一個隱藏9年的Linux漏洞，讓普通用戶秒變超級管理員

2017年的代碼里埋著一顆雷，現在被挖出來了。不是那種需要碰運氣才能觸發的漏洞，而是穩定、可靠、一打一個準。

「Copy Fail」到底是什么

韓國安全研究員李泰陽（Taeyang Lee）在研究Linux加密子系統時，注意到一個奇怪的現象：內核的頁面緩存機制和數據拷貝流程之間存在一個被忽視的縫隙。這個發現經過AI輔助分析后，演變成了編號CVE-2026-31431的漏洞——安全圈現在叫它「Copy Fail」。

用個接地氣的比喻：學校黑板上的成績表，學生本來碰不到粉筆和板擦。但Copy Fail相當于有人找到了一把備用鑰匙，能神不知鬼不覺把自己的60分改成90分。

技術層面，這個漏洞利用的是兩個看似無害的內核接口：AF_ALG套接字（socket）和splice()系統調用。攻擊者只需要讀取文件的權限，就能在內核頁面緩存中精準覆蓋4個字節。4個字節，剛好夠篡改setuid二進制文件的權限校驗邏輯——比如su命令。

一旦su命令在內存中被改過，普通用戶輸入密碼時，系統會直接放行并授予root權限。整個過程不需要猜測時機，不需要反復嘗試，一次成功。

為什么這個漏洞特別麻煩

Linux歷史上不缺提權漏洞，但Copy Fail有幾個讓人頭疼的特性。

第一，影響面極寬。從4.14到6.19.12版本的內核全部中招，時間跨度從2017年到2025年。這意味著過去9年里發布的幾乎所有主流Linux發行版——Ubuntu、Debian、Fedora、CentOS、RHEL——理論上都存在風險。

第二，利用條件極低。攻擊者不需要本地賬戶的特殊配置，不需要等待特定系統事件，甚至不需要復雜的競爭條件（race condition）。有安全研究者形容，這不像是在賽馬場上賭哪匹馬先到，而是直接走進金庫拿走現金。

第三，隱蔽性強。篡改發生在內存層面，不涉及磁盤文件的物理修改。系統重啟后，惡意改動消失無蹤，取證難度陡增。

Xint Code研究團隊確認了漏洞的技術細節：「這一發現借助了AI輔助，但最初源于李泰陽對Linux加密子系統與頁面緩存數據交互機制的深入觀察。」

企業現在該做什么

補丁已經發布，但打補丁的速度永遠追不上漏洞被武器化的速度。

對于運行關鍵業務的服務器，建議采取三層防御：第一，立即升級到修復版本的內核；第二，在防火墻層面限制對AF_ALG套接字的非必要訪問；第三，啟用內核的完整性度量架構（IMA），對關鍵系統文件進行運行時校驗。

云環境需要額外注意。很多容器鏡像基于未打補丁的Linux版本構建，即使宿主機安全，容器內部仍可能被突破。建議掃描所有基礎鏡像的內核依賴，優先處理面向公網的服務。

個人用戶相對從容。主流桌面發行版的自動更新機制通常能在數天內推送修復。但如果你運行著自建的家用服務器、NAS或者樹莓派集群，現在就該檢查內核版本了。

漏洞背后的設計反思

Copy Fail暴露了一個深層問題：Linux內核的模塊化設計在帶來靈活性的同時，也制造了接口之間的「認知盲區」。AF_ALG和splice()分別由不同子系統維護，它們的交互邊界長期缺乏系統性審計。

AI輔助漏洞挖掘正在成為新常態。Xint Code團隊的工作流程很有代表性——人類研究者提出假設，AI工具進行大規模代碼路徑分析，最終定位到具體缺陷。這種模式正在縮短「漏洞存在」到「漏洞被發現」的時間窗口，但也意味著攻擊者同樣在用類似工具。

更值得追問的是：還有多少2017年埋下的代碼邏輯，正在等待被重新審視？Linux內核的代碼量已超過3000萬行，其中相當比例來自十年前的提交。當AI開始批量掃描這些歷史債務，我們可能會進入一個漏洞密集披露的新周期。

對于依賴Linux基礎設施的企業來說，這意味著安全預算的結構性調整——從被動響應轉向主動狩獵，從邊界防御轉向內核級可見性。Copy Fail或許只是序章。

當AI開始批量審計十年前的內核代碼，下一個被挖出來的會是什么？