谁能想到,天天依赖、号称最稳的Linux内核,藏了个潜伏9年的致命漏洞,仅凭732字节的Python脚本,就能一键拿下系统最高root权限,Ubuntu、RHEL、SUSE这些主流发行版全中招,堪称Linux安全圈的“王炸级翻车现场”!
4月29日,科技媒体cyberkendra曝光了这枚高危漏洞,代号Copy Fail,CVE编号CVE-2026-31431,简单说就是Linux内核的一个低级逻辑bug,却捅破了整个开源生态的安全防线。
熟悉Linux安全的朋友都知道,以往的内核提权漏洞全是“麻烦精”:要么需要复杂的竞态条件、要么得严格匹配内核版本、还要编译专用攻击载荷,稍有差池就会失败,门槛高到普通黑客都望而却步。
但Copy Fail直接颠覆了所有规则,它是一个纯直线逻辑缺陷,没有任何前置条件,脚本一跑、百发百中,这波操作直接让安全专家集体傻眼。
深究漏洞根源,堪称“蝴蝶效应”的完美诠释:2017年开发者为了优化代码,对AF_ALG加密接口做了一处小修改,谁也没想到,这处优化和splice()系统调用、内核页缓存机制撞了车,形成致命连锁反应。
攻击者能借着这个漏洞,把恶意数据偷偷写入内核页缓存,直接篡改 /usr/bin/su 这类系统核心可信文件。
更离谱的是,文件磁盘本体毫发无损,常规杀毒、校验工具完全检测不到,内核却会直接读取内存里的恶意版本,轻松完成提权,全程神不知鬼不觉。
对比Linux历史上两大“名场面”漏洞,Copy Fail更是全方位碾压:
早年的Dirty Cow(脏牛)依赖复杂竞态条件,成功率忽高忽低;后来的Dirty Pipe(脏管道)门槛降低,但仍有版本限制。
而Copy Fail利用更简单、稳定性拉满、成功率100%,研究人员在Ubuntu、Amazon Linux、RHEL、SUSE四大主流发行版,以及Linux 6.12、6.17、6.18多个版本上实测,每次都能稳稳拿到root shell,甚至连WSL2子系统都未能幸免。
最让云原生运维崩溃的是,这个漏洞自带“容器逃逸”buff。
Linux页缓存会在容器边界间共享,一旦某个容器、Pod被攻陷,攻击者就能篡改宿主机缓存文件,从容器内部突破到服务器主机,直接威胁云平台、多租户架构的安全,对于依赖Linux的云厂商、企业服务器来说,堪称定时炸弹。
更具时代感的是,这个9年漏洞的发现,是人类智慧+AI工具的完美结合:
研究员Taeyang Lee锁定攻击面后,用AI审计工具Xint Code扫描内核crypto子系统,仅1小时就精准定位漏洞,效率远超传统人工审计,也预示着未来安全攻防的主战场,已经开始被AI改写。
目前Linux官方已经放出修复补丁(提交号a664bf3d603d),核心就是回退2017年那处引发灾难的优化代码。
如果暂时无法升级内核,运维人员也能临时应急:禁用algif_aead内核模块,或配置seccomp策略拦截AF_ALG套接字创建,就能有效规避风险。
从脏牛、脏管道到如今的Copy Fail,Linux内核频频爆出高危漏洞,也给所有开发者、运维人员敲响警钟:看似无伤大雅的代码优化,可能埋下潜伏数年的致命隐患;开源系统并非绝对安全,再成熟的生态,也离不开持续的安全审计。
网络安全的战场上,一次小小的疏忽,就可能酿成无法挽回的灾难。