมเห็นด้วยว่ามันชวนสับสน แต่ frontier เป็นคำที่ใช้กันมากในวงการนี้ ถ้าเขียนว่า “frontier AI models have” ก็น่าจะแก้ได้
    • เห็นด้วย ผมใช้เวลาทำความเข้าใจอยู่แป๊บหนึ่ง น่าจะเพราะนี่เป็นครั้งแรกที่ผมเห็นการเรียก Frontier AI แทน “frontier models” โดยเฉพาะเมื่อ F เป็นตัวใหญ่ เลยฟังเหมือนชื่อบริษัท
    • คำว่า Frontier ใน “Frontier Model” นั้น ภายในปี 2026 น่าจะถือเป็นคำศัพท์ที่ควรรู้โดยชอบธรรม ไม่ใช่คำที่ผู้เขียนประดิษฐ์ขึ้นหรือสุ่มเลือก แต่เป็นคำที่ใช้กันทั่วไปในวงการนี้
    • ในบทความไม่มีที่ไหนเลยที่นิยาม CTF และคอมเมนต์ด้านบนที่นี่ก็เหมือนกัน เพราะงั้นผมเลยกดข้าม
      กฎพื้นฐานคือต้องนิยามตัวย่อทุกคำตอนใช้ครั้งแรก
    • ทำไมคนถึงชอบยึดเธรดไปคุยเรื่องชื่อบทความกันตลอดนะ ชื่อบทความส่วนใหญ่ก็แย่อยู่แล้ว แค่กดโหวตลงแล้วผ่านไปก็พอ

  • เรื่องแบบนี้กำลังเกิดขึ้นกับ การแข่งขันเขียนโปรแกรม รูปแบบอื่นด้วย AI สมัยใหม่มีความสามารถในการแก้ปัญหาเทียบชั้นมนุษย์ระดับท็อปแล้ว และถ้าห้าม AI ได้ไม่ง่าย การแข่งขันก็จะถูกครอบงำโดย AI agent
    ผมเคยคิดว่า code golf น่าจะใช้เวลานานกว่านี้ เพราะมีข้อมูลฝึกน้อยกว่า มันเป็นสายเฉพาะทางกว่า แต่ตอนนี้แม้แต่ที่นั่น AI ก็เริ่มเก่งทัดเทียมมนุษย์ผู้เชี่ยวชาญแล้ว ซึ่งน่าเสียดายเพราะ golf เป็นปริศนาการเขียนโปรแกรมแบบที่ผมชอบที่สุด
    น่าทึ่งจริง ๆ ว่าความสามารถในการแก้ปัญหาของ AI มาไกลแค่ไหนแล้ว

  • https://en.wikipedia.org/wiki/Capture_the_flag_(cybersecurit...
    ตอนนี้ยังไม่มีการพูดถึง AI แต่ถ้า AI เริ่มครองการแข่งขันมากขึ้นเรื่อย ๆ ก็น่าจะเปลี่ยนในไม่ช้า

    • การใช้ AI ใน CTF ก็เหมือนใช้รถเพื่อจะวิ่ง 100 หลา ให้เก่งขึ้น

  • นี่ไม่ใช่เรื่องของ CTF อย่างเดียว ผมเชื่อแรงมากว่าใน game jam อย่าง Ludum Dare หรือใน hackathon ต่าง ๆ บทบาทของ โปรแกรมเมอร์ จบลงแล้วในทางปฏิบัติ

  • ในวงการแข่งขันเขียนโปรแกรมมีการแข่งขันออฟไลน์อยู่เสมอ และหลังยุค AI ความสำคัญของมันก็ยิ่งเพิ่มขึ้น เดิมทีมันก็ยุติธรรมกว่าอยู่แล้วโดยทั่วไป ถ้า CTF จะอยู่รอด ก็คงต้องรับกลยุทธ์นี้ไปใช้
    ไปไกลกว่านั้นก็อาจใช้แนวทางที่อนุญาตทุกอย่างที่มีอยู่ในคอมพิวเตอร์อยู่แล้ว แต่ไม่อนุญาตมากไปกว่านั้น เช่น การแข่งขันเขียนโปรแกรมบางรายการอนุญาตให้นำเอกสารกระดาษเข้าได้ไม่จำกัด สำหรับ CTF ก็น่าจะต้องใช้มากกว่านั้นมาก เลยอาจต้องยอมให้มีข้อมูลอิเล็กทรอนิกส์