连 Mythos 模型都漏掉的死角:人类黑客靠”Bad Epoll”再次证明人工审计的尊严

导语:当所有人以为AI已经把代码审计”扫得干干净净”时,人类黑客再次给出了答案。安全研究人员Jaeyoung Chung在Linux内核epoll子系统中发现了”Bad Epoll”漏洞——就在Anthropic最强AI模型Mythos成功挖掘的第一个漏洞紧邻的位置,藏着第二个同样致命的漏洞。这不仅是2026年上半年度最致命的Linux内核漏洞,更是给当前大热的”AI代码审计包治百病”论调的一记响亮耳光。

Mythos找到了第一个,但漏掉了第二个

2023年4月,Linux内核epoll子系统引入了一条提交(commit),代码只有约2500行。这条提交意外地在epoll中埋下了两个独立的竞态条件——两个都可能导向权限提升的关键漏洞。

第一个漏洞很快被Anthropic的顶级AI模型Mythos发现并报告为CVE-2026-43074。这个成绩本身就足够震撼——内核竞态漏洞以难以发现著称,Mythos证明了前沿AI模型在漏洞挖掘领域的能力。

但故事到这里才刚刚开始。

Mythos检查过同一段代码,以有意义的深度审视过相同的代码路径。然而,就在它紧邻的旁边,藏着第二个漏洞——Bad Epoll(CVE-2026-46242)。这个漏洞被人类研究员Jaeyoung Chung发现并提交给Google kernelCTF,作为0-day漏洞获得了71,337美元以上的奖励。

为什么Mythos会漏掉?

两个原因让Bad Epoll极难被AI发现:

  • 竞态窗口只有6条指令宽:即使面对源代码,也极难想象精确的线程交错时机
  • 几乎不触发KASAN:这个内核主要内存错误检测器在CVE-2026-43074修复后,对Bad Epoll的释放后使用几乎不会报警——没有信号,AI就没有信心报告

这告诉我们:在处理极其复杂的内核多线程逻辑、对象生命周期交织的场景时,人类顶尖黑客的直觉和深度分析能力,依然能击败现有的最强AI。

Bad Epoll:2026年上半年度最致命漏洞

Bad Epoll是一个存在于Linux内核epoll子系统中的竞态条件释放后使用(UAF)漏洞。攻击者可以利用该漏洞将非特权进程提权至root,影响范围涵盖Linux桌面、服务器乃至Android设备。

核心杀伤力:低权限瞬间变”上帝”

普通用户——无论是网站服务器上权限极低的www-data账号,还是Android手机里的一个普通App进程——只要运行Bad Epoll的利用脚本,就能绕过系统所有安全防护,直接夺取系统的最高控制权:Root权限。

更可怕的是稳定性。大多数竞态条件漏洞由于内核运行速度极快,极难稳定触发,往往导致系统直接蓝屏死机(Panic)。但Bad Epoll实现了99%可靠的提权——exploit通过特定技术扩大竞态窗口,并运行永不崩溃的重试循环,这在武器化利用中属于最可怕的级别。

恐怖的波及范围:从云端到你兜里的手机

epoll是Linux内核处理高并发网络和文件I/O的绝对核心组件。只要用Linux,就几乎不可能不用epoll。

云原生与服务器高危:Nginx、Redis、Docker、Kubernetes等几乎所有高性能网络底座都重度依赖epoll。黑客一旦通过Web漏洞(如RCE)进入容器或服务器内部,就能用Bad Epoll瞬间完成”容器逃逸”或”宿主机提权”,控制整台物理机甚至整个集群。

Android生态沦陷:在Google kernelCTF约130个被利用的漏洞中,只有约10个有root Android的潜力——Bad Epoll是其中之一。Android内核源自Linux,底层的事件循环同样依赖epoll。恶意软件可以在不需要用户授权的情况下,在后台悄悄获取Root权限,窃取所有隐私或植入无法卸载的木马。

无kill-switch:Copy Fail等漏洞可以通过卸载易受攻击的模块来中和,但epoll是操作系统的核心功能,网络服务和浏览器都依赖它。唯一修复方式只有打补丁。

攻击原理

竞态条件触发

epoll的两个关闭路径同时运行并发生碰撞。一个释放对象,而另一个仍在向其中写入——这就是释放后使用(UAF)。

exploit使用四个分为两对的epoll对象:一对触发竞态条件,另一对成为受害者。从那里,exploit将8字节的UAF写入转换为文件对象的UAF,并使用跨缓存攻击完全控制文件内容。

利用链

通过这种控制,exploit通过/proc/self/fdinfo获得任意内核内存读取。最后,劫持控制流并执行ROP链以获得root shell。

影响版本与修复

引入时间:58c9b016e128(2023-04-08) 修复时间:a6dc643c6931(2026-04-24)

使用基于v6.4或更高版本内核且尚未回移植修复的Linux发行版可能受影响。基于v6.1的旧版内核不受影响。

当前exploit可靠性

  • lts-6.12.67(LTS):99%可靠
  • cos-121-18867.294.100(COS):98%可靠

Android状态:Pixel 10(内核v6.6+)的完整root exploit正在进行中;Pixel 8及其他v6.1设备不受影响。

时间线

日期事件
2023-04-08漏洞被引入epoll
2026-02-17向security@kernel.org报告漏洞
2026-02-17维护者提出补丁原型,但非正确修复,讨论停滞
2026-04-02Mythos发现的CVE-2026-43074修复进入主线
2026-04-22重新报告Bad Epoll
2026-04-24Bad Epoll修复进入主线

漏洞命名

Bad Epoll遵循”Bad”系列Android root内核漏洞家族——Bad Binder、Bad IO_URING、Bad Spin——Bad Epoll是epoll对应的漏洞。

总结

Bad Epoll是一个影响面覆盖全行业(服务器+移动端)、能稳定实现最高权限夺取、且证明了传统人工审计不可替代性的”教科书级”内核高危漏洞。

当AI模型Mythos在epoll代码中成功揪出第一个漏洞时,所有人都以为这段代码已经被”扫干净了”。但人类研究员用Bad Epoll证明:在处理极其复杂的内核多线程逻辑时,最强的AI也会在死角面前低头。

这不仅是一个技术漏洞,更是对整个安全行业的一次警示——AI是强大的辅助工具,但永远不能完全替代人类顶尖黑客的直觉和深度分析。


出处:https://github.com/J-jaeyoung/bad-epoll

版权声明:本文由华盟网原创发布,保留所有权利。

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容