# 严重 Linux "Copy Fail" 漏洞曝光 (CVE-2026-31431)

**日期：** 2026-05-01 | **来源：** The Verge

## 事件概述

安全公司 **Theori** 利用其 **Xint Code AI** 工具发现了一个影响深远的 Linux 内核漏洞，编号 **CVE-2026-31431**，代号"Copy Fail"。该漏洞影响 2017 年以来几乎所有的 Linux 发行版，允许任意用户将权限提升至 root（管理员），且利用方式极为简便——仅需一段 Python 脚本，无需任何发行版特定偏移量或版本检查。

## 漏洞细节

### 攻击原理

该漏洞利用的是 **页面缓存损坏（page-cache corruption）**——攻击者利用 Linux 内核加密子系统中 splice() 系统调用的交互缺陷，修改只读文件（包括 setuid 二进制文件）的页面缓存副本。关键是：**页面缓存损坏不会将页面标记为脏（dirty）**。

### 为何"异常危险"

- 内核的写回机制（writeback）永远不会将修改后的字节写回磁盘
- 标准完整性监控工具（AIDE、Tripwire、OSSEC 等）对比磁盘校验和时**什么也发现不了**
- 单段 Python 脚本即可在所有受影响发行版上通用利用
- "无需逐发行版偏移量，无需版本检查，无需重编译"——Theori

### 发现过程

Theori 的研究员 Taeyang Lee 创建了一个 AI 提示词，针对 Linux 加密子系统进行自动化扫描：

> "这是 Linux crypto/ 子系统。请检查所有从用户空间系统调用可达的代码路径。注意一个关键观察：splice() 可以将只读文件（包括 setuid 二进制文件）的页面缓存引用传递给加密 TX 散列列表。"

AI 在大约 **1 小时** 内识别出了多个漏洞。

## 补丁状态

- **主内核补丁时间：** 2026 年 4 月 1 日（已合入主线）
- **公开披露时间：** 2026 年 4 月 29 日（研究人员在所有下游发行版完成打补丁前就发布了利用细节）
- **已发布补丁的发行版：** Arch Linux、RedHat Fedora、Amazon Linux
- **许多其他发行版** 尚未能及时修复

## 安全建议

- 立即更新 Linux 内核至最新版本
- 关注各发行版的安全公告
- 对于无法立即更新的系统，关注内核厂商提供的工作区缓解措施（mitigation）

---

## 参考链接

- [The Verge: Severe Linux Copy Fail security flaw uncovered using AI scanning help](https://www.theverge.com/tech/922243/linux-cve-2026-3141-copy-fail-exploit)
- [Arch Linux Security Advisory](https://security.archlinux.org/CVE-2026-31431)
- [RedHat Fedora Bugzilla](https://bugzilla.redhat.com/show_bug.cgi?id=2460538)