Các mô hình Frontier AI đang giải gọn ơ các bài Capture The Flag. Dân tình gào thét CTF đã chết, sân chơi bảo mật giờ thành trò đua API và prompt engineering?
Chào anh em đồng đạo. Bao năm cày cuốc học exploit, rờ-vớt (reverse engineering) hộc máu, húp mì tôm cày đêm tìm bug, giờ thì mấy con AI nó chuẩn bị ỉa lên đầu anh em mình rồi. Mới sáng ra lướt Hacker News thấy cái title cay đắng: "Frontier AI has broken the open CTF format". Toang thật sự các ông ạ!
CTF (Capture The Flag) vốn là cái nôi sản sinh ra bao lứa hacker mũ trắng, mũ đen, mũ cối các kiểu. Format truyền thống bao đời nay rất mở: Ban tổ chức vứt cho cái source code, file binary hoặc cái IP, anh em tự đục lỗ, tìm lỗ hổng để lấy cờ (flag) mang về.
Nhưng giờ thì sao? Mấy con Frontier AI (kiểu như GPT-4o, Claude 3.5 Sonnet) nó khôn như rận. Quăng cái đề vào mồm nó, nó tự động scan, decompile, đọc mã assembly rồi nhổ bọt ra luôn cái payload chuẩn không cần chỉnh. Mấy challenge mức độ dễ đến trung bình giờ thành trò hề với tụi nó.
Kết quả là gì? Một cuộc thi đề cao tư duy logic và kỹ năng đào sâu hệ thống giờ biến mẹ thành cuộc đua xem thằng nào có tài khoản API xịn hơn, viết prompt mượt hơn. Tác giả bài viết trên HN đã phải khóc thét và giật luôn cái tít: The CTF scene is dead (Giới CTF ngủm củ tỏi rồi).
Drama này nổ ra khiến các pháp sư mạng chia làm mấy phe cắn xé nhau kịch liệt:
Tóm cái váy lại, AI nó không giết CTF, nó chỉ ép cái bộ môn này phải tiến hóa. Anh em dev hay security cũng vậy thôi. Kêu ca cc gì, thích nghi hoặc là chết!
Thay vì tự hào vì mình nhớ được mấy cái trick rác rưởi để qua mặt tool cũ, giờ anh em phải học cách nhìn hệ thống ở tầm high-level hơn. Lỗ hổng logic nghiệp vụ (business logic flaws) vẫn là thứ mà AI hiện tại đang ngửi khói cho con người. Hoặc tư duy ma giáo hơn: Học cách viết bot, dùng chính AI đi đục hệ thống thay mình.
Công nghệ sinh ra là để phục vụ, ông nào không lướt được sóng thì làm bọt biển. Tranh thủ AI nó chưa lấy mất nồi cơm, ae cứ tích cực trau dồi và lươn lẹo lên nhé!
Nguồn hóng hớt:
