2026 春季 CTF:多類別 AI 安全
跨 5 個類別 20 個旗幟之多類別 AI 安全奪旗競賽:提示注入、代理利用、RAG 攻擊、模型安全與鑑識。
2026 春季 CTF:多類別 AI 安全
2026 春季 CTF 為廣泛光譜之 AI 安全競賽,跨 5 個類別設 20 個挑戰。無論你之強項為提示注入、代理利用、基礎設施安全或鑑識分析,皆有適合你之挑戰。
類別與挑戰
類別 1:提示注入挑戰場(4 個挑戰)
一系列具升級防禦之聊天機器人。自每一個提取旗幟。
| 挑戰 | 難度 | 起始分數 | 描述 |
|---|---|---|---|
| PI-1:暖身 | 簡單 | 200 | 無防禦聊天機器人。自其系統提示提取旗幟。免費信心提升。 |
| PI-2:守門員 | 中等 | 350 | 具以指令為本之防禦與輸入關鍵字過濾之聊天機器人。找出繞過。 |
| PI-3:雙面間諜 | 困難 | 450 | 具雙 LLM 架構之聊天機器人:生成器與安全 judge。兩者皆必須被繞過。 |
| PI-4:保險庫 | 專家 | 500 | 具架構提示隔離、I/O 過濾、LLM judge 與速率限制之聊天機器人。旗幟於模型無法直接存取之分離脈絡中。 |
類別筆記: 這些挑戰測試純提示注入技巧。無工具、無代理,僅你 vs. 模型及其防禦。PI-4 歷史上由少於 10% 之隊伍解決。
類別 2:代理利用(4 個挑戰)
利用具工具存取之 AI 代理,自代理可存取但不應揭露之系統提取旗幟。
| 挑戰 | 難度 | 起始分數 | 描述 |
|---|---|---|---|
| AE-1:工具時間 | 簡單 | 200 | 具檔案讀取工具之代理。旗幟於代理可讀取但被指示勿分享之檔案中。 |
| AE-2:連鎖反應 | 中等 | 350 | 具 email、行事曆與資料庫工具之代理。旗幟自三個工具之資料建構。你必須造成代理以特定順序鏈接工具呼叫。 |
| AE-3:間接路線 | 困難 | 450 | 讀取你控制之網頁之代理。經網頁內容注入指令造成代理提取並遞送旗幟。 |
| AE-4:監守者 | 專家 | 500 | 具對每次工具呼叫依允許清單檢查之工具呼叫驗證器之代理。旗幟需驗證器應阻擋之工具呼叫。 |
類別筆記: 代理挑戰需理解代理如何決定呼叫哪些工具及如何影響該決策過程。間接注入挑戰(AE-3)需於你控制之 URL 託管內容——webhook 服務 URL 於挑戰描述中提供。
類別 3:RAG 攻擊(4 個挑戰)
藉由操弄檢索過程、知識庫或生成步驟利用檢索增強生成系統。
| 挑戰 | 難度 | 起始分數 | 描述 |
|---|---|---|---|
| RAG-1:知識搜尋者 | 簡單 | 200 | 具可搜尋知識庫之 Q&A 系統。旗幟於系統被指示勿浮出之文件中。仍然檢索之。 |
| RAG-2:毒井 | 中等 | 350 | 你可加一份文件至知識庫。打造文件造成系統於特定查詢被問及時輸出旗幟(藏於系統提示)。 |
| RAG-3:Embedding 逃逸 | 困難 | 450 | 系統使用以 embedding 為本之存取控制——標記為「機密」之文件基於其 embedding 叢集被過濾出檢索結果。放置逃避此過濾器之文件。 |
| RAG-4:神諭 | 專家 | 500 | 你無法見檢索文件或系統提示之 RAG 系統。你僅可見最終生成回應。經仔細查詢打造與回應分析提取旗幟。 |
類別筆記: RAG 挑戰測試對檢索、排序與生成如何互動之理解。RAG-4 為需自可觀察輸出推論內部狀態之黑箱挑戰。
類別 4:模型安全(4 個挑戰)
利用模型服務基礎設施、API 層與 AI 部署之組態。
| 挑戰 | 難度 | 起始分數 | 描述 |
|---|---|---|---|
| MS-1:冗長錯誤 | 簡單 | 200 | 造成模型 API 產出洩漏旗幟之錯誤訊息。錯誤處理常為最弱環節。 |
| MS-2:租戶跳躍 | 中等 | 350 | 多租戶模型服務平台。存取另一租戶之含旗幟之快取回應。 |
| MS-3:組態洩漏 | 困難 | 450 | 經側通道分析提取模型服務組態(含旗幟):時序差異、token 計數模式,或回應行為變化。 |
| MS-4:權重觀察者 | 專家 | 500 | 旗幟編碼於模型行為中——它被微調為對特定觸發片語輸出旗幟。經行為分析發現觸發。 |
類別筆記: 模型安全挑戰需思考超越提示層。這些測試基礎設施認識、API 利用技能,與對模型內部之理解。
類別 5:AI 鑑識(4 個挑戰)
分析 AI 安全事件證據中之記錄、產物與軌跡以找出藏匿之旗幟。
| 挑戰 | 難度 | 起始分數 | 描述 |
|---|---|---|---|
| AF-1:記錄深潛 | 簡單 | 200 | 分析 API 記錄以找出藏於一系列可疑請求中之旗幟。於雜訊資料中之模式辨識。 |
| AF-2:對話驗屍 | 中等 | 350 | 對話記錄含成功越獄之證據。旗幟為攻擊者使用之確切 payload(你必須自部分記錄重建之)。 |
| AF-3:投毒管線 | 困難 | 450 | 自投毒攻擊之訓練記錄與資料樣本。辨識投毒樣本——旗幟自其 ID 建構。 |
| AF-4:機器中之鬼 | 專家 | 500 | 複雜多元件系統之記錄含進階持續威脅之證據。攻擊者留下旗幟作為名片,但其散布於多個記錄來源,並以必須自攻擊模式衍生之金鑰加密。 |
類別筆記: 鑑識挑戰測試分析思考與注意細節。大量資料集與紅鯡魚使這些耗時。有效優先處理。
基礎設施
挑戰存取
每隊於註冊後獲專屬挑戰入口:
https://ctf.redteams.wiki/spring-2026/team/<team-id>/
自入口,你可:
- 存取每個挑戰之描述與 API 端點
- 提交旗幟計分
- 檢視計分板
- 請求挑戰實例重置(每挑戰限 3 次重置)
旗幟提交
旗幟遵循格式 FLAG\{description-value\}。經入口或 API 提交旗幟:
POST https://ctf.redteams.wiki/api/submit
Content-Type: application/json
Authorization: Bearer <team-token>
{
"challenge_id": "PI-1",
"flag": "FLAG{example-flag-value}"
}提示系統
提示按時程釋出:
| 時間 | 釋出提示 |
|---|---|
| T+12 小時 | 簡單與中等挑戰之提示 |
| T+24 小時 | 困難挑戰之提示 |
| T+36 小時 | 專家挑戰之提示 |
每個提示揭露關於預期途徑之一條資訊。使用提示不減少你之分數。
計分
動態計分
挑戰分數值自列出之最大值開始,並隨更多隊伍解決而降低:
| 解決次數 | 大約分數(自 500 最大) |
|---|---|
| 1 次解決 | 490 |
| 5 次解決 | 420 |
| 10 次解決 | 340 |
| 20 次解決 | 210 |
| 50+ 次解決 | 50(最低) |
首殺獎勵
首次解決每個挑戰之隊伍獲該挑戰分數之 10% 獎勵。
破僵
平手以隊伍最後計分旗幟之提交時戳破。較早完成之隊伍贏得破僵。
獎項
| 名次 | 獎項 |
|---|---|
| 第 1 名 | 自訂挑戰硬幣 + wiki 上之精選寫手 + 1,000 排行榜獎勵分數 |
| 第 2 名 | wiki 上之精選寫手 + 500 排行榜獎勵分數 |
| 第 3 名 | wiki 上之精選寫手 + 250 排行榜獎勵分數 |
| 類別領先者 | 每類別最高分者之認可徽章 |
| 最佳寫手 | 最具教育性 CTF 後寫手之社群投票獎(500 獎勵分數) |
準備指南
推薦技能等級
| 類別 | 最低背景 |
|---|---|
| 提示注入 | 完成 1 月與 2 月月度挑戰或同等經驗 |
| 代理利用 | 完成 3 月月度挑戰或同等經驗 |
| RAG 攻擊 | 理解 RAG 架構與以 embedding 為本之檢索 |
| 模型安全 | 基礎 API 安全測試經驗、熟悉模型服務 |
| AI 鑑識 | 記錄分析經驗、理解 AI 攻擊模式 |
暖身資源
- 完成相關類別之過去月度挑戰
- 為 PI 挑戰複習 提示注入與越獄 章節
- 為 AE 挑戰複習 代理與代理利用
- 為 RAG 挑戰複習 RAG、資料與訓練攻擊
- 為 MS 挑戰複習 雲端 AI 安全
- 為 AF 挑戰複習 AI 鑑識與事件回應
CTF 後
CTF 結束後:
- 計分板凍結並最終排名於 1 小時內發布
- 挑戰原始碼於 48 小時內釋出
- 挑戰作者之官方寫手於 1 週內發布
- 社群寫手受鼓勵並於 CTF 後 2 週內合格參加最佳寫手獎
社群寫手通道於 CTF 結束後立即開放。分享你之途徑、部分解決方案與習得教訓。
春季 CTF 策略
類別優先化
跨 5 個類別 20 個挑戰,你無法於 48 小時內解決一切。策略性優先:
- 以你最強類別開始。 早期解決因動態計分賺取最多分數。先解決你最佳類別中之簡單與中等挑戰。
- 跨所有類別拾取簡單挑戰。 簡單挑戰(200 起始分)即便於弱類別中仍值得解決,因它們花費極少時間。
- 評估困難挑戰後再承諾。 於嘗試任何困難挑戰前讀取所有困難與專家挑戰描述。某些於不熟悉類別之困難挑戰對你可能較其他更容易。
- 將專家挑戰留給第二天。 專家挑戰花費最久。第一天花費時間自較容易挑戰蒐集分數,然後第二天專注於困難與專家嘗試。
隊伍角色分配
對 4 人隊伍,推薦之角色分配:
| 角色 | 主要類別 | 次要 |
|---|---|---|
| 球員 1 | 提示注入 + RAG | 代理利用簡單 |
| 球員 2 | 代理利用 + 模型安全 | 鑑識簡單 |
| 球員 3 | AI 鑑識 + 模型安全 | RAG 簡單 |
| 球員 4 | 彈性(支援進度卡住處) | 文件與寫手 |
彈性球員角色關鍵。有能跳入任何類別、對卡住挑戰提供新觀點,並處理支援任務(管理筆記、追蹤計分板、協調提示使用)之人顯著改善隊伍表現。
時間管理
具 20 個挑戰之 48 小時 CTF 意指每挑戰平均 2.4 小時。但此平均誤導——簡單挑戰花 15 分鐘而專家挑戰花 4+ 小時。較佳之時間預算:
| 難度 | 時間預算 | 挑戰 | 總時間 |
|---|---|---|---|
| 簡單(5) | 每個 30 分鐘 | 5 | 2.5 小時 |
| 中等(6) | 每個 1.5 小時 | 6 | 9 小時 |
| 困難(5) | 每個 3 小時 | 5 | 15 小時 |
| 專家(4) | 每個 5 小時 | 4 | 20 小時 |
| 睡眠與休息 | -- | -- | 16 小時 |
| 總計 | 62.5 小時 |
此超過個人玩家之 48 小時,此為團隊參與如此重要之原因。4 人隊伍有 192 人時可用(減去睡眠),足以舒適地涵蓋所有挑戰。