Bad Epoll: A IA do Anthropic não percebeu essa vulnerabilidade de primeira!

Uma nova vulnerabilidade do kernel Linux chamada Bad Epoll concede privilégios de root a qualquer usuário local, inclusive no Android. A reviravolta: o modelo de IA da Anthropic, Mythos, revisou exatamente essa seção de código, encontrou uma falha relacionada e deixou passar esta. No fim, um humano a encontrou. Um patch está disponível.

Isaac Bruno

7/8/20263 min read

O pesquisador de segurança Jaeyoung Chung revelou uma falha no kernel Linux que dá a um usuário comum e sem privilégios controle total sobre o sistema. Bad Epoll, oficialmente CVE-2026-46242, afeta desktops Linux, servidores e Android. Um patch está disponível. O caso é especialmente notável por causa de uma história paralela: uma IA já havia examinado o código afetado e não percebeu essa vulnerabilidade.

O que o Bad Epoll faz
A falha está no subsistema epoll, uma função central que permite que os programas monitorem muitos arquivos e conexões de rede ao mesmo tempo. Servidores, serviços de rede e navegadores o usam constantemente, e ele não pode ser desligado. O Epoll ruim é um bug de uso após liberação: dois caminhos do kernel limpam o mesmo objeto interno ao mesmo tempo, um libera a memória enquanto o outro ainda está escrevendo nele. Essa breve colisão é suficiente para manipular a memória do kernel e escalar de uma conta normal para a root.

O problema é o timing. A janela em que ambos os caminhos colidem tem apenas cerca de seis instruções de máquina. O exploit do Chung amplia essa janela e continua tentando sem travar até ganhar root em sistemas testados em cerca de 99% dos casos. Dois detalhes tornam a falha mais séria do que bugs típicos do kernel: segundo Chung, ela pode ser acionada pelo sandbox de renderização do Chrome, e se estende ao Android, que a maioria das falhas do Linux não faz.

Por que a IA não percebeu a falha

Ambos os problemas remontam a uma única alteração de código de 2023, em apenas 2.500 linhas de código do epoll. O modelo de IA da Anthropic, Mythos, identificou a primeira das duas condições de corrida e a reportou como CVE-2026-43074. Isso foi um verdadeiro sucesso, já que insetos raciais como esses são considerados difíceis de detectar. A modelo perdeu o segundo, Bad Epoll. No final, o pesquisador humano Jaeyoung Chung o encontrou e construiu um ataque funcional para ele.

Chung apresenta duas possíveis razões para o ponto cego sem se comprometer com nenhuma delas. A janela de tempo é tão pequena que a sequência exata é difícil de imaginar, mesmo olhando para o código. E depois que a primeira falha foi corrigida, o Bad Epoll geralmente não acionava mais o detector de erros de memória KASAN, deixando o modelo sem rastros de runtime. O caso mostra ambos os lados da questão: a IA pode encontrar bugs complexos do kernel, mas ainda pode falhar em condições sutis de corrida.

Quem é afetado e o que fazer

Versões do kernel a partir da 6.4 são afetadas se a correção ainda não estiver presente. Sistemas antigos baseados no Linux 6.1 são seguros, incluindo alguns dispositivos Android como o Pixel 8, porque o código defeituoso só foi adicionado depois desse ramo. Segundo Chung, um exploit de Android ainda está em andamento. Há alguma segurança quanto ao risco imediato: até agora, não há indicação de ataques em movimento, e o único código funcional é a prova de conceito do programa kernelCTF do Google. Também importante: o atacante já precisa de acesso local ao dispositivo, pois a falha não pode ser acionada remotamente.

Usuários que fazem patch manualmente devem aplicar o commit upstream a6dc643c6931. Todo mundo deve esperar pelo backport da distribuição e instalá-lo rapidamente. Como o epoll não pode ser desativado, não há solução alternativa, apenas a atualização resolve o problema.

Fontes:

https://github.com/J-jaeyoung/bad-epoll

https://red.anthropic.com/2026/mythos-preview/

https://git.kernel.org/stable/c/a6dc643c69311677c574a0f17a3f4d66a5f3744b

Contato

Fale conosco para dúvidas ou sugestões.

Email

Telefone

contato@setupraiz.com

+55 11 91234-5678

© 2025. All rights reserved.