CTFs na Era da IA

Laurence Tennant, da Include Security, relata a BSidesSF 2026, onde 16 equipes resolveram completamente todos os desafios de CTF (em comparação com apenas uma equipe em 2025). Isso ocorreu porque agentes como Claude Code, Codex e similares agora resolvem desafios de dificuldade fácil a média, incluindo exploração binária, em minutos, mudando a competição da habilidade de resolução para o investimento em infraestrutura. As melhores equipes utilizavam pipelines de auto-scraping que geravam agentes paralelos assim que um desafio era lançado e submetiam as flags automaticamente. A equipe vencedora, inclusive, tornou open-source uma arquitetura de coordenador-LLM que executa GPT-5.4-mini, Claude Opus 4.6 com esforço máximo e outros em paralelo, compartilhando descobertas entre agentes travados.

O sucesso automatizado em CTFs, contudo, não se traduz diretamente em pentesting, pois engajamentos reais não possuem a flag inequívoca, a base de código limitada e o ambiente sem consequências que tornam os CTFs um campo de testes ideal para LLMs. A triagem de falsos positivos, a disciplina de escopo e o contexto de negócios ainda exigem julgamento humano.