Se un tempo il vero brivido era trovare quel buffer overflow incastrato in un pezzo di codice scritto male, oggi il rischio è che l’unico sforzo che dovrai fare sia configurare un orchestratore di agenti per farli girare tutti insieme.
Sì, avete letto bene. La scena dei Capture The Flag (CTF) sta attraversando una crisi d’identità che farebbe venire il mal di testa anche a un debugging session di tre giorni. Recentemente è uscito un pezzo bomba (che vi linkerei volentieri se non fossi impegnato a smontare un vecchio router anni ’90) che lancia un allarme rosso: il formato open CTF è tecnicamente morto. E la colpa? Non è dei player che non vogliono più studiare, ma di modelli come Claude Opus 4.5 e GPT-5.5 che sono diventati dei veri e propri «one-shotter» di sfide che un tempo avrebbero richiesto notti insonni e litigate con l’assembly.
Il punto non è che l’IA ci aiuti, perché noi che amiamo smanettare con i tool siamo i primi a usare tutto ciò che automatizza il lavoro noioso. Il problema è che quando l’IA non si limita a suggerirti una regex, ma risolve autonomamente un problema di heap pwn di livello ‘insane’ mentre tu stai ancora cercando di capire come compilare il kernel, il gioco cambia. Non è più una sfida di skill, è diventata una guerra di budget. Vince chi può permettersi di lanciare migliaia di agenti in parallelo e bruciare token come se non ci fosse un domani. In pratica, i CTF si stanno trasformando in un enorme test di ‘quante risorse cloud puoi buttare nel cestino’.
È una situazione frustrante per chi, come me, ama il processo: quel momento in cui capisci la logica dietro un exploit e senti la soddisfazione pura di aver decifrato il puzzle. Se il risultato è solo un output generato da un bot che ha scansionato tutto in tre secondi, che senso ha lo sforzo? La paura è che stiamo perdendo la ‘scala formativa’ del gioco. Se non c’è più la sfida del superamento del limite, si perde la voglia di imparare.
E poi c’è il lato oscuro: la morte della meritocrazia tecnica. Se vince chi ha il wallet più gonfio per far girare i modelli più pesanti, la competizione perde ogni valore educativo. Per noi che amiamo il debugging, l’hacking etico e la ricerca della vulnerabilità, l’idea che la ‘forza bruta’ dell’IA possa bypassare l’ingegno umano è un colpo al cuore.
Speriamo che la community trovi un modo per resettare le regole. Forse servono nuovi format, sfide dove l’uso di LLM sia limitato o, meglio ancora, dove l’IA stessa sia parte del puzzle da risolvere. Perché se l’unica cosa che resta da fare è guardare un terminale che sputa output pronti, allora tanto vale smettere di giocare e andare a guardare un tutorial su YouTube.