2017年的代碼里埋著一顆雷，現(xiàn)在被挖出來了。不是那種需要碰運(yùn)氣才能觸發(fā)的漏洞，而是穩(wěn)定、可靠、一打一個(gè)準(zhǔn)。

「Copy Fail」到底是什么

韓國(guó)安全研究員李泰陽（Taeyang Lee）在研究Linux加密子系統(tǒng)時(shí)，注意到一個(gè)奇怪的現(xiàn)象：內(nèi)核的頁(yè)面緩存機(jī)制和數(shù)據(jù)拷貝流程之間存在一個(gè)被忽視的縫隙。這個(gè)發(fā)現(xiàn)經(jīng)過AI輔助分析后，演變成了編號(hào)CVE-2026-31431的漏洞——安全圈現(xiàn)在叫它「Copy Fail」。

用個(gè)接地氣的比喻：學(xué)校黑板上的成績(jī)表，學(xué)生本來碰不到粉筆和板擦。但Copy Fail相當(dāng)于有人找到了一把備用鑰匙，能神不知鬼不覺把自己的60分改成90分。

技術(shù)層面，這個(gè)漏洞利用的是兩個(gè)看似無害的內(nèi)核接口：AF_ALG套接字（socket）和splice()系統(tǒng)調(diào)用。攻擊者只需要讀取文件的權(quán)限，就能在內(nèi)核頁(yè)面緩存中精準(zhǔn)覆蓋4個(gè)字節(jié)。4個(gè)字節(jié)，剛好夠篡改setuid二進(jìn)制文件的權(quán)限校驗(yàn)邏輯——比如su命令。

一旦su命令在內(nèi)存中被改過，普通用戶輸入密碼時(shí)，系統(tǒng)會(huì)直接放行并授予root權(quán)限。整個(gè)過程不需要猜測(cè)時(shí)機(jī)，不需要反復(fù)嘗試，一次成功。

為什么這個(gè)漏洞特別麻煩

Linux歷史上不缺提權(quán)漏洞，但Copy Fail有幾個(gè)讓人頭疼的特性。

第一，影響面極寬。從4.14到6.19.12版本的內(nèi)核全部中招，時(shí)間跨度從2017年到2025年。這意味著過去9年里發(fā)布的幾乎所有主流Linux發(fā)行版——Ubuntu、Debian、Fedora、CentOS、RHEL——理論上都存在風(fēng)險(xiǎn)。

第二，利用條件極低。攻擊者不需要本地賬戶的特殊配置，不需要等待特定系統(tǒng)事件，甚至不需要復(fù)雜的競(jìng)爭(zhēng)條件（race condition）。有安全研究者形容，這不像是在賽馬場(chǎng)上賭哪匹馬先到，而是直接走進(jìn)金庫(kù)拿走現(xiàn)金。

第三，隱蔽性強(qiáng)。篡改發(fā)生在內(nèi)存層面，不涉及磁盤文件的物理修改。系統(tǒng)重啟后，惡意改動(dòng)消失無蹤，取證難度陡增。

Xint Code研究團(tuán)隊(duì)確認(rèn)了漏洞的技術(shù)細(xì)節(jié)：「這一發(fā)現(xiàn)借助了AI輔助，但最初源于李泰陽對(duì)Linux加密子系統(tǒng)與頁(yè)面緩存數(shù)據(jù)交互機(jī)制的深入觀察。」

企業(yè)現(xiàn)在該做什么

補(bǔ)丁已經(jīng)發(fā)布，但打補(bǔ)丁的速度永遠(yuǎn)追不上漏洞被武器化的速度。

對(duì)于運(yùn)行關(guān)鍵業(yè)務(wù)的服務(wù)器，建議采取三層防御：第一，立即升級(jí)到修復(fù)版本的內(nèi)核；第二，在防火墻層面限制對(duì)AF_ALG套接字的非必要訪問；第三，啟用內(nèi)核的完整性度量架構(gòu)（IMA），對(duì)關(guān)鍵系統(tǒng)文件進(jìn)行運(yùn)行時(shí)校驗(yàn)。

云環(huán)境需要額外注意。很多容器鏡像基于未打補(bǔ)丁的Linux版本構(gòu)建，即使宿主機(jī)安全，容器內(nèi)部仍可能被突破。建議掃描所有基礎(chǔ)鏡像的內(nèi)核依賴，優(yōu)先處理面向公網(wǎng)的服務(wù)。

個(gè)人用戶相對(duì)從容。主流桌面發(fā)行版的自動(dòng)更新機(jī)制通常能在數(shù)天內(nèi)推送修復(fù)。但如果你運(yùn)行著自建的家用服務(wù)器、NAS或者樹莓派集群，現(xiàn)在就該檢查內(nèi)核版本了。

漏洞背后的設(shè)計(jì)反思

Copy Fail暴露了一個(gè)深層問題：Linux內(nèi)核的模塊化設(shè)計(jì)在帶來靈活性的同時(shí)，也制造了接口之間的「認(rèn)知盲區(qū)」。AF_ALG和splice()分別由不同子系統(tǒng)維護(hù)，它們的交互邊界長(zhǎng)期缺乏系統(tǒng)性審計(jì)。

AI輔助漏洞挖掘正在成為新常態(tài)。Xint Code團(tuán)隊(duì)的工作流程很有代表性——人類研究者提出假設(shè)，AI工具進(jìn)行大規(guī)模代碼路徑分析，最終定位到具體缺陷。這種模式正在縮短「漏洞存在」到「漏洞被發(fā)現(xiàn)」的時(shí)間窗口，但也意味著攻擊者同樣在用類似工具。

更值得追問的是：還有多少2017年埋下的代碼邏輯，正在等待被重新審視？Linux內(nèi)核的代碼量已超過3000萬行，其中相當(dāng)比例來自十年前的提交。當(dāng)AI開始批量掃描這些歷史債務(wù)，我們可能會(huì)進(jìn)入一個(gè)漏洞密集披露的新周期。

對(duì)于依賴Linux基礎(chǔ)設(shè)施的企業(yè)來說，這意味著安全預(yù)算的結(jié)構(gòu)性調(diào)整——從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)狩獵，從邊界防御轉(zhuǎn)向內(nèi)核級(jí)可見性。Copy Fail或許只是序章。

當(dāng)AI開始批量審計(jì)十年前的內(nèi)核代碼，下一個(gè)被挖出來的會(huì)是什么？