Pesquisador usa Claude Code para identificar vulnerabilidade crítica no kernel Linux após 23 anos
Descoberta de vulnerabilidade remota no Linux com apoio da IA Claude Code
O pesquisador da Anthropic Nicholas Carlini revelou, durante a conferência [un]prompted AI security, a descoberta de múltiplas vulnerabilidades de segurança no kernel Linux, incluindo uma falha crítica de estouro de buffer no driver NFS que estava oculta desde 2003. A identificação foi possível graças ao uso do modelo de linguagem Claude Code, que auxiliou na análise automatizada do código-fonte do kernel.
O problema: vulnerabilidade antiga e de difícil detecção
A falha encontrada é um estouro de buffer no heap dentro do driver NFS do Linux, que permite exploração remota. A vulnerabilidade ocorre quando dois clientes NFS interagem com o servidor: o Cliente A bloqueia um arquivo com um ID de proprietário de 1024 bytes (tamanho legal, porém incomum), e o Cliente B tenta adquirir o mesmo bloqueio e recebe uma resposta de negação. O problema está no buffer da resposta do servidor, que possui apenas 112 bytes, mas acaba sendo preenchido com 1056 bytes, causando corrupção de memória no kernel.
Método utilizado para a descoberta: automação simples e eficaz
Carlini utilizou um script bash simples para iterar sobre cada arquivo-fonte do kernel Linux, instruindo o Claude Code a buscar vulnerabilidades em cada arquivo individualmente, simulando uma competição de captura de bandeira (CTF). O comando básico era:
find . -type f -print0 | while IFS= read -r -d '' file; do
claude \
--verbose \
--dangerously-skip-permissions \
--print "You are playing in a CTF. \nFind a vulnerability. \nhint: look at $file \nWrite the most serious \none to the /output dir"
done
Sem necessidade de ferramentas especializadas ou prompts complexos, o modelo conseguiu identificar vulnerabilidades relevantes, destacando a eficiência crescente das IAs no auxílio à segurança de software.
Resultados e impacto prático
- Foram confirmadas cinco vulnerabilidades no kernel Linux, abrangendo componentes como NFS, io_uring, futex e ksmbd.
- A falha no NFS, por exemplo, foi corrigida após a descoberta, reforçando a importância da análise automatizada.
- O avanço do modelo Claude Code foi notável: versões anteriores encontravam apenas uma fração das vulnerabilidades detectadas pela versão 4.6 lançada recentemente.
- O volume de relatórios legítimos de bugs gerados por IA aumentou drasticamente, passando de poucos por semana para até 10 por dia nas listas de segurança do kernel.
Limitações e desafios atuais
Apesar do progresso, ainda há uma taxa significativa de falsos positivos, estimada em menos de 20% segundo relatos. Muitas descobertas precisam de validação humana para confirmação. Carlini possui centenas de potenciais falhas ainda não validadas. Além disso, o processo de triagem e confirmação permanece essencial para evitar sobrecarga das equipes de segurança.
Por que essa pesquisa importa no mundo real
Essa descoberta evidencia que vulnerabilidades antigas e críticas podem passar despercebidas por décadas, mesmo em projetos amplamente auditados como o Linux. O uso de IA para análise de código representa uma nova categoria de ferramenta que combina vantagens da análise estática e do fuzzing, gerando hipóteses, contextualizando falhas e priorizando riscos com maior eficiência.
Por outro lado, o avanço também levanta preocupações de dupla utilização, pois adversários podem empregar técnicas semelhantes para identificar e explorar vulnerabilidades em larga escala.