AI发现潜伏15年的Linux内核漏洞:任何用户可获取root权限

安全公司Nebula Security近日公开了GhostLock漏洞(编号CVE-2026-43499)的完整利用代码,揭示了一个在Linux内核中潜伏长达15年之久的安全缺陷。该漏洞属于典型的use-after-free类型,允许任何已登录用户在未修补的系统上直接获取root最高权限,且无需特殊权限或网络访问,对全球Linux服务器构成广泛威胁。

漏洞细节:一个被所有人忽略的内核缺陷

GhostLock之所以引发安全界的高度关注,原因在于其影响范围之广、利用门槛之低。根据Nebula Security的披露,该漏洞自2011年起便已存在于Linux内核代码中,此后几乎所有主流Linux发行版在默认配置下均包含此缺陷。长达15年的时间里,无论是人工代码审计还是传统的自动化安全扫描工具,均未能发现这一问题,直到Nebula的AI驱动漏洞挖掘工具VEGA对其进行识别。

从技术角度看,GhostLock属于use-after-free漏洞类别,即在程序释放某块内存后,后续代码仍然尝试访问该已释放的内存区域。攻击者可以利用这一行为,通过精心构造的内存布局实现权限提升。值得关注的是,该漏洞的利用条件极为宽松——攻击者仅需拥有一个普通的已登录用户账号,即可在本地完成提权,不需要任何特殊系统权限,亦不需要网络层面的访问能力。这意味着,一旦攻击者以任何方式获得了一台Linux机器的普通用户访问权,就可以借此漏洞将权限提升至root,从而完全控制该系统。

利用能力:97%可靠,可逃逸容器

Nebula Security公布的利用代码展现出极高的实战可靠性。在测试环境中,该漏洞利用的成功率达到了97%,远超多数公开的内核提权漏洞。更为严峻的是,该利用代码具备容器逃逸能力,能够突破Docker等容器隔离机制,从容器内部直接获取宿主机的root权限。这一特性使得GhostLock对云原生环境和微服务架构构成了额外威胁,因为在多租户容器环境中,一个低权限的容器实例可能被利用来危及整个宿主系统。

Nebula Security通过Google的kernelCTF漏洞赏金计划提交了该漏洞,并因此获得了92,337美元的奖金。kernelCTF是Google为激励安全研究人员发现Linux内核漏洞而设立的专项计划,高额的奖金反映了该漏洞的严重程度和发现难度。

AI驱动漏洞挖掘的新里程碑

GhostLock的发现背后,Nebula Security的AI漏洞挖掘工具VEGA发挥了关键作用。VEGA是专门针对内核级代码缺陷进行自动化检测的系统,能够系统性地审查复杂的内核源码,识别人类审计员难以察觉的深层次逻辑错误。该漏洞的发现标志着自动化安全工具在代码审计领域取得了新的突破——传统方法耗时15年未能发现的问题,被AI工具在审查旧版内核代码时成功定位。

GhostLock并非孤立案例。2026年以来,自动化工具翻查旧内核代码的动作持续加速,一系列由AI辅助发现的Linux提权漏洞相继被公开。这些漏洞的共同特征是:存在时间久远、影响范围广泛、利用门槛低,却在漫长的历史中从未被人工审计所捕获。这一趋势表明,随着AI驱动的代码分析能力不断提升,那些长期潜伏在成熟软件项目中的”沉睡”漏洞正在被系统性地唤醒。

修复进展:补丁覆盖参差不齐

该漏洞已于2026年4月获得官方修复,补丁被合并进入Linux内核主线。然而,补丁向各发行版用户的推送情况并不乐观。截至2026年7月初,Ubuntu的24.04、22.04和20.04三个长期支持(LTS)版本仍被列为易受攻击状态或正在修复中,意味着大量生产环境中的Ubuntu服务器尚未获得有效防护。对于依赖这些LTS版本的企业用户而言,尽快评估自身系统状态并应用安全补丁是当务之急。

GhostLock事件再次印证了一个严峻的现实:即使是最成熟、经过最多人审查的开源软件项目,也可能存在长期未被发现的安全缺陷。而AI驱动的自动化漏洞挖掘正在成为发现这类”沉睡漏洞”的高效手段,安全社区需要同时面对两方面的挑战——既要加速修补AI发现的旧漏洞,也要应对可能被同样技术发现的更多未知风险。

信息来源:WIRED,2026年7月11日