近期,网络上关于 Linux 内核漏洞的讨论沸沸扬扬,甚至有人在视频评论区质疑发布漏洞相关视频是"故意制造恐慌",并引用了 Linux 创始人 Linus Torvalds 在 5 月 17 日的邮件作为佐证。面对这些质疑,我们有必要拨开迷雾,从技术和事实的角度,全面剖析近期出现的四个重大 Linux 内核漏洞,还原 Linus 邮件背后的真实情况,并探讨在 AI 辅助安全研究的新时代,企业和个人应当如何应对。
一、 Linus 邮件的真实背景:是"制造恐慌"还是"管理危机"?
许多人引用 Linus Torvalds 在 2026 年 5 月 17 日发布 Linux 7.1-rc4 时的邮件,认为他是在淡化漏洞的严重性,甚至认为这些漏洞是无中生有。然而,仔细阅读邮件原文和相关背景,事实并非如此。
Linus 在邮件中确实抱怨了安全邮件列表变得"几乎完全无法管理" [1]。但他抱怨的对象并非漏洞本身,而是大量研究人员使用 AI 工具(如 LLM 辅助的静态分析)发现漏洞后,提交了海量、重复且缺乏实质性修复建议的报告。
Linus 的核心观点可以总结为以下几点:
- AI 发现的漏洞不再是秘密:由于多个研究人员使用相同的 AI 工具,往往会在同一时间发现相同的漏洞。因此,将这些漏洞当作高度机密在私密列表中处理,反而会导致重复劳动,浪费所有人的时间。
- 呼吁提供实质性价值:Linus 强烈建议,如果研究人员使用 AI 发现了漏洞,不应只是做"路过式"的举报(drive-by reporting),而应该深入理解漏洞原理,并附带实际的修复补丁(Patch)。
- AI 是工具,需善用:他并不反对使用 AI,甚至认为 AI 工具很好,但前提是它们能真正提供帮助,而不是造成不必要的痛苦和无意义的"假装工作"(make-believe work)。
为了应对这一现状,Linux 7.1 内核甚至正式引入了由 Willy Tarreau 撰写的新文档,规范了 AI 辅助漏洞报告的标准 [2]。新政策明确要求:AI 发现的漏洞必须视为公开信息;报告必须是纯文本且简洁明了;必须提供经过彻底测试的 PoC(概念验证代码);强烈鼓励提供修复补丁。
由此可见,Linus 的邮件反映的是开源社区在面对 AI 自动化漏洞挖掘时遭遇的管理危机,而非否认漏洞的客观存在。普及漏洞知识并提供临时处理办法,绝非制造恐慌,而是负责任的安全实践。
二、 近期四大 Linux 内核漏洞技术剖析
2.1 Copy Fail(CVE-2026-31431)------"四个字节撬动整台服务器"
漏洞引入时间: 2017年8月,commit 72548b093ee3
根本原因:
Linux内核的加密API(AF_ALG接口)为了提升AEAD(带关联数据的认证加密)操作性能,引入了一个"原地加密"优化:将req->src和req->dst指向同一个合并的散列表(scatterlist)。这本是无害的性能改进------前提是所有AEAD算法都严格遵守"只写入规定范围"这一隐式契约。
但有一个叫 authencesn 的算法打破了这个从未被写进代码的约定。它用于IPsec的扩展序列号(ESN)处理,在解密操作中会将4个字节写入目标缓冲区之外。由于 splice() 系统调用可以将文件页缓存(page cache)中的只读页面送入这个散列表,而此时目标缓冲区紧邻的就是页缓存页面,那4个字节就被写进了本应只读的页缓存------即任意文件在内存中的镜像。
攻击路径(PoC原理):
非特权用户进程
│
├─ 打开 AF_ALG socket,绑定到 authencesn(hmac(sha256),cbc(aes))
│
├─ 通过 splice() 将 /usr/bin/su(setuid二进制)的页缓存页送入加密子系统
│
├─ 触发 authencesn 解密操作 → 4字节越界写入 → /usr/bin/su 的内存镜像被污染
│
├─ 内存中的 su 命令现在包含攻击者注入的代码,磁盘文件完好无损
│
└─ 调用 su → 内核执行被污染的内存版本 → root shell为什么这个漏洞特别危险:
以往的Linux本地提权漏洞(如Dirty Cow、Dirty Pipe)大多依赖竞态条件,需要多次尝试,可能引发系统崩溃。Copy Fail是纯粹的逻辑错误,100%可靠触发,无需竞态,不会崩溃,不留磁盘痕迹(内存修改在重启后消失)。
完整利用代码仅732字节Python脚本,使用标准库,无需编译,无需特殊权限,无需root,无需网络。
影响范围: 2017年至2026年4月间编译的所有Linux内核,包含所有主流发行版。
修复方式: 回滚2017年的原地优化(commit a664bf3d603d),恢复到非原地加密路径。
2.2 Dirty Frag(CVE-2026-43284 / CVE-2026-43500)------"同一模式的第二枪"
漏洞引入时间: ESP部分2017年1月(commit cac2661c53f3);rxrpc部分2023年6月
根本原因:
Copy Fail的核心问题是:内核的加密操作路径可以通过splice()接收来自页缓存的页面,从而获得对只读文件在内存中的写入能力。Dirty Frag在不同子系统中复现了同一攻击面。
IPsec的ESP(封装安全载荷)接收路径和rxrpc协议(用于AFS分布式文件系统)在实现"原地解密快速路径"时,都允许pipe页面通过splice()/sendfile()进入内核socket缓冲区。当内核对这些缓冲区执行原地解密时,非特权进程仍持有对应页面的引用------解密后的明文(攻击者可控)就写入了这些页面,等同于任意写入页缓存。
Dirty Frag由两个独立子漏洞组成,互补彼此的"盲区"------单独使用其中任何一个都不够可靠,链式利用则可以在大多数发行版上立即获得root。
影响范围: ESP部分覆盖2017年至今所有内核;rxrpc部分覆盖2023年至今内核。
2.3 Fragnesia(CVE-2026-46300)------"遗忘的标记"
漏洞引入时间: 随 skb_try_coalesce() 函数改动引入(具体时间待确认)
根本原因:
Linux内核的socket缓冲区(skbuff)在合并页面片段时,函数skb_try_coalesce()没有正确传播SKBFL_SHARED_FRAG标记。这个标记的含义是"这个页面是外部共享的,不能被内核随意修改"。
当标记丢失后,内核"忘记"了某个页面片段是通过外部路径(例如用户空间通过splice注入的页缓存页面)进入的,随后XFRM ESP-in-TCP接收路径对这些页面执行原地AES-GCM解密,将攻击者可控的字节写入不该被写的页缓存区域。
这是对与Dirty Frag相同攻击面的一次独立发现,但根本原因在更底层的skbuff代码中,需要独立的补丁修复。
2.4 ssh-keysign-pwn(CVE-2026-46333)------"六年前就应该修好的"
漏洞引入时间: 至少6年前(2020年 Google 的 Jann Horn 提交同类修复补丁,但未被合并)
根本原因:
这个漏洞完全不同于前三个。它不涉及页缓存、不涉及加密子系统,攻击机制是内核ptrace访问控制中的一个竞态条件。
Linux在关闭一个进程时按固定顺序执行do_exit():先通过exit_mm()释放内存,再通过exit_files()关闭文件描述符。在这两步之间存在一个短暂的窗口:进程没有内存(task->mm == NULL),但文件描述符仍然打开。
内核的__ptrace_may_access()函数在检查是否允许访问时,会检查目标进程是否"可转储"(dumpable)------而mm == NULL会绕过这个检查。攻击者可以在目标进程处于这个短暂窗口时,通过pidfd_getfd(2)系统调用拿到它的文件描述符,访问本不应被访问的root拥有的文件。
实际危害:
利用的目标是具有SUID权限的系统程序。ssh-keysign在正常操作中会打开SSH主机私钥,chage在操作中会读取/etc/shadow。当这些程序退出时,攻击者趁窗口期拿到文件描述符,就能直接读取:
/etc/ssh/ssh_host_*_key(服务器SSH私钥)/etc/shadow(所有用户的密码哈希)
拿到SSH主机私钥意味着可以实施中间人攻击,伪装成该服务器;拿到shadow文件意味着可以离线破解密码。这是一个信息泄露漏洞,不直接获得root,但危害同样严重。
三、 漏洞对比与 AI 时代的安全启示
综合来看,Copy Fail、Dirty Frag 和 Fragnesia 都指向了一个共同的致命弱点:页缓存( Page Cache )写入。这类漏洞之所以危险,是因为它们打破了操作系统对文件完整性的基本假设。当内存中的数据被篡改而磁盘上的数据保持不变时,传统的基于磁盘扫描的安全防御机制将形同虚设。
这些漏洞在短时间内集中爆发,绝非偶然。这标志着网络安全进入了一个新的阶段------AI 驱动的攻防对抗时代。
AI 工具(如大语言模型和高级静态分析器)能够以前所未有的速度扫描内核子系统中复杂的逻辑交互,发现人类研究员可能忽略的边缘案例。这解释了为什么 Linus 会抱怨安全邮件列表被 AI 生成的报告淹没。AI 极大地降低了发现漏洞的门槛,使得漏洞的披露速度远超开发者的修复速度。
四、 未来展望:企业与个人该如何面对?
面对 AI 带来的安全挑战,我们不能掩耳盗铃,更不能将善意的提醒视为"制造恐慌"。相反,我们需要采取更加积极主动的防御策略。
对于企业:
- 加速补丁管理与自动化部署:在 AI 时代,漏洞从发现到被利用的时间窗口正在急剧缩短。企业必须建立自动化的补丁测试和部署流程,确保在官方发布修复程序后,能够在第一时间应用到生产环境。
- 升级威胁检测机制:传统的基于文件哈希的完整性检查已经不足以应对 Copy Fail 这类页缓存篡改攻击。企业需要引入基于行为分析(Behavioral Analysis)和内存扫描(Memory Scanning)的端点检测与响应(EDR)解决方案。
- 强化容器安全:鉴于 Copy Fail 等漏洞具备跨容器逃逸的能力,企业应严格落实容器隔离策略,限制容器的权限(如避免使用特权容器),并监控容器与宿主机内核的交互。
对于个人开发者与普通用户:
- 保持系统更新:这是最基本也是最有效的防御手段。及时更新 Linux 内核和发行版提供的安全补丁,可以抵御绝大多数已知的提权攻击。
- 理性看待安全资讯:面对网络上的漏洞分析和安全警告,应保持客观理性的态度。了解漏洞原理和临时处理办法是提升自身安全意识的途径,而非恐慌的源泉。
- 遵循最小权限原则:在日常使用中,尽量避免以 root 权限运行不必要的服务和应用程序,减少系统被攻破后的潜在损失。
结语:信息透明是安全的基础,不是恐慌的来源
网络安全领域有一个悖论:漏洞存在的时候,沉默不是安全,沉默是让不对称的危险继续扩大。
这四个漏洞在公开之前,已经潜伏了7年到9年(从引入计算)。那些年里,有能力和动机寻找这类漏洞的攻击者,并不因为没有公开报道就放弃了他们的工作。漏洞是否存在,与它是否被报道,是完全独立的两件事。
公开报道漏洞的意义在于:让防御方获得和攻击方同等级别的信息,以便做出知情的防御决策。
Linus Torvalds抱怨的不是漏洞被公开,而是大量重复、低质量的AI生成报告正在使维护者疲于应付。这是内核维护的流程问题,和漏洞信息是否应该传播给用户完全是两回事。
对于将漏洞信息传达给更广泛用户的人来说,这件事有价值,在这次事件里尤其有价值------因为所有的缓解措施都需要人去主动执行,而执行的前提是知道。
不知道,才是最大的风险。
附5月17日Linus原文截图:
References:
1\] The Register. "Linus Torvalds says AI-powered bug hunters have made Linux security mailing list 'almost entirely unmanageable'". [https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made-linux-security-mailing-list-almost-entirely-unmanageable/5241633https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made-linux-security-mailing-list-almost-entirely-unmanageable/5241633](https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made-linux-security-mailing-list-almost-entirely-unmanageable/5241633 "https://www.theregister.com/security/2026/05/18/linus-torvalds-says-ai-powered-bug-hunters-have-made-linux-security-mailing-list-almost-entirely-unmanageable/5241633") \[2\] Phoronix. "Linux Kernel Adds Documentation For What Qualifies As A Security Bug, Responsible AI Use". [https://www.phoronix.com/news/Linux-7.1-Kernel-Docs-AI-Bugshttps://www.phoronix.com/news/Linux-7.1-Kernel-Docs-AI-Bugs](https://www.phoronix.com/news/Linux-7.1-Kernel-Docs-AI-Bugs "https://www.phoronix.com/news/Linux-7.1-Kernel-Docs-AI-Bugs") \[3\] Xint. "Copy Fail: 732 Bytes to Root on Every Major Linux Distribution". [https://xint.io/blog/copy-fail-linux-distributionshttps://xint.io/blog/copy-fail-linux-distributions](https://xint.io/blog/copy-fail-linux-distributions "https://xint.io/blog/copy-fail-linux-distributions") \[4\] Microsoft Security Blog. "Active attack: Dirty Frag Linux vulnerability expands post-compromise risk". [https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/](https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/ "https://www.microsoft.com/en-us/security/blog/2026/05/08/active-attack-dirty-frag-linux-vulnerability-expands-post-compromise-risk/") \[5\] Huntress. "Panic at the Distro". [https://www.huntress.com/blog/linux-kernel-flaws-copyfail-dirty-frag-fragnesiahttps://www.huntress.com/blog/linux-kernel-flaws-copyfail-dirty-frag-fragnesia](https://www.huntress.com/blog/linux-kernel-flaws-copyfail-dirty-frag-fragnesia "https://www.huntress.com/blog/linux-kernel-flaws-copyfail-dirty-frag-fragnesia") \[6\] Simbian AI. "AI Finds Critical Zero-Day in Linux Kernel: o3's Game-Changing Discovery". [https://simbian.ai/blog/o3-zero-day-vulnerabilityhttps://simbian.ai/blog/o3-zero-day-vulnerability](https://simbian.ai/blog/o3-zero-day-vulnerability "https://simbian.ai/blog/o3-zero-day-vulnerability")