安全公司 Theori 披露了一个 Linux 内核高危漏洞:Copy Fail,编号 CVE-2026-31431。
它最容易被误读的地方,是把“本地提权”听成“远程打穿”。不是这样。按照目前公开信息,攻击者需要先能以普通用户身份在系统上运行代码,然后才可能借漏洞提升到管理员权限。
但这并不轻。真正让运维人员头疼的是两点:Theori 称利用脚本跨发行版工作,不需要 per-distro offsets、版本检查或重新编译;同时,一些靠磁盘校验和比对的监控工具,可能看不到异常。
这类漏洞最怕的不是声势大,而是顺手。
Copy Fail 是什么:本地提权,影响面很宽
Copy Fail 的已知边界要先钉住。
Theori 称,几乎所有 2017 年以来发布的 Linux 发行版都可能受影响。本地普通用户可利用该漏洞提升至管理员权限。主线 Linux 内核已在 4 月 1 日加入补丁,Arch Linux、Red Hat Fedora 等发行版也已发布补丁或缓解措施。
注意这里的限定词:是“几乎所有 2017 年以来发布的 Linux 发行版”,不是所有 Linux 系统;是本地普通用户提权,不是远程无交互入侵。
| 关键信息 | 当前已知情况 | 对运维的含义 |
|---|---|---|
| 漏洞名称 | Copy Fail | 查公告时不要只搜内核版本,也要搜漏洞名 |
| 漏洞编号 | CVE-2026-31431 | 用于资产盘点、补丁追踪和风险登记 |
| 影响对象 | 几乎所有 2017 年以来发布的 Linux 发行版 | 老旧服务器、长期未重启系统要优先看 |
| 利用效果 | 本地普通用户提权 | 多用户环境、共享执行环境风险更高 |
| 补丁状态 | 主线 Linux 内核 4 月 1 日已加入补丁;Arch Linux、Red Hat Fedora 等已发布补丁或缓解措施 | 还要确认发行版是否完成回移植和上线 |
对 Linux 系统管理员来说,动作不复杂,但要快。
先确认发行版安全公告里是否覆盖 CVE-2026-31431。再看实际运行内核,而不是只看软件源里有没有新包。云主机、容器宿主机、CI Runner、共享开发机,优先级应排在普通单人桌面前面。
对安全运维人员来说,重点不是写 PoC 复现。重点是把“普通用户权限已经被拿到”的场景重新过一遍。弱口令、钓鱼、供应链脚本、CI 任务污染,都可能把 Copy Fail 变成第二跳。
为什么危险:攻击通用,监控还可能失明
Theori 对 Copy Fail 的描述里,最刺眼的是“通用”。
很多 Linux 内核漏洞并不好直接搬运。内核版本、发行版编译选项、地址布局、运行环境,都可能影响利用稳定性。攻击者往往要做适配。
Copy Fail 如果确如披露所说,可用同一个 Python 脚本跨发行版工作,而且不需要 per-distro offsets、版本检查或重新编译,那门槛就低了一截。
这不是说所有系统都会马上被打。公开信息并没有给出已大规模利用的证据,也不能把它写成已经爆发的入侵潮。
更现实的判断是:一旦攻击者已经拿到普通用户权限,Copy Fail 可能让提权这一步更省事。
另一个麻烦点在可观测性。
DevOps 工程师 Jorijn Schrijvershof 的解释提到,Copy Fail 涉及页缓存被篡改,但相关页面不会被标记为 dirty,内核写回机制也不会把修改后的字节刷回磁盘。也就是说,异常发生在内存中的页缓存层,不是直接改写磁盘文件。
这会影响一类常见防守手段:文件完整性监控。
AIDE、Tripwire、OSSEC 这类工具如果主要依赖磁盘校验和比对,看到的磁盘文件仍可能是正常的。它们不是“没用”,而是在这个场景里尺子不够长。
这对值班团队很具体:不能只等文件校验告警。更应盯住异常提权、可疑本地执行、异常进程链、内核补丁状态,以及高风险机器上的普通账号活动。
眼见未必为实,这句话在这里不是修辞,是运维约束。
AI 的角色:不是替人发现漏洞,而是加快找线索
Copy Fail 还有一层值得看:它是 AI 辅助安全研究进入真实流程的案例。
Theori 称,研究人员使用 Xint Code 辅助扫描 Linux crypto 子系统,并在约一小时内识别出多个问题。公开描述中,Taeyang Lee 提出了检查方向:关注从用户态系统调用可达的代码路径,以及 splice() 可能把只读文件的页缓存引用交给 crypto TX scatterlists 的情形。
这里不能写成“AI 独立发现漏洞”。
更准确的说法是:研究人员提出方向,AI 工具扩大搜索面,再由人判断路径是否可达、问题是否成立、风险是否值得披露。
这会改变攻防两边的节奏。
对安全研究人员来说,AI 更像放大镜,不是裁判。它能帮人更快扫过大代码库,但不能替代内核语义、威胁建模和漏洞验证。
对企业防守方来说,压力在补丁治理。过去可以拖到月度维护窗口的问题,现在可能等不到那一天。尤其是共享主机、CI/CD Runner、开发测试机、容器宿主机这几类机器,普通用户权限本来就不稀缺,补丁延后就是把第二跳留给别人。
接下来最该看的不是热闹,而是三个硬变量:
- 发行版是否把主线补丁完整回移植到当前支持内核;
- 云厂商镜像和托管运行环境是否已经更新;
- 安全厂商能否给出不依赖磁盘校验和的检测办法。
目前还看不清的是,公开披露后是否会出现可规模化的实际利用。没有证据前,不必把它写成灾难;但已经有补丁和缓解措施时,也不该把它当普通内核小 bug。