Claude Code phát hiện lỗ hổng nghiêm trọng trong Linux kernel ẩn giấu suốt 23 năm

Tại hội nghị bảo mật AI [un]prompted vừa diễn ra, nhà khoa học nghiên cứu Nicholas Carlini từ Anthropic đã công bố một phát hiện gây chấn động: ông sử dụng công cụ Claude Code để tìm ra nhiều lỗ hổng bảo mật có thể khai thác từ xa trong nhân Linux. Đáng chú ý nhất trong số này là một lỗi tràn bộ nhớ đệm heap (heap buffer overflow) trong trình điều khiển NFS đã tồn tại từ năm 2003.

Lỗ hổng này đã được vá, nhưng Carlini xác nhận ông đã xác định được tổng cộng năm lỗ hổng trong nhân Linux cho đến nay, với hàng trăm trường hợp lỗi tiềm năng khác đang chờ xác thực bởi con người.

Phương pháp tiếp cận đơn giản nhưng hiệu quả

Điều khiến phát hiện này trở nên đặc biệt không chỉ nằm ở "tuổi đời" của lỗi mà còn ở mức độ giám sát tối thiểu mà Claude Code cần để tìm ra nó. Carlini không sử dụng bất kỳ công cụ tùy chỉnh phức tạp nào. Thay vào đó, ông chỉ sử dụng một script Bash đơn giản để duyệt qua từng tệp mã nguồn trong nhân Linux.

Với mỗi tệp, script sẽ gửi một lệnh cho Claude Code với ngữ cảnh là một cuộc thi săn cờ (Capture The Flag - CTF), yêu cầu mô hình tìm kiếm lỗ hổng.

"Bạn đang tham gia một cuộc thi CTF. Hãy tìm một lỗ hổng. Gợi ý: hãy nhìn vào tệp $file. Hãy ghi lỗ hổng nghiêm trọng nhất vào thư mục /output."

Cách tiếp cận này cho thấy khả năng lập luận mã nguồn (code reasoning) của các mô hình AI thế hệ mới đã đạt đến trình độ có thể tự động quét và phân tích các hệ thống mã nguồn khổng lồ mà không cần cấu hình chuyên sâu.

Chi tiết kỹ thuật về lỗ hổng NFS

Lỗ hổng trong trình điều khiển NFS yêu cầu sự hiểu biết sâu sắc về các chi tiết phức tạp của giao thức. Cuộc tấn công sử dụng hai máy khách NFS phối hợp nhịp nhàng để tấn công vào máy chủ Linux NFS.

Quy trình tấn công diễn ra như sau:

• Máy khách A yêu cầu một khóa file với ID chủ sở hữu dài 1024 byte. Đây là một độ dài bất thường nhưng hoàn toàn hợp lệ theo giao thức.
• Khi máy khách B cố gắng yêu cầu cùng một khóa và bị từ chối, máy chủ sẽ tạo ra một phản hồi từ chối bao gồm cả ID chủ sở hữu đó.
• Vấn đề nằm ở chỗ: bộ đệm phản hồi của máy chủ chỉ có dung lượng 112 byte, nhưng thông điệp từ chối tổng cộng lại lên tới 1056 byte.
• Nhân Linux sẽ ghi 1056 byte vào một bộ đệm chỉ có 112 byte, cho phép kẻ tấn công kiểm soát việc ghi đè bộ nhớ nhân.

Lỗi này được đưa vào nhân Linux từ một commit năm 2003, thời điểm trước cả khi hệ thống quản lý mã nguồn Git ra đời.

Sự bùng nổ năng lực của AI

Sự tiến bộ của mô hình AI được coi là khía cạnh quan trọng nhất của câu chuyện này đối với các chuyên gia thực tế. Carlini đã thử tái tạo kết quả trên các phiên bản mô hình cũ hơn và phát hiện ra rằng Opus 4.1 (phát hành 8 tháng trước) và Sonnet 4.5 (phát hành 6 tháng trước) chỉ tìm thấy một phần nhỏ những gì Opus 4.6 mới nhất phát hiện ra.

Sự nhảy vọt về khả năng chỉ trong vài tháng cho thấy khoảng thời gian mà việc phát hiện lỗ hổng hỗ trợ bởi AI trở nên phổ biến đang thu hẹp rất nhanh.

Phản ứng từ cộng đồng Linux

Điều này hoàn toàn phù hợp với những gì các bảo trì viên nhân Linux đang quan sát được. Greg Kroah-Hartman, một trong những bảo trì viên cấp cao nhất của nhân Linux, đã mô tả sự thay đổi này trong một thảo luận trên Reddit:

"Đã có điều gì đó xảy ra một tháng trước và thế giới đã thay đổi. Bây giờ chúng tôi có những báo cáo thực sự... Tất cả các nhóm bảo mật mã nguồn mở đều đang gặp phải tình trạng này ngay bây giờ."

Willy Tarreau, một bảo trì viên nhân khác, cũng xác nhận trên LWN rằng danh sách bảo mật của nhân Linux đã tăng từ 2-3 báo cáo mỗi tuần lên 5-10 báo cáo mỗi ngày, và hầu hết trong số đó hiện nay là chính xác.

Thách thức về dương tính giả và rủi ro kép

Vấn đề về dương tính giả (false positives) vẫn còn bỏ ngỏ. Carlini hiện có "vài trăm sự cố" mà ông chưa có thời gian xác thực và ông cố tình không gửi các phát hiện chưa được kiểm tra cho các bảo trì viên nhân. Tuy nhiên, theo kinh nghiệm của Michael Lynch, tỷ lệ dương tính giả khi sử dụng Claude Opus 4.6 cho công việc tương tự dưới 20%.

Salvatore Sanfilippo, người tạo ra Redis, nhận xét rằng bước xác thực này ngày càng được xử lý bởi chính các mô hình AI thông qua các quy trình lọc liên tục.

Thomas Ptacek, một nhà nghiên cứu bảo mật lâu năm, lập luận rằng việc phát hiện lỗ hổng dựa trên LLM đại diện cho một loại công cụ cơ bản khác biệt: nó là tập hợp của cả fuzzing và phân tích tĩnh, nhưng có khả năng đặt các phát hiện vào ngữ cảnh và giải thích các đường dẫn tấn công.

Tuy nhiên, mối lo ngại về việc sử dụng kép (dual-use) cũng được nhiều người nhắc đến. Nếu AI có thể tìm ra các lỗ hổng tiềm ẩn 23 năm trong Linux mà các kiểm toán viên con người bỏ lỡ, thì những kẻ đối thủ có cùng khả năng đó cũng có thể chạy quy trình này chống lại các mục tiêu ở quy mô lớn.

Năm lỗ hổng nhân Linux được Carlini xác nhận bao gồm các lỗi trong NFS, io_uring, futex và ksmbd, tất cả đều đã có các bản vá trong nhánh ổn định (stable tree).