第三届XCTF总决赛落幕中国战队FlappyPig夺冠

第三届XCTF总决赛落幕中国战队FlappyPig夺冠

本刊讯 9月12～13日，由国家创新与发展战略研究会主办，赛宁网安、清华大学Musec项目组承办的第三届XCTF总决赛在北京国家会议中心落下帷幕，来自国内外顶尖的15支最强战队经过两天的比拼，最终中国战队FlappyPig力挫群雄，夺得本届决赛冠军，来自韩国高丽大学的motesolo战队获得亚军，中国高校联合战队Nu1L夺得季军。

FlappyPig、motesolo、Nu1L位列前三甲

中国知名战队FlappyPig荣耀夺冠，FlappyPig战队这两年在国内赛场上可谓大发异彩，取得诸多竞赛冠亚军，也在国际赛场上进行了诸多尝试，战队实力正在逐年进步，他们在本届XCTF联赛郑州站选拔赛中入围今年总决赛。FlappyPig战队夺冠，这也是三届联赛举办以来，继中国台湾地区217战队、韩国CyKor战队之后第一支获得总决赛冠军的中国大陆队伍。

来自韩国高丽大学的motesolo战队在总决赛中夺得亚军，他们在本届XCTF联赛福州站RCTF选拔赛中入围总决赛，在此次决赛的表现也是非常抢眼，曾一度反超FlappyPig登上榜首，但最终不敌FlappyPig获得第二名，捧走一万美金奖励。在本届联赛总决赛中获得季军的战队是中国知名高校联合战队Nu1L，作为本届XCTF联赛积分榜第一名，曾在本届联赛多场比赛中夺得冠军，在本届总决赛的表现也是可圈可点，平稳发挥夺得季军。

来自韩国的CyKor战队、中国杭电110066战队、中国高校联合FFF战队获得本届总决赛的一等奖，来自中国的NSIS战队、0ops战队、天枢战队、NeSE战队荣获二等奖。

本届总决赛变革创新，引入AI赛制

本届总决赛，XCTF联赛大胆创新变革，引入AI赛制，参赛的每支战队都被要求自主开发AI辅助自动化漏洞挖掘工具，在比赛现场服务器部署AI工具，配合战队一同参与总决赛。首日的比赛采用解题（Jeopardy）赛制，AI工具独立地自动化进行漏洞发现与挖掘，人类战队基于AI工具发现漏洞信息进行漏洞利用。在首日比赛共有20个赛题，其中包括15道定制pwn题、2道同时进行解题和攻防的赛题环境，还有3道真实CVE漏洞环境。战队及AI的解题情况如下：

20道题目中有16道赛题被AI工具发现漏洞

Cykor战队的AI工具发现了13道赛题的安全漏洞，首日全场最佳

7道赛题被人类队伍成功利用漏洞获取Flag

其中最多的是Nu1L战队及FlappyPig战队，各解出5道赛题

Cykor战队解出了4道赛题

3道CVE真实漏洞赛题环境有2道被队伍AI工具自动发现漏洞

解出队伍数分别是5支和4支

第二日的比赛采用AI工具辅助战队进行互攻互守的攻防（Attack amp; Defense）赛制。除了延续使用两道第一日比赛赛题外，还补充了两道新题目。上午比赛刚一开始，第一日由于AI工具接口问题没有任何得分的SU战队首先对pointerguard进行成功攻击，获得攻防赛全场一血，随后首日领跑的韩国CyKor战队先后拿到pointerguard二血和另一道题目apatch的一血，开始继续领跑全场。在中午陆续放出两道新题后，另一支韩国战队Motesolo拿下第三题network的一血，而中国多高校联合战队Nu1L则拿下第四题xmail的一血，开始追赶CyKor缩短比分差距，此时CyKor战队采取了主动关闭这两个服务的战术，选择服务异常扣分分给其他战队，而避免让两支战队快速赶分超越。而另一支中国多高校联合战队FlappyPig则陆续解出了network和xmail，

在比赛结束前两小时超越了CyKor战队，排名反超至第一。

最后两个小时，主办方将比赛每回合的时间从5分钟缩短至2.5分钟，并隐藏了积分榜，比赛变得更加激烈并充满悬念。在最后两个小时内，前三名多次变化，motesolo一度反超FlappyPig登上榜首，但最后因为FlappyPig更好的防御及在多个服务上的持续高效攻击，FlappyPig战队终于战胜了上届总决赛冠军Cykor、本次大赛黑马motesolo以及国内实力强大的新秀战队Nu1L，成为了XCTF联赛三年来第一支夺冠的中国大陆队伍。在首日大部分时间和第二天前半程均领跑的韩国Cykor战队未能保持住领先优势，很遗憾地屈居第四名。

这也是国内首场由战队及AI互相配合的人机协同网络攻防大赛，在赛制和平台设计上进行了大量创新，XCTF联赛带领着中国CTF赛事向国际前沿的进程又行进一步。

十站分站赛及相关联赛

随着此次比赛的落幕，第三届XCTF联赛赛程也正式宣告结束，本赛季从2016年11月开启，进行了十站选拔赛，一站总决赛。十站分站赛包括了首战杭州站HCTF、郑州站ZCTF 、南京站NJCTF、北京站国际赛BCTF、北京站邀请赛暨360春秋杯国际网络安全挑战赛、 G-Stage OpenCTF京津冀邀请赛、福州站国际赛RCTF 、广州站GCTF暨全球华人网络安全技能大赛、粤港澳台邀请赛暨全球华人网络安全技能大赛广州半决赛以及首次出海举办新加坡站国际赛HITB GSEC CTF。

XCTF联赛创办三年多，通过将国际一流赛制引入国内，公开选拔奖励具有全面且深入网络安全技术对抗实践能力的参赛团队，并引导高校及科研院所学生、企业技术人员和网络安全技术爱好者在竞赛过程中锻炼实际网络安全对抗技能与团队协作能力，提升我国网络安全技术人才水平，进而增强我国网络空间安全防御能力。

（责编：杨燕婷）