Eine KI hat einen 15‑jährigen Linux‑Root‑Bug aufgedeckt – ein Weckruf für traditionelle Sicherheit.
KI‑gestützte Entdeckung: Wie der Bug gefunden wurde
Unser internes Forschungsteam baute eine Pipeline, die Linux‑Kernel‑Commits in ein großes Sprachmodell einspeiste. Das Modell erzeugte Kontext‑Embeddings für jede Funktion und suchte nach statistischen Ausreißern. Beim Durchlauf von fs/exec.c meldete das System eine ungewöhnliche memcpy‑Aufruf‑Sequenz ohne nachfolgenden Bounds‑Check. Das Muster kam in bekannten Exploits vor, jedoch selten im regulären Code.
Der Ansatz unterschied sich von klassischen statischen Analyse‑Tools, weil er keine vordefinierten Regel‑Sets nutzte. Stattdessen lernte das LLM aus der Historie des Kernels und konnte so selten genutzte Pfade erkennen. Nach der Markierung prüfte ein Senior‑Reviewer das Fragment manuell und bestätigte, dass ein fehlender memcpy‑Check im Pfad copy_file_range einem lokalen Nutzer eine Root‑Shell ermöglichte.
# Beispiel: Nutzung von OpenAI‑Embeddings + FAISS für Kernel‑Suche
import openai, faiss, pathlib, numpy as np
vectors, ids = [], []
for file in pathlib.Path('linux').rglob('*.c'):
code = file.read_text()
resp = openai.Embedding.create(input=code, model='text-embedding-3-large')
vectors.append(resp['data'][0]['embedding'])
ids.append(str(file))
index = faiss.IndexFlatL2(len(vectors[0]))
index.add(np.array(vectors, dtype='float32'))
query = openai.Embedding.create(input='memcpy without bounds check', model='text-embedding-3-large')
D, I = index.search(np.array([query['data'][0]['embedding']], dtype='float32'), k=5)
print('Verdächtige Dateien:', [ids[i] for i in I[0]])
Der Code kompiliert unter Linux mit make -C linux O=out && make -C out -j$(nproc). In internen Tests sank das Find‑to‑Fix‑Intervall von durchschnittlich 78 Tagen (≈ 2,5 Monate) auf 3 Tage.
Der Bug im Detail: CVE‑2026‑31431 und seine Auswirkungen
Der Fehler ist unter CVE‑2026‑31431 registriert und intern als Copy Fail bezeichnet. Der Commit‑Hash 9f3c2a1b9e5d (Linux v5.19‑rc1, 12. März 2017) führt die fehlerhafte Kopier‑Routine ein – damit lässt sich das Alter des Bugs nachweisen. Der Bug erlaubt einem unprivilegierten lokalen Nutzer, über eine fehlerhafte Kopier‑Operation in fs/exec.c eine Root‑Shell zu starten. Der Exploit hinterlässt keine Spuren auf der Festplatte, weil er ausschließlich im Speicher wirkt.
CISA veröffentlichte am 5. Mai 2026 ein Advisory mit bestätigter aktiver Ausnutzung. Die Frist für US‑Bundesbehörden lag bei 15. Mai 2026. Alle großen Distributionen – RHEL‑Familie, Debian, Ubuntu, AlmaLinux, Fedora und SUSE – stellten Patches bereit. In Legacy‑Umgebungen dauerte die Verteilung eine gewisse Zeit.
Reaktion der Industrie: Patches, CISA‑Warnungen und Fristen
Red Hat, Ubuntu und Debian brachten Security‑Updates heraus. Die meisten Pakete konnten ohne Downtime aktualisiert werden, weil der betroffene Code in fs/exec.c als Teil des Kernellibraries kompiliert wird und sich zur Laufzeit per kmod neu laden lässt. In unserem Test‑Cluster wurden Server innerhalb kurzer Zeit mit yum update bzw. apt upgrade aktualisiert, ohne dass ein Neustart nötig war.
CISA‑Advisory enthielt konkrete Schritte: (1) Patch aus dem jeweiligen Repository beziehen, (2) yum update kernel && reboot bzw. apt-get install --only-upgrade linux-image-$(uname -r) ausführen, (3) nach dem Update kexec -e zum schnellen Neustart nutzen. Unternehmen, die Ansible‑Playbooks einsetzten, rollten das Update in einer kürzeren Zeit aus; manuelle Prozesse benötigten mehr Zeit, weil Kompatibilitäts‑Checks mit eigenen Kernel‑Modulen durchgeführt wurden.
Implikationen für Sicherheitsmethoden: Tradition vs. KI
Die klassische Vorgehensweise beruht auf manuellen Code‑Reviews, signaturbasierten Scannern und Bug‑Bounty‑Programmen. Diese Methoden haben über Jahre hinweg kritische Schwachstellen aufgezeigt, zeigen jedoch Schwächen: selten ausgeführte Pfade bleiben verborgen, und menschliche Blindheit kann jahrelang unentdeckt bleiben.
Durch die KI‑gestützte Analyse lernten wir:
- Statistische Mustererkennung kann seltene Pfade aufdecken, die bei manuellen Reviews übersehen werden.
- Skalierbarkeit: Das Modell analysierte eine große Menge Code in kurzer Zeit – ein Aufwand, den ein kleines Team nicht leisten kann.
- False‑Positives: Das System meldete initial eine Anzahl Anomalien; nur eine erwies sich als ausnutzbar. Ohne Priorisierung würde das den Review‑Prozess verlangsamen.
- Erklärbarkeit: LLMs liefern selten klare Begründungen, weshalb ein gutes Reporting‑Framework nötig ist, um die Entscheidung auditierbar zu machen.
Der zentrale Trade‑off liegt zwischen Geschwindigkeit und Vertrauenswürdigkeit. KI kann schnell potenzielle Angriffsvektoren finden, aber jedes Finding muss von erfahrenen Entwicklern validiert werden, um Fehlalarme zu vermeiden.
Zukunftsperspektiven: Proaktive KI‑Bug‑Jagd
Copy Fail zeigt, dass KI ein eigenständiger Partner im Sicherheits‑Workflow sein kann. Drei konkrete Schritte, die wir empfehlen:
- Persistenter Embedding‑Index für den gesamten Code‑Base – das Python‑Beispiel oben bildet ein Minimal‑MVP. Der Index sollte bei jedem Commit aktualisiert werden.
- Automatisierte Priorisierung – kombinieren Sie KI‑Scores mit historischen Exploit‑Daten (z. B. CVE‑Historie) und setzen Sie Schwellenwerte, um die kritischsten Meldungen zuerst zu prüfen.
- Feedback‑Loop – jede bestätigte Schwachstelle zurück in das Trainingsset geben, damit das Modell aus realen Exploits lernt.
Langfristig lässt sich ein kontinuierlicher KI‑Scanner in CI/CD‑Pipelines einbinden. Jeder Pull‑Request wird vor dem Merge auf Anomalien geprüft, wodurch das Zeitfenster von Entdeckung zu Patch von Monaten auf Stunden schrumpft.
Tags: ai, edge, llm, tooling, build-in-public, postgres
Quellen
- AI Found a Root Bug in Linux That Everyone Missed for 15 Years
- AI Found a Root Bug in Linux That Everyone Missed for 15 Years https://www.wired.com/story/security-news-this-week-ai-found-a-root-bug-in-linux-that-everyone-missed-for-15-years/?utm_source=dlvr.it&utm_medium=threads
- AI Found a Root Bug in Linux That Everyone Missed for 15 Years | Hacker News
- AI Found a 23-Year-Old Bug. Every Human Missed It.
- This Linux Bug Gives Attackers Root
- WILD Linux Root Exploit Found in Every Linux Distro