AI 找到 Linux 核心九年零日漏洞
AI 工具協助研究員找出 Linux 核心零日漏洞 Copy Fail,這個問題從 2017 年就存在,CVSS 評分 7.8,可能導致 root 權限。
AI 工具協助研究員找出 Linux 核心零日漏洞 Copy Fail,這個問題從 2017 年就存在。
這次不是什麼雲端大事件。是 Linux kernel 裡一個藏了 9 年的本地提權洞。它的編號是 CVE-2026-31431,CVSS 是 7.8。
更麻煩的是,它不是純理論漏洞。研究員說,這個問題可以把一般使用者一路打到 root。對 Linux 管理員來說,這種洞最討厭。因為它通常不是遠端掃描就能看出來。
| Fact | Value |
|---|---|
| Bug nickname | Copy Fail |
| CVE | CVE-2026-31431 |
| Reported | 2026-03-23 |
| CVE assigned | 2026-04-22 |
| Public disclosure | 2026-04-29 |
| Severity | CVSS 7.8 |
Copy Fail 到底在幹嘛
訂閱 AI 趨勢週報
每週精選模型發布、工具應用與深度分析,直送信箱。不定期,不騷擾。
不會寄垃圾信,隨時可取消。
Theori 的研究員找到這個 bug。它藏在 Linux kernel 的 authencesn cryptographic template。白話講,就是加密流程裡一個邏輯判斷出包。
這個 bug 的效果很小,但很髒。它讓本地使用者對可讀檔案的 page cache 做出一次受控的四位元組寫入。四個 byte 聽起來不多,可是 kernel 裡的寫入權限一旦歪掉,後果常常不只一個洞。
研究說,這個問題可能導致受影響系統拿到 root 權限。更扯的是,問題源頭可以追到 2017 年的最佳化改動。也就是說,很多發行版從那時起就可能帶著這顆雷。
- 不需要網路連線
- 不需要 kernel debug 功能
- 不需要先裝好 exploit primitive
- 需要本地帳號與實體接觸
所以它不是那種會自己在網路上亂飛的 worm。它比較像是內網、共用主機、實驗室環境裡的麻煩製造機。你如果給太多人本地登入權限,風險就會上來。
AI 怎麼幫上忙
這次的關鍵不是 AI 自己寫出漏洞。重點是,它幫研究員在大段程式碼裡把怪地方抓出來。研究員 Taeyang Lee 用了 Xint.io 和 Xint Code 做 source analysis,才把這個問題挖出來。
我覺得這點很有意思。AI 在資安裡最實用的地方,常常不是生成攻擊碼,而是幫你讀 code。尤其是 Linux 這種超大碼庫,人工一行一行看,真的會看到懷疑人生。
研究員在 3 月 23 日通報,幾天內就開始修補。4 月 22 日 CVE 發出來,4 月 29 日公開細節。這種節奏算快。至少比很多漏洞拖到外面爆開才處理好太多。
“We found a vulnerability in the Linux kernel that can lead to root privileges,” said Taeyang Lee in Theori’s disclosure.
這句話很直接。也很符合這次事件的重點。AI 沒有取代研究員,但它確實縮短了找洞的時間。對防守方來說,這不是小事。
這次有哪些數字要看
這類文章如果只講故事,容易飄掉。直接看數字比較實在。這個漏洞從 2017 年開始存在,2026 年才被公開處理,中間差了快 9 年。
時間拉這麼長,代表它不是某個新寫的功能出錯。它更像是舊優化、舊假設、舊相容性,一路疊到今天才炸。這也是 kernel 安全最煩的地方。
下面這些數字,管理員應該直接記起來。因為它們會影響你要不要立刻排 patch。
| 項目 | 數值 |
|---|---|
| 漏洞存在時間 | 約 9 年 |
| 最早來源年份 | 2017 |
| 通報日期 | 2026-03-23 |
| CVE 發布日期 | 2026-04-22 |
| 公開日期 | 2026-04-29 |
| 風險分數 | CVSS 7.8 |
再看影響面。這個洞影響的是 Linux 發行版,而且是 2017 年之後出貨的系統。這個範圍不小。你如果在跑伺服器、CI 主機、容器節點,最好別賭。
- 攻擊型態:local privilege escalation
- 結果:可能拿到 root
- 風險分數:CVSS 7.8
- 修補方式:更新到含 a664bf3d603d 的 kernel
跟一般 Linux 管理比起來差在哪
這類本地提權洞,最怕出現在多人共用環境。像是研究室機器、開發團隊共用主機、build server,還有容器宿主機。只要有一個低權限帳號能進去,事情就開始變複雜。
官方修補已經出來了。Debian、Ubuntu、SUSE、Red Hat 這些主流發行版都在跟進。重點不是看新聞,而是看你自己的版本有沒有真的吃到 patch。
如果你管的是容器平台,別以為 container 會幫你擋掉。這種洞打的是 kernel。宿主機沒修,容器照樣有風險。這就是 Linux 世界很現實的一面。
- 共用主機風險最高
- 容器宿主機不能忽略
- 更新 kernel 比猜測有效
- 要確認實際 build 版本
講白了,這種事沒有什麼花招。就是查公告、升 kernel、驗證版本。你如果是負責維運的人,現在最該做的是把資產清單翻出來。
這件事對資安圈代表什麼
這次案例很像一個提醒。AI 在資安裡,現在最有用的地方是 code review 和 pattern spotting。不是神奇地自動抓出所有漏洞,而是幫人縮短搜尋時間。
這也解釋了為什麼老 codebase 會越來越危險。程式碼越舊,補丁越多。每次修一個角落,另一個角落就可能留下假設錯誤。尤其是 kernel 這種等級的專案,很多邏輯都是多年累積。
我自己的看法很簡單。未來一段時間,AI 協助找出的不會只有 Linux kernel 洞。其他長壽系統,像是資料庫、虛擬化層、網路堆疊,也都會慢慢冒出同類型問題。差別只在於誰先找到。
如果你現在還沒更新 Linux kernel,先別管別的。先確認你的主機有沒有包含這次修補。接著,再想想你的環境裡,有沒有哪台機器其實早就該限制本地登入權限了。
下一步該怎麼做
我的建議很直接。先盤點所有 Linux 主機版本。再對照發行版公告,確認是不是已經包含這次修補。最後,檢查共用帳號、CI 主機、容器宿主機,這些地方最容易出事。
如果你是開發者,也別只看新聞標題。這類漏洞會提醒你,AI 工具已經開始進入安全審查流程。問題不是要不要用,而是你要不要把它納入日常 code review。
說到底,Copy Fail 的重點不是它多戲劇化。重點是,它示範了 AI 怎麼幫人從舊程式碼裡挖出真問題。接下來,誰能更快發現、修補、驗證,誰就比較不會被下一個九年洞打到。