9年潜伏的Linux漏洞：732字节脚本如何攻破主流系统

一个不到1KB的Python脚本，正在让全球Linux管理员重新评估"稳定"二字的含义。

漏洞本质：直线逻辑的胜利

传统Linux提权漏洞像一场精密手术——需要竞态条件、特定内核版本、预编译的有效载荷。Copy Fail（CVE-2026-31431）彻底打破了这套规则。

IT之家援引cyberkendra报道，该漏洞的根源是三个技术点的交汇：AF_ALG加密接口、splice()系统调用，以及2017年引入的一项代码优化。三者叠加产生了一个"简单的直线逻辑缺陷"，攻击者能将恶意数据注入内核页缓存，直接篡改/usr/bin/su等可信二进制文件。

研究人员用732字节Python脚本，在Ubuntu、Amazon Linux、RHEL、SUSE四个主流发行版上测试，Linux 6.12、6.17、6.18全部中招，每次都能拿到root shell。

正方：云原生时代的"完美风暴"

支持"这是近年最严重内核漏洞"的论据很扎实。

影响跨度惊人：2017年至补丁发布前的所有内核版本。Dirty Cow和Dirty Pipe曾让安全圈头疼，但Copy Fail的利用稳定性更高、步骤更简单——不需要复杂的内存竞争，不需要反复尝试。

容器逃逸是另一张底牌。Linux页缓存在容器边界间共享，这意味着一个被感染的Pod能直接篡改宿主机缓存文件。多租户云环境、Kubernetes集群的隔离假设，在这个机制面前出现裂缝。

发现效率也令人警觉。研究员Taeyang Lee先用人类洞察锁定攻击面，再调用AI审计工具Xint Code扫描crypto/子系统，1小时定位漏洞。人机协作的漏洞挖掘速度，正在改写安全研究的成本公式。

反方：修复路径清晰，恐慌过度

另一派观点认为风险可控。

补丁已发布（提交号a664bf3d603d），方案直接回退2017年的优化代码。无法立即更新的系统，有两条缓解路径：禁用algif_aead内核模块，或通过seccomp策略阻断AF_ALG套接字创建。两者都不需要重构系统架构。

漏洞利用仍需本地访问权限。远程直接利用的链条尚未被证实，这意味着攻击者需要先突破外层防线——SSH密钥泄露、Web漏洞、供应链污染等前置环节。

2017年的优化代码存活9年才被触发，也说明该代码路径的暴露面相对有限。不是每个系统都高频调用AF_ALG+splice的组合。

判断：基础设施的"隐性债务"浮出水面

Copy Fail的真正警示不在技术细节，而在时间维度。

2017年的性能优化，在2026年变成攻击向量。9年间，这段代码经历了无数次内核发布、被部署到数百万台服务器，却无人质疑其安全假设。这不是个案——Linux内核的加速迭代与审计资源的错配，是结构性问题。

AI辅助审计将发现周期压缩到1小时，这本身是双刃剑。防御方获得新工具，攻击方同样会采用。当漏洞挖掘进入"人机竞赛"阶段，内核代码的历史包袱会成为高价值靶标。

容器逃逸的演示尤其值得产品人关注：云原生的隔离抽象，底层仍依赖共享内核机制。用户在PaaS层购买的"边界"，在缓存层面可能是透明的。这种架构层面的认知 gap，是安全产品的设计空间。

补丁回退而非重构的修复方式，也暴露了内核维护的保守性——性能优化一旦进入主线，回滚成本极高。未来的内核开发，可能需要在CI流程中嵌入更严格的跨版本影响分析。