• AI 安全

开源的透明度曾是护城河，AI 正在让它变成负担

TL;DR AI 正在同时击穿两种漏洞披露文化赖以成立的前提，开源软件的透明度优势正在变成安全负担，用户和维护者都面临前所未有的压力。 一个“安静”的补丁，如何引爆一场安全危机 2026 年 4 月 29 日，Copy Fail（CVE-2026-31431）公开披露。这是一个潜伏近十年的 Linux 内核提权漏洞——一个 732 字节的 Python 脚本，能在 2017 年至 2026 年补丁合并前构建的几乎所有主流 Linux 发行版上获取 root 权限，不依赖竞态条件，不需要特定内核偏移，逻辑直白，100% 可靠复现。 漏洞本身足够震撼。但更值得关注的，是它的“兄弟漏洞”Dirty Frag 的遭遇。 Dirty Frag 由安全研究员 Hyunwoo Kim 发现，包含两个子漏洞——CVE-2026-43284（ESP 变体）和 CVE-2026-43500（RxRPC 变体），属于与 Copy Fail 同一类的漏洞。2026 年 4 月 30 日，Kim 按照 Linux 内核社区的惯例，将补丁提交到了 netdev 邮件列表——修复是公开的，但他没有声张漏洞的安全影响，寄希望于这个补丁能淹没在每天数以百计的 commit 流中，悄悄合并，给各发行版争取一些打补丁的时间。