AI漏洞猎手发现潜伏15年的Linux内核Root漏洞,任意用户可获完全控制权

一个人工智能驱动的漏洞 hunting 平台发现了一个潜伏在Linux内核中长达15年的漏洞,任何无特权用户都能在数秒内将权限提升至root,这标志着AI在漏洞发现领域的应用又迈出了重要一步。

该漏洞被追踪编号为CVE-2026-43499,命名为GhostLock,是内核优先级继承futex代码中的一个释放后使用(use-after-free)漏洞,自2011年以来一直存在。其CVSS评分为7.8(高危)。Nebula Security的研究人员使用该公司的VEGA AI平台发现了这一漏洞,该平台系统性地分析了那些人类审查员很少重新审视的旧内核代码。

「没有人注意到。然后一个AI漏洞 hunting 工具开始搜寻,现在任何已登录用户都能在一台未修补的机器上在约五秒钟内变成root用户,」Sameed Khan为Secure.com News报道。

Nebula团队构建了一个可靠性达97%的可工作利用程序,并证明该漏洞还可用于逃逸容器隔离,这对于依赖容器边界保障安全的云平台、多租户环境和CI/CD运行器来说是一个关键发现。谷歌通过其kernelCTF漏洞奖励计划向研究人员支付了92,337美元。

可工作的利用代码已经公开,但尚未有活跃的野外滥用报告。

GhostLock的严重性通过一个名为IonStack的已证明攻击链被放大,该攻击链将内核漏洞与一个独立的Firefox漏洞(CVE-2026-10702)相结合。在该场景中,受害者只需打开一个恶意链接:浏览器利用程序在Firefox的沙箱内提供初始代码执行,然后GhostLock将会话提升至完全root控制。研究人员证明了该攻击链能在Android Firefox上起作用。

这一发现是在另一个由AI发现的Linux权限提升漏洞Bad Epoll(CVE-2026-46242)在相关旧内核代码中被披露数天后出现的。安全研究人员预计,随着AI驱动的分析工具系统性地梳理数十年的遗留内核代码,这一模式将持续下去。

缓解措施与补丁

GhostLock影响2011年之后的所有Linux内核。补丁可通过主流发行渠道获取,但管理员应验证其特定发行版的修复程序。早期补丁在某些构建中引入了单独的内核崩溃。

应优先修补的系统包括:

  • 多租户云服务器和容器主机,其中容器逃逸向量构成最大风险
  • 共享开发和CI/CD基础设施
  • 任何无特权本地用户拥有帐户的系统

RANDOMIZE_KSTACK_OFFSET和STATIC_USERMODE_HELPER等内核加固功能可使利用更加困难,但并不能消除根本漏洞。

GhostLock的披露凸显了网络安全领域的一个更广泛转变:AI工具正在使审计大量人类审查员长期忽视的遗留基础设施代码成为可能。人类团队花了15年才忽略的东西,现在AI可以在几小时内发现。

来源:GhostLock Flaw Gives Any Linux User Root Access(Secure.com News,2026年7月8日);AI Found a Root Bug in Linux That Everyone Missed for 15 Years(Wired,2026年7月11日)

婷 翻译

Scroll to Top