Notebookcheck Logo

Falha no Epoll: a IA da Anthropic não detectou essa vulnerabilidade fundamental

Um terminal Linux com acesso de root
ⓘ Tima Miroshnichenko / Pexels
Um terminal Linux com acesso de root
Uma nova vulnerabilidade no kernel do Linux, chamada Bad Epoll, concede privilégios de root a qualquer usuário local, inclusive no site Android. O detalhe curioso: o modelo de IA da Anthropic, chamado Mythos, havia analisado exatamente essa seção do código, identificado uma falha relacionada, mas não detectou esta. No fim das contas, foi um ser humano quem a encontrou. Um patch já está disponível.

O pesquisador de segurança Jaeyoung Chung revelou uma falha no kernel do Linux que concede a um usuário comum, sem privilégios, controle total sobre o sistema. A falha “Bad Epoll”, oficialmente identificada como CVE-2026-46242, afeta desktops, servidores e o Android do Linux. Um patch já está disponível. O caso é especialmente notável devido a um detalhe adicional: uma IA já havia examinado o código afetado e não detectou essa vulnerabilidade.

O que o “Bad Epoll” faz

A falha está no subsistema epoll, uma função essencial que permite que programas monitorem vários arquivos e conexões de rede ao mesmo tempo. Servidores, serviços de rede e navegadores o utilizam constantemente, e ele não pode ser desativado. O “Bad Epoll” é um bug do tipo “use-after-free”: dois caminhos do kernel limpam o mesmo objeto interno ao mesmo tempo; um libera a memória enquanto o outro ainda está gravando nela. Essa breve colisão é suficiente para manipular a memória do kernel e escalar de uma conta normal para o root.

O ponto-chave é o tempo. A janela em que ambas as rotas colidem tem duração de apenas cerca de seis instruções de máquina. A exploração de Chung amplia essa janela e continua tentando sem travar o sistema até obter privilégios de root nos sistemas testados em cerca de 99% dos casos. Dois detalhes tornam a falha mais grave do que os bugs típicos do kernel: segundo Chung, ela pode ser acionada a partir da sandbox do renderizador do Chrome e se estende até o ` Android`, o que não ocorre com a maioria das falhas do Linux.

Por que a IA não detectou a falha

?

Ambas as questões remontam a uma única alteração no código realizada em 2023, em apenas 2.500 linhas de código epoll. O modelo de IA da Anthropic, Mythos, identificou a primeira das duas condições de corrida e a relatou como CVE-2026-43074. Isso foi um verdadeiro sucesso, já que bugs de corrida como esses são considerados difíceis de detectar. O modelo não detectou a segunda, a “Bad Epoll”. No fim, o pesquisador humano Jaeyoung Chung a encontrou e criou um ataque funcional para ela.

Chung apresenta duas possíveis razões para essa falha de detecção, sem se comprometer com nenhuma delas. A janela de tempo é tão pequena que a sequência exata é difícil de imaginar, mesmo ao examinar o código. E, após a correção da primeira falha, o “Bad Epoll” geralmente não acionava mais o detector de erros de memória KASAN, deixando o modelo sem rastros de tempo de execução. O caso mostra os dois lados da questão: a IA pode encontrar bugs complexos no kernel, mas ainda pode falhar em condições de corrida sutis.

Quem é afetado e o que fazer

As versões do kernel a partir da 6.4 são afetadas caso a correção ainda não esteja presente. Sistemas mais antigos baseados no Linux 6.1 estão seguros, incluindo alguns dispositivos “ Android ”, como o Pixel 8, pois o código defeituoso foi adicionado somente após esse ramo. De acordo com Chung, uma exploração do tipo “ Android ” ainda está em andamento. Há algum alívio quanto ao risco imediato: até o momento, não há indícios de ataques em circulação, e o único código funcional é a prova de conceito do programa kernelCTF do Google. Outro ponto importante: o invasor já precisa de acesso local ao dispositivo, pois a falha não pode ser acionada remotamente.

Os usuários que aplicam patches manualmente devem utilizar o commit upstream a6dc643c6931. Todos os demais devem aguardar o backport de sua distribuição e instalá-lo imediatamente. Como o epoll não pode ser desativado, não há solução alternativa; somente a atualização resolve o problema.

Google LogoAdd as a preferred source on Google
Mail Logo
> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 07 > Falha no Epoll: a IA da Anthropic não detectou essa vulnerabilidade fundamental
Steffen Zahn, 2026-07- 8 (Update: 2026-07- 8)