Lỗ hổng bảo mật "Copy Fail" nghiêm trọng trên Linux được phát hiện nhờ sự hỗ trợ của AI

Hầu hết các bản phân phối Linux được phát hành kể từ năm 2017 đều đang đối mặt với một lỗ hổng bảo mật nghiêm trọng được gọi là "Copy Fail". Lỗ hổng này, được ghi nhận dưới mã số CVE-2026-31431, cho phép bất kỳ người dùng nào cũng có thể tự cấp cho mình quyền quản trị viên (root) trên hệ thống.

Minh họa bảo mật Linux

Một lỗ hổng "đáng sợ" khó bị phát hiện

Theo công ty bảo mật Theori, những người phát hiện ra lỗi này, điểm đáng sợ nhất của Copy Fail là khả năng lẩn tránh các công cụ giám sát an ninh thông thường. Lỗi này gây ra tình trạng hỏng hóc bộ nhớ đệm trang (page-cache corruption) nhưng không đánh dấu trang là "bẩn" (dirty). Do đó, cơ chế ghi ngược (writeback machinery) của nhân Linux sẽ không bao giờ ghi các byte đã bị sửa đổi trở lại ổ đĩa.

Kết quả là, các công cụ giám sát phổ biến như AIDE, Tripwire hay OSSEC — những phần mềm so sánh tổng kiểm tra (checksum) trên ổ đĩa — sẽ không thấy bất kỳ sự thay đổi nào. Điều này khiến việc phát hiện xâm nhập trở nên cực kỳ khó khăn đối với các quản trị viên hệ thống.

AI đóng vai trò then chốt trong việc tìm ra lỗi

Điểm thú vị là lỗ hổng này được tìm ra nhờ sự hỗ trợ của trí tuệ nhân tạo. Các nhà nghiên cứu tại Theori đã sử dụng công cụ AI của riêng họ tên là Xint Code AI.

Taeyang Lee, một nhà nghiên cứu, đã tạo ra một câu lệnh (prompt) để yêu cầu AI quét tự động hệ thống con crypto của Linux. Cụ thể, AI được yêu cầu kiểm tra các luồng code có thể tiếp cận từ syscalls của người dùng và tập trung vào quan sát rằng splice() có thể chuyển tham chiếu bộ nhớ đệm trang của các tệp chỉ đọc (bao gồm các tệp nhị phân setuid) đến danh sách phân tán crypto TX. Chỉ trong khoảng một giờ, công cụ AI đã xác định được một số lỗ hổng, trong đó có Copy Fail.

Tình trạng cập nhật bản vá

Theo trang tiết lộ lỗ hổng, một bản vá cho Copy Fail đã được thêm vào nhân Linux chính thức (mainline) vào ngày 1 tháng 4. Tuy nhiên, các nhà nghiên cứu đã công bố chi tiết khai thác trước khi tất cả các bản phân phối bị ảnh hưởng kịp phát hành bản vá.

Một số distro như Arch Linux, RedHat Fedora và Amazon Linux đã phát hành các bản vá hoặc biện pháp giảm thiểu. Tuy nhiên, nhiều hệ thống khác có thể vẫn đang ở trạng thái dễ bị tấn công và cần người quản trị viên cập nhật ngay lập tức để bảo vệ hệ thống.