一個隱藏9年的Linux漏洞，讓普通用戶秒變超級管理員

2017年的代碼里埋著一顆雷，現(xiàn)在被挖出來了。不是那種需要碰運氣才能觸發(fā)的漏洞，而是穩(wěn)定、可靠、一打一個準。

「Copy Fail」到底是什么

韓國安全研究員李泰陽（Taeyang Lee）在研究Linux加密子系統(tǒng)時，注意到一個奇怪的現(xiàn)象：內(nèi)核的頁面緩存機制和數(shù)據(jù)拷貝流程之間存在一個被忽視的縫隙。這個發(fā)現(xiàn)經(jīng)過AI輔助分析后，演變成了編號CVE-2026-31431的漏洞——安全圈現(xiàn)在叫它「Copy Fail」。

用個接地氣的比喻：學校黑板上的成績表，學生本來碰不到粉筆和板擦。但Copy Fail相當于有人找到了一把備用鑰匙，能神不知鬼不覺把自己的60分改成90分。

技術層面，這個漏洞利用的是兩個看似無害的內(nèi)核接口：AF_ALG套接字（socket）和splice()系統(tǒng)調(diào)用。攻擊者只需要讀取文件的權限，就能在內(nèi)核頁面緩存中精準覆蓋4個字節(jié)。4個字節(jié)，剛好夠篡改setuid二進制文件的權限校驗邏輯——比如su命令。

一旦su命令在內(nèi)存中被改過，普通用戶輸入密碼時，系統(tǒng)會直接放行并授予root權限。整個過程不需要猜測時機，不需要反復嘗試，一次成功。

為什么這個漏洞特別麻煩

Linux歷史上不缺提權漏洞，但Copy Fail有幾個讓人頭疼的特性。

第一，影響面極寬。從4.14到6.19.12版本的內(nèi)核全部中招，時間跨度從2017年到2025年。這意味著過去9年里發(fā)布的幾乎所有主流Linux發(fā)行版——Ubuntu、Debian、Fedora、CentOS、RHEL——理論上都存在風險。

第二，利用條件極低。攻擊者不需要本地賬戶的特殊配置，不需要等待特定系統(tǒng)事件，甚至不需要復雜的競爭條件（race condition）。有安全研究者形容，這不像是在賽馬場上賭哪匹馬先到，而是直接走進金庫拿走現(xiàn)金。

第三，隱蔽性強。篡改發(fā)生在內(nèi)存層面，不涉及磁盤文件的物理修改。系統(tǒng)重啟后，惡意改動消失無蹤，取證難度陡增。

Xint Code研究團隊確認了漏洞的技術細節(jié)：「這一發(fā)現(xiàn)借助了AI輔助，但最初源于李泰陽對Linux加密子系統(tǒng)與頁面緩存數(shù)據(jù)交互機制的深入觀察。」

企業(yè)現(xiàn)在該做什么

補丁已經(jīng)發(fā)布，但打補丁的速度永遠追不上漏洞被武器化的速度。

對于運行關鍵業(yè)務的服務器，建議采取三層防御：第一，立即升級到修復版本的內(nèi)核；第二，在防火墻層面限制對AF_ALG套接字的非必要訪問；第三，啟用內(nèi)核的完整性度量架構（IMA），對關鍵系統(tǒng)文件進行運行時校驗。

云環(huán)境需要額外注意。很多容器鏡像基于未打補丁的Linux版本構建，即使宿主機安全，容器內(nèi)部仍可能被突破。建議掃描所有基礎鏡像的內(nèi)核依賴，優(yōu)先處理面向公網(wǎng)的服務。

個人用戶相對從容。主流桌面發(fā)行版的自動更新機制通常能在數(shù)天內(nèi)推送修復。但如果你運行著自建的家用服務器、NAS或者樹莓派集群，現(xiàn)在就該檢查內(nèi)核版本了。

漏洞背后的設計反思

Copy Fail暴露了一個深層問題：Linux內(nèi)核的模塊化設計在帶來靈活性的同時，也制造了接口之間的「認知盲區(qū)」。AF_ALG和splice()分別由不同子系統(tǒng)維護，它們的交互邊界長期缺乏系統(tǒng)性審計。

AI輔助漏洞挖掘正在成為新常態(tài)。Xint Code團隊的工作流程很有代表性——人類研究者提出假設，AI工具進行大規(guī)模代碼路徑分析，最終定位到具體缺陷。這種模式正在縮短「漏洞存在」到「漏洞被發(fā)現(xiàn)」的時間窗口，但也意味著攻擊者同樣在用類似工具。

更值得追問的是：還有多少2017年埋下的代碼邏輯，正在等待被重新審視？Linux內(nèi)核的代碼量已超過3000萬行，其中相當比例來自十年前的提交。當AI開始批量掃描這些歷史債務，我們可能會進入一個漏洞密集披露的新周期。

對于依賴Linux基礎設施的企業(yè)來說，這意味著安全預算的結構性調(diào)整——從被動響應轉向主動狩獵，從邊界防御轉向內(nèi)核級可見性。Copy Fail或許只是序章。

當AI開始批量審計十年前的內(nèi)核代碼，下一個被挖出來的會是什么？