随笔 on M15tak3のBlog https://blog.m15tak3.com/categories/%E9%9A%8F%E7%AC%94/ Recent content from M15tak3のBlog Hugo zh-CN skyman.soul@gmail.com (M15tak3) skyman.soul@gmail.com (M15tak3) 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处! Wed, 06 May 2026 17:00:00 +0800 当AI开始替我们靠近伊萨卡... https://blog.m15tak3.com/post/%E5%BD%93ai%E5%BC%80%E5%A7%8B%E6%9B%BF%E6%88%91%E4%BB%AC%E9%9D%A0%E8%BF%91%E4%BC%8A%E8%90%A8%E5%8D%A1/ Wed, 06 May 2026 17:00:00 +0800 skyman.soul@gmail.com (M15tak3) https://blog.m15tak3.com/post/%E5%BD%93ai%E5%BC%80%E5%A7%8B%E6%9B%BF%E6%88%91%E4%BB%AC%E9%9D%A0%E8%BF%91%E4%BC%8A%E8%90%A8%E5%8D%A1/ 当AI开始替我们靠近伊萨卡...

作者:M15tak3(skyman.soul@gmail.com)

当AI开始替我们靠近伊萨卡…

​ 我不知道从什么时候开始,遇到问题后的第一个动作,变成了问AI。

​ 一开始,这当然让人兴奋。它像一盏随手可点亮的灯,照进那些曾经需要自己摸索很久的角落。代码看不懂,可以问它;报错不知道原因,可以问它;CTF题没有思路,也可以问它。Web、Reverse、Pwn、Crypto,那些过去让人反复查资料、熬夜试错的东西,突然都变得没有那么遥远。

​ 这确实是一种进步。我不想轻易否认它。AI降低了很多门槛,也替我们拿走了许多无意义的阻力。那些被环境配置、陌生术语、碎片资料挡在门外的人,终于可以更顺利地走进去。对网络安全学习者来说,这种帮助是真实的。它让复杂的知识有了更柔软的入口,也让很多孤独的学习时刻,像是多了一个不会疲倦的同伴。

​ 可是,有些东西也在悄悄变轻。

​ 以前打CTF,卡住是一件很普通的事。你盯着一段代码,看不出漏洞;你反复构造payload,只换来沉默的回显;你在反编译结果里迷路,在流量包里寻找一处异常,在寄存器和栈之间猜测程序的下一次转身。那时候的学习很慢。很多夜晚并没有漂亮的结果,只剩下一堆失败的尝试。

​ 但后来回头看,真正留下来的,恰恰是那些慢。是那些没有立刻得到答案的时刻,让人开始学会观察。是那些错误的猜想,让人知道边界在哪里。是那些迟迟解不开的题,让人明白安全不是记住几个漏洞名字,而是在不确定里保持怀疑。

​ 现在,答案来得太快了。快到我们还没来得及和问题相处,就已经急着把它交出去。快到一段流畅的解释,可以替代半小时沉默的推理。快到一个看似完整的解题路径,会让人误以为自己已经理解了它。

​ 这让我有一点悲哀。不是因为AI太强,而是因为我们似乎越来越难忍受“不会”的状态。不会,本来是学习最自然的入口。它迫使人停下来,迫使人承认空白,迫使人一点点靠近未知。可现在,“不会”很快就被填满了。屏幕上出现一段答案,语气笃定,结构完整,甚至带着某种温柔的耐心。于是空白消失了,焦虑也暂时消失了。

​ 但理解也可能一起消失了。CTF里最重要的从来不只是flag。flag可能是一个终点,也可能是一个信号。但真正改变人的,是走向它的过程。你为什么怀疑这里?为什么这条路径成立?为什么另一个方向失败?为什么同样的payload换个环境就失效?这些问题如果没有亲自走过,只看见最后的字符串,心里其实是空的。

​ AI很适合给出答案,却未必能让人拥有答案。尤其在网络安全里,这件事更加危险。安全是一种判断力,是对边界的敏感,是对“看起来正常”的不信任。AI 可以解释漏洞,可以生成脚本,可以说出很多专业词汇。但它也会错,而且常常错得很像对的。它的流畅会让错误变得体面,让猜测看起来像结论。如果人没有验证的能力,就很容易把这种体面当作真实。我有时觉得,AI像一条更快的路,带我们绕过了很多泥泞。可问题是,有些脚力正是在泥泞里长出来的。我们少走了弯路,也少了一些与问题僵持的时间;我们更快到达了结果,却未必更靠近本质。

​ 这不是反对AI。我仍然会用它,也知道自己离不开它。它确实能帮我看见盲区,帮我节省时间,帮我从混乱中找到一个起点。只是希望自己不要忘记:工具可以照亮道路,但不能替我长出眼睛。

​ 在 CTF 中使用AI,也许最好的状态不是让它代替我解题,而是让它陪我停在问题面前。它可以提醒我看向某个方向,但我仍然要自己判断那里是否真的有路。它可以帮我写下一段脚本,但我仍然要知道每一行为什么存在。它可以给我一个答案,但我仍然要问:这是不是我真正理解之后的答案?我们正在进入一个答案越来越廉价的时代。也正因为如此,慢下来才显得更珍贵。慢不是落后,也不是无能。慢是一种对问题的尊重,是一种把理解留给自己的方式。在所有东西都被压缩成进度、结果、截图和总结的时候,慢下来反而需要勇气。我们习惯了更快地完成一件事。更快写出一段代码,更快交出一篇报告,更快生成一个方案,更快得到一个看起来不错的结论。很多时候,事情还没有真正被理解,就已经变成了可以提交、可以展示、可以发布的东西。速度给了人一种安慰,好像只要不断向前,就不会显得停滞。AI进一步放大了这种安慰。它让我们可以更快写出答案,更快完成作业,更快生成报告,更快拿到flag。但如果人只是跟着这种速度往前跑,就会越来越没有时间停下来确认:我是否真的理解?我是否真的判断过?我是否只是把一个看似正确的结果,匆忙地交给了世界?

​ 在网络安全里,这种匆忙尤其危险。因为安全不是抢答,而是验证。不是谁先说出一个漏洞名,谁就更接近真相;不是谁先跑出一个payload,谁就真正理解系统。安全需要耐心,需要怀疑,需要在看似合理的地方多停一会儿。很多漏洞不是被速度发现的,而是被反复观察、反复验证、反复追问逼出来的。

​ 所以希望还能学会慢下来。

​ 不是拒绝AI,也不是退回过去,而是在使用它的时候保留一段属于自己的距离。先看一眼题目,先想一想边界,先让问题在脑子里停留一会儿。不要急着让答案覆盖空白,也不要急着用生成的内容填满自己的不安。

​ 有些空白值得保留一阵。因为人正是在那里开始思考的。

​ AI可以让我们更快抵达伊萨卡。

​ 但我更想知道,在抵达之前,我们有没有真正见过海。

本文2026-05-06首发于M15tak3のBlog,最后修改于2026-05-06

本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!

]]> 随笔CTF