看雪·2026 KCTF 【防守方】规则发布(8月5日截止征题)
看雪CTF(简称KCTF)是圈内知名度最高的技术竞技之一,从原CrackMe攻防大赛中发展而来,采取线上PK的方式,规则设置严格周全,题目涵盖Windows、Android、iOS、Pwn、智能设备、Web等众多领域。
KCTF采取动态积分模式,使每道题的分数随着赛事的发展而变化,比赛结束的分数才能决定最终比赛结果。
看雪CTF比赛分为两个阶段:
第一阶段是防守篇,防守方根据比赛要求制作题目,根据题目在比赛中的得分评选优胜者。
第二阶段为攻击篇,攻击第一阶段的题目,攻击成功题目后获得相应的攻击得分。累计攻击方在每道题上的攻击得分以获得攻击方总得分,并评选优胜者。
既给了防守方足够的施展空间,也避免过度浪费攻击方的时间。从攻防两个角度看,都是个难得的竞技和学习机会。
KCTF比赛历史悠久、影响广泛。自2007年以来,看雪已经举办十多个比赛,与包括金山、腾讯安全、腾讯TSRC、360、阿里、京东、WiFi万能钥匙、安恒、深信服、众安科技等在内的各大公司共同合作举办赛事。比赛吸引了国内一大批安全人士的广泛关注,历年来CTF中人才辈出,汇聚了来自国内众多安全人才,高手对决,精彩异常,成为安全圈的一次比赛盛宴,突出了看雪论坛复合型人才多的优势,成为企业挑选人才的重要途径,在社会安全事业发展中产生了巨大的影响力。
2026年规则更新通知
为适应 AI 技术在安全研究、CTF 出题与解题中的应用发展,2026 年 KCTF 规则拟作如下更新:
一、新增 AI Security / LLM Security 题型
征题范围新增 AI 安全 / 大模型安全方向,包括但不限于 Prompt Injection、Jailbreak、RAG 安全、Agent 工具调用安全、模型与数据安全、AI 供应链安全、LLM 应用漏洞利用等相关题目。
AI Security / LLM Security 题目须保证可复现、可审计、可稳定判定,不得依赖不可控外部 AI 服务作为核心判题逻辑,相关题目须经组委会专项审核后方可参赛。
二、允许攻防双方使用 AI 工具
防守方和攻击方均可使用 AI 工具辅助出题、审计、分析、解题、脚本编写和 writeup 整理。
AI 工具仅作为辅助工具,使用方对 AI 生成或辅助生成的内容承担全部责任。使用 AI 不降低题目的原创性、安全性、稳定性、可复现性和可审计性要求,也不改变攻击方积分计算方式。
三、新增 AI 使用披露要求
防守方如使用 AI 工具辅助出题,应在提交材料中说明 AI 使用情况,包括 AI 参与环节、是否进行人工审核、是否包含 AI 生成代码或第三方内容等。组委会可根据审核需要要求补充说明。
四、明确 AI 使用边界
允许使用 AI Agent 或自动化脚本辅助分析,但不得对比赛平台、靶机或判题系统进行高频、无节制、破坏性或超出题目范围的自动化请求。
不得利用 AI 工具实施攻击比赛平台、破坏比赛环境、绕过平台权限、批量爆破、泄露 flag、共享答案、攻击非题目目标等违规行为。
五、优化部分规则表述
统一题型和平台名称表述,将 Windows、Android、Linux、IoT 等名称规范化;修正部分章节编号、年份表述和重复编号问题;扩展“多解/非预期解”的定义,使其适用于 CrackMe、Reverse、PWN、WEB、Crypto 及 AI Security / LLM Security 等题型。
2026年5月
KCTF竞赛组委会
一、活动时间
防守方出题:2026年4月2日 ~ 2026年08月05日(防守方题目准备阶段)
攻击方比赛:2026年08月10日 ~ 2025年09月10日(截止时间根据攻击方比赛情况而定)
二、活动地点
KCTF 官方网站:https://ctf.kanxue.com/
三、主办方及支持单位
主办方:
四、防守方比赛赛制
本届 KCTF 团队赛为线上赛,由论坛会员自由组成攻、防两方团队,每个团队人数不超过 5 人。由防守方出题,攻击方夺旗。
1、防守方提交题目
参加防守的团队,每个团队需要提供一个防守题目到提交区:KCTF2026提交区(隐藏版块)。
评委审核通过后方可作为防守方参赛,审核结果在攻击赛开始前一天公布。
2、赛期
规则:顺序发题、弹性赛期。
防守题的赛期根据被破解情况决定,最少 1 天,最多 4 天。
一律中午 12 点发题。发题当天记作第 0 天。
若第 i 天上午 6 点该题被破解次数大于等于 53−i,则在第 i 天中午 12 点结束该题,发下一题。
解释
发题后的第 1 天 6 点,若破解次数少于 25 人,则继续比赛;
发题后的第 2 天 6 点,若破解次数少于 5 人,则继续比赛;
发题后的第 3 天 6 点,若破解次数少于 1 人,则继续比赛;
以上任意一天继续比赛的条件不满足,就中午 12 点换下一题;
6 点至 12 点之间的破解,依然有效;发题后的第 4 天中午 12 点,此题一定结束。
3、积分规则
防守题积分分为难度值积分、火力值积分和精致度积分三种。在所有奖项评选中,若积分相同,则以提交题目时间来排序,最早提交题目的胜出。
攻击方积分是根据其破解战绩而计算得到的。
注:攻击者不能攻击自己提交的题目。
3.1 难度系数评估
基本原则
根据每道防守题的实际被破解时间、次数和多解,评价每道题的相对难度系数。
赛期内被发现多解的扣分,在此题赛期内直接生效。
计算方法
每道题的原始难度系数:原始难度系数=−log(k⋅∑Bi1/T)其中,k 是此题被破解的次数,Bi 是此题的被破解时间,i 从 1 到 k,T 是此题赛期(天数)。
将每道题的原始难度系数线性归一化到 [0,1],即得到每道题的原始归一难度系数(此系数将用于攻击方计分)。
多解难度系数 = 原始难度系数 * (Mn),其中,M 为多解计算系数(87%),n 为在此题赛期内被发现的多解攻击方团队数量,n 大于 5 时,视同为 5。
将每道题的多解难度系数线性归一化到 [0,1],即得到每道题的难度系数。(在比赛中,尚未被破解的题(含尚未开始比赛的题),暂计其难度系数为 1)。
解释
多解或非预期解,是指在某个问题或任务中,存在两个或更多个不同的flag,这些flag都能够满足问题或任务的要求;
被破解次数越少、被破解时间越长、被发现多解的个数越少、挺过赛期越久的防守题,其难度系数越大。
若被 1 个攻击方发现多解,则此题多解难度系数 = 原始难度系数 * 87%;
若被 2 个攻击方发现多解,则此题多解难度系数 = 原始难度系数 * 87% * 87% = 原始难度系数 * 0.7569;
若被 3 个攻击方发现多解,则此题多解难度系数 = 原始难度系数 * 87% * 87% * 87% = 原始难度系数 * 0.658503;
若被 4 个攻击方发现多解,则
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291129.htm