L'IA vient de pirater le secret vieux de 23 ans de Linux

Claude Code vient de découvrir une faille du kernel Linux exploitable à distance, une vulnérabilité critique qui était cachée depuis mars 2003. Cette vulnérabilité, tapie pendant 23 ans dans l'une des bases de code les plus examinées au monde, a été découverte par l'IA en quelques heures seulement. La rapidité et la précision de cette découverte défient les attentes conventionnelles en matière de recherche de vulnérabilités.

Linux, le système d'exploitation fondamental alimentant d'innombrables serveurs et appareils dans le monde entier, a fait l'objet d'audits incessants par des légions d'experts humains et des outils d'analyse statique sophistiqués pendant des décennies. Pourtant, ce spécifique heap overflow dans le cache de relecture NFSv4.0 LOCK a échappé à la détection, soulignant un angle mort important dans les méthodologies de sécurité traditionnelles.

Cet événement transcende une simple découverte de bug ; il marque un profond changement de paradigme dans la sécurité logicielle. La capacité d'une IA à identifier de manière autonome une faille aussi profondément ancrée et complexe suggère une nouvelle ère pour la cybersécurité, où l'intelligence automatisée pourrait fondamentalement modifier le paysage de l'audit de code et de l'atténuation des menaces.

Claude Code, un modèle d'IA avancé, a réalisé cet exploit sans précédent. Le chercheur Nicholas Carlini, un scientifique chez Anthropic, a orchestré la découverte. Il a utilisé une configuration remarquablement simple : un script bash de 12 lignes qui parcourait les fichiers source du kernel Linux, les alimentant à Claude avec l'instruction : « Find vulnerabilities, pretend it's a CTF. »

L'approche minimale de Carlini a donné des résultats extraordinaires. L'IA n'a pas seulement deviné ; elle a démontré une compréhension sophistiquée du comportement complexe de NFS multi-clients, identifiant les conditions exactes du heap overflow. Cela a nécessité de comprendre comment deux clients NFS pouvaient déclencher un cas limite spécifique, conduisant un serveur à écrire plus de mille octets dans un tampon de 112 octets.

Le bug identifié permettait à un attaquant non authentifié de lire la mémoire du kernel via le réseau si NFS était exposé, posant un risque grave. Carlini a confirmé la nature prolifique de l'IA, déclarant que Claude Code a trouvé non seulement ce bug Linux vieux de 23 ans, mais aussi « des centaines d'autres qui ont survécu à des décennies d'audits », signalant un vaste potentiel inexploité pour l'IA dans la découverte de failles héritées.

Nicholas Carlini, chercheur scientifique chez Anthropic, a orchestré l'impossible avec une configuration d'une simplicité trompeuse : un script bash de 12 lignes. Cette séquence de ligne de commande concise a servi de cadre opérationnel complet, démontrant que la recherche de vulnérabilités révolutionnaire ne nécessite pas une infrastructure élaborée et sur mesure. Elle a simplement requis une interface directe avec un puissant modèle d'IA.

Le script de Carlini parcourait les fichiers source du kernel Linux, alimentant des extraits à Claude Code, spécifiquement Claude Opus 4.6. L'instruction d'accompagnement était simple et familière : « find vulnerabilities, pretend it's a CTF. » Cette invite sans fioritures, imitant un défi Capture The Flag, a débloqué une capacité sans précédent en analyse de sécurité automatisée, contournant le besoin de jeux de règles complexes ou de modèles d'exploit prédéfinis.

Malgré l'approche minimaliste de l'expérience, la découverte de l'IA était tout sauf simple. Claude a identifié un bug du noyau Linux vieux de 23 ans, un heap overflow exploitable à distance niché dans le cache de relecture LOCK de NFSv4.0. Présente depuis mars 2003, cette faille critique permettait à un attaquant non authentifié de lire la mémoire du noyau sur le réseau si NFS était exposé, une vulnérabilité qui avait échappé à des décennies d'audits humains et d'outils d'analyse statique. La vulnérabilité spécifique a depuis reçu la référence CVE-2026-31402.

Il ne s'agissait pas d'une initiative de recherche coûteuse et pluriannuelle financée par un entrepreneur de la défense. Au lieu de cela, c'était une expérience accessible, exécutable par pratiquement n'importe qui ayant accès à Claude Code et une compréhension de base du scripting. Les résultats profonds soulignent un changement de paradigme : la chasse aux bugs sophistiquée n'est plus le domaine exclusif des équipes d'élite bien dotées en ressources, mais une frontière désormais ouverte à l'IA facilement disponible.

Les premières découvertes de Carlini vont bien au-delà de cette seule trouvaille. Claude Code n'a pas seulement trouvé un ancien bug Linux ; il a mis au jour « des centaines d'autres qui ont survécu à des décennies d'audits », Carlini lui-même ayant déjà identifié cinq vulnérabilités distinctes du noyau Linux. Des centaines de plantages potentiels supplémentaires attendent une validation humaine, signalant un vaste réservoir inexploité de failles cachées exposées par cette méthodologie d'IA accessible.

La vulnérabilité, désormais officiellement suivie sous la référence CVE-2026-31402, représente un heap overflow critique au sein du Network File System version 4 (système de verrouillage NFSv4). Plus précisément, la faille réside dans le cache de relecture LOCK de NFSv4.0, un composant gérant les requêtes de verrouillage de fichiers entre clients en réseau. Ce n'est pas une simple négligence ; elle exige une compréhension approfondie du comportement NFS multi-client pour être exploitée.

À la base, le bug se manifeste comme un grave problème de corruption de mémoire. Imaginez essayer de forcer 1056 octets de données dans un minuscule conteneur conçu pour ne contenir que 112 octets. Cette inadéquation extrême décrit le problème fondamental. Le noyau Linux, dans des conditions spécifiques, tente cet exploit impossible, provoquant le débordement de la mémoire au-delà de ses limites allouées.

Ce cas limite précaire nécessite une interaction précise entre deux clients pour être déclenché. Premièrement, le Client A initie une requête de verrouillage de fichier, fournissant un ID de propriétaire de 1024 octets inhabituellement long mais techniquement légal. Cet identifiant étendu est crucial pour la chaîne d'exploitation.

Ensuite, le Client B tente d'acquérir le même verrou de fichier que le Client A détient. Le serveur NFS refuse correctement la requête du Client B. Cependant, en construisant la réponse de refus, le serveur inclut l'ID de propriétaire original de 1024 octets du Client A.

C'est là que réside la faille critique : le tampon de réponse interne du serveur pour cette opération ne mesure que 112 octets. Lorsqu'il tente d'intégrer l'ID de propriétaire de 1024 octets avec d'autres données de message de refus nécessaires, la taille totale de la réponse gonfle à environ 1056 octets. Ce débordement massif écrit bien au-delà des limites du tampon, corrompant la mémoire adjacente du noyau.

L'exploitation de cette corruption de mémoire du noyau permet à un attaquant de lire à distance des données sensibles sans nécessiter d'authentification, à condition que le service NFS soit exposé sur le système cible. Cette divulgation de mémoire à distance non authentifiée rend la faille exceptionnellement dangereuse, révélant pourquoi elle a survécu à des décennies d'audits et pourquoi la capacité de l'IA à la trouver est si significative. Pour plus d'informations techniques sur cette découverte, lisez l'article Claude Code Finds Long Hidden Linux NFS Vulnerability - Let's Data Science.

Pendant plus de deux décennies, ce critique débordement de tas est resté dormant au sein du noyau Linux, échappant à d'innombrables yeux d'experts et à des outils automatisés sophistiqués. Sa persistance met en évidence un angle mort profond dans les audits de cybersécurité traditionnels, qui se sont avérés incapables de découvrir une faille profondément enracinée dans le système de verrouillage V4 du Network File System (NFS). Le fait qu'une IA, Claude Code, ait déterré une faille Linux vieille de 23 ans en quelques heures expose les limitations inhérentes aux méthodologies passées.

Les outils d'analyse statique, conçus pour scanner le code à la recherche de schémas de vulnérabilités connues, ont généralement du mal avec les failles hautement contextuelles et à états multiples. De même, le fuzzing, une technique courante qui bombarde les logiciels d'entrées malformées pour provoquer des plantages, manque souvent les cas limites nécessitant des interactions précises et séquentielles entre plusieurs composants système. Cette vulnérabilité spécifique exigeait une compréhension nuancée de la manière dont deux clients NFS distincts interagiraient pour déclencher le débordement, un scénario difficile à générer aléatoirement ou à identifier statiquement.

La découverte de CVE-2026-31402 a nécessité une compréhension profonde et contextuelle du comportement NFS multi-client et des transitions d'état complexes au sein de son système de verrouillage. La faille ne s'est matérialisée que lorsqu'un client a acquis un ID de propriétaire exceptionnellement long de 1024 octets, et qu'un second client a ensuite déclenché un refus, provoquant l'écriture par le serveur de 1056 octets dans un tampon de seulement 112 octets. Une interaction aussi spécifique et dépendante de l'état est là où les modèles d'IA comme Claude Code excellent, interprétant des spécifications de protocole complexes et identifiant des failles logiques non évidentes.

Le chercheur Nicholas Carlini lui-même a admis la difficulté, déclarant : « Si je n'en avais jamais trouvé un à la main, maintenant j'en ai un tas. » Cet aveu franc souligne le défi pour les experts humains de trouver manuellement de tels débordements de tas exploitables à distance. Le simple script bash de 12 lignes de Carlini, associé aux prouesses analytiques de Claude, a contourné des décennies d'audits ratés et a révélé des centaines d'autres vulnérabilités potentielles que les méthodes traditionnelles avaient négligées.

La découverte de CVE-2026-31402 annonce un changement profond dans la cybersécurité : l'avènement de la recherche de vulnérabilités assistée par l'IA. Contrairement aux experts humains, l'IA aborde les bases de code héritées avec de véritables « yeux neufs », dépourvue des hypothèses accumulées et des modèles mentaux qui peuvent aveugler même les auditeurs les plus expérimentés. Cette perspective non entravée s'est avérée essentielle pour déterrer une faille cachée depuis plus de deux décennies.

Les développeurs humains et les auditeurs de sécurité, malgré leur expertise, développent inévitablement des raccourcis cognitifs. Au fil des années de travail avec des systèmes complexes comme le noyau Linux et des protocoles tels que NFS, ils développent une compréhension enracinée de la façon dont les composants *devraient* interagir. Ces cadres mentaux, bien qu'efficaces, peuvent créer par inadvertance des angles morts, entraînant des déviations subtiles par rapport aux spécifications du protocole ou des cas limites inattendus qui passent inaperçus.

Claude Code, spécifiquement Claude Opus 4.6, fonctionne sans ces biais humains. Il analyse la logique du code brut et les spécifications de protocole de manière pure, identifiant les écarts ou les débordements potentiels basés sur des données objectives. Le simple script bash de 12 lignes de Nicholas Carlini, demandant à Claude de « trouver des vulnérabilités, faire comme si c'était un CTF », a exploité cette capacité. L'IA n'a pas deviné ; elle a compris le comportement complexe de NFS multi-clients et comment un ID de propriétaire de 1024 octets pouvait déborder de manière catastrophique un tampon de 112 octets lors d'une réponse de déni.

Cette percée souligne également l'avancement rapide des capacités de l'IA. Les versions plus anciennes des modèles d'IA auraient pu manquer la logique complexe menant à CVE-2026-31402. Claude Opus 4.6, cependant, a démontré une capacité supérieure à raisonner à travers des machines d'état complexes et des interactions inter-clients, découvrant non seulement ce bug Linux vieux de 23 ans, mais aussi « des centaines d'autres qui ont survécu à des décennies d'audits ». Cette amélioration exponentielle signale un avenir où l'IA découvre régulièrement des failles profondes qui ont longtemps échappé à la détection humaine.

Les mainteneurs du noyau Linux ont radicalement changé leur position concernant les rapports de bugs générés par l'IA. Un sentiment palpable d'urgence et de respect pour les capacités de l'IA imprègne désormais les conversations où un profond scepticisme et un rejet pur et simple régnaient autrefois en maître. Cela représente un changement profond au sein de la communauté open-source, notoirement conservatrice.

Greg Kroah-Hartman, une figure vénérable de la communauté du noyau Linux, a noté que « le monde a basculé » presque du jour au lendemain. Un afflux soudain de « vrais rapports », présentant une véritable perspicacité et des détails exploitables, supplante désormais ce qui était autrefois universellement rejeté comme de l'« AI slop » inutile, modifiant fondamentalement leur processus de triage des bugs.

Pendant des années, les soumissions de vulnérabilités générées par l'IA ont été largement ignorées. Ces premières tentatives, souvent caractérisées par des découvertes insensées, des analyses superficielles ou de pures inventions, faisaient perdre un temps précieux aux mainteneurs. Elles manquaient constamment de la compréhension contextuelle approfondie nécessaire à l'identification de bugs authentiques et exploitables, ce qui conduisait à une présomption par défaut de faible qualité.

Willy Tarreau, un autre développeur influent du noyau, corrobore ce changement spectaculaire. Son équipe voit désormais une moyenne de 5 à 10 rapports de bugs de haute qualité par jour, un contraste frappant avec le taux précédent de seulement 2 à 3 rapports par semaine. Cette augmentation exponentielle met en évidence un saut qualitatif dans l'analyse pilotée par l'IA, démontrant une nouvelle capacité à identifier les failles critiques.

Cette nouvelle ère d'intelligence exploitable découle directement de modèles d'IA sophistiqués comme Claude Code, qui a démontré une compréhension profonde de systèmes complexes comme NFSv4.0 pour découvrir CVE-2026-31402. Le simple script de 12 lignes de Nicholas Carlini s'est avéré un puissant catalyseur de ce changement de paradigme, prouvant la capacité de l'IA à trouver des vulnérabilités dans des bases de code profondément intégrées et vieilles de plusieurs décennies. Pour plus de détails sur la façon dont Claude Code a été utilisé pour identifier cette vulnérabilité de longue date, lisez l'article sur la découverte ici : Claude Code Used to Find Remotely Exploitable Linux Kernel Vulnerability Hidden for 23 Years - InfoQ.

L'IA n'est plus seulement un outil pour générer du code ou du contenu ; elle contribue désormais activement à la sécurité fondamentale des logiciels de base. Ce changement force une réévaluation radicale de la manière dont la communauté open-source aborde la découverte de vulnérabilités et l'audit de code, promettant un avenir où les failles cachées deviendront de plus en plus rares.

La recherche de vulnérabilités a fondamentalement changé, inversant le défi traditionnel. Les modèles d'IA comme Claude Code génèrent désormais sans effort des exploits potentiels, déplaçant le goulot d'étranglement de la découverte ardue des failles vers leur validation humaine exhaustive et chronophage. Ce changement spectaculaire redéfinit le problème central de la cybersécurité.

Le script bash simple de 12 lignes de Nicholas Carlini a produit bien plus que le simple CVE-2026-31402, le bug Linux vieux de 23 ans. Claude a identifié « des centaines d'autres » plantages potentiels, chacun étant une vulnérabilité complexe qui a survécu à des décennies d'audits humains et automatisés. Ces découvertes sont désormais en attente, exigeant un examen méticuleux par un nombre limité d'experts humains hautement spécialisés.

Ce torrent de pistes à fort potentiel impose un fardeau sans précédent aux équipes de sécurité du monde entier. Les organisations sont soudainement inondées de rapports de vulnérabilités prometteurs générés par l'IA, mais elles manquent cruellement de main-d'œuvre et d'expertise spécialisée pour enquêter minutieusement sur chacun d'eux. Le volume même menace de submerger les flux de travail existants en matière de réponse aux incidents, de développement de correctifs et d'assurance logicielle.

Les implications vont au-delà du simple correctif immédiat. Cela introduit le prochain défi critique à l'ère de la sécurité pilotée par l'IA : comment faire évoluer efficacement l'expertise humaine pour qu'elle corresponde au rythme de découverte incessant de l'IA. Les systèmes hérités, autrefois considérés comme entièrement audités, sont désormais un terrain fertile pour l'IA, mais la vitesse de l'analyse humaine ne peut pas suivre la capacité de l'IA à sonder de vastes bases de code à la recherche de failles subtiles.

Face à un avenir où la capacité à confirmer rapidement et précisément les problèmes signalés par l'IA devient la ressource la plus précieuse et la plus rare en cybersécurité. Cela exige une profonde refonte des opérations de sécurité, en s'orientant vers de nouveaux mécanismes de triage et des modèles de collaboration humain-IA conçus pour accélérer la validation. L'ère où trouver un bug critique était la partie la plus difficile est révolue ; maintenant, discerner le signal du bruit et agir en conséquence est la préoccupation primordiale.

Le volume même des problèmes potentiels signifie que de nombreuses vulnérabilités critiques et exploitables à distance pourraient rester non corrigées, simplement parce que les analystes humains ne peuvent pas toutes les traiter. Cela crée une nouvelle dette de sécurité, où les exploits potentiels s'accumulent, attendant une intervention humaine qui pourrait ne jamais venir. Combler ce déficit de capacité humaine représente la prochaine frontière pour sécuriser notre infrastructure numérique.

La révélation de vulnérabilités découvertes par l'IA comme CVE-2026-31402 présente une profonde épée à double tranchant pour la cybersécurité. Le simple script bash de 12 lignes de Nicholas Carlini, qui a permis à Claude Code de déterrer un bug Linux vieux de 23 ans en quelques heures, souligne une réalité alarmante : si les chercheurs peuvent exploiter l'IA avec une telle facilité, les acteurs malveillants le peuvent aussi. Cette capacité menace d'accélérer considérablement la course aux armements numériques entre attaquants et défenseurs, modifiant fondamentalement le paysage de la sécurité.

Les modèles d'IA largement disponibles, capables de découvrir des vulnérabilités complexes de type zero-day à la demande, introduisent un paysage de menaces sans précédent. Imaginez des acteurs étatiques ou des entreprises criminelles sophistiquées déployant des scripts similaires, non pas pour une divulgation défensive, mais pour une exploitation généralisée contre les infrastructures critiques et les réseaux d'entreprise. La barrière à l'entrée pour découvrir des failles profondément cachées, qui nécessitait auparavant une immense expertise humaine et beaucoup de temps, a considérablement diminué, démocratisant la recherche de vulnérabilités pour le bien comme pour le mal.

Ce changement soulève des questions urgentes concernant l'éthique du développement et de la publication d'outils aussi puissants. Bien que le travail de Carlini chez Anthropic vise à renforcer la sécurité défensive, la nature à double usage de la technologie sous-jacente est indéniable. L'accès à ces modèles d'IA avancés devrait-il être restreint, ou leur disponibilité généralisée est-elle une force inévitable et incontrôlable ?

Les pratiques de divulgation responsable, déjà une danse complexe entre l'identification des failles et la coordination des correctifs, deviennent encore plus critiques et délicates. Les chercheurs subissent une pression immense pour signaler rapidement leurs découvertes, mais la vitesse à laquelle l'IA peut générer des vulnérabilités pourrait submerger les mécanismes de divulgation existants. Le volume de failles potentielles, comme les "centaines d'autres" identifiées par Claude Code, exige un nouveau paradigme pour la validation et l'application rapide de correctifs sur de vastes bases de code.

En fin de compte, la prouesse de l'IA à trouver des vulnérabilités nous force à reconsidérer notre posture collective en matière de sécurité numérique. La même technologie qui promet de sécuriser notre avenir confère également un pouvoir sans précédent à ceux qui cherchent à le saper, souvent sans authentification requise. Nous devons faire face à la manière de maîtriser ce pouvoir de manière défensive, sans armer involontairement les adversaires. Les implications pour la stabilité mondiale, les infrastructures critiques et la vie privée individuelle sont stupéfiantes.

L'action immédiate pour chaque utilisateur Linux, administrateur et CTO est claire : mettez à jour votre noyau sans délai. La vulnérabilité critique de dépassement de tampon de tas (heap overflow), suivie sous la référence CVE-2026-31402, a permis à des attaquants non authentifiés de lire la mémoire du noyau via le réseau. Cette faille vieille de 23 ans dans le système de verrouillage NFSv4.0, exposée par Claude Code, exige un correctif immédiat sur tous les systèmes affectés.

Au-delà de l'application des correctifs, réévaluez de manière critique votre architecture réseau. La gravité de la faille NFS a été exacerbée car elle ne nécessitait aucune authentification si le Network File System était exposé à Internet. Restreignez l'accès aux réseaux internes ou mettez en œuvre des VPNs et des pare-feu robustes. N'exposez jamais des services comme NFS directement à l'internet public ; cette pratique crée une invitation ouverte aux exploits.

Adoptez une nouvelle mentalité de sécurité proactive : supposez que tous les systèmes hérités abritent des vulnérabilités critiques et non découvertes. Si une IA peut déterrer un bug complexe d'interaction multi-clients datant de 2003 avec un script bash de 12 lignes, les méthodes d'audit traditionnelles ont des angles morts significatifs. Ce changement de paradigme signifie scanner, mettre à jour et valider en permanence même les bases de code de longue date.

Les équipes de cybersécurité sont désormais confrontées à un paysage de menaces dynamique où l'AI accélère considérablement la découverte de vulnérabilités. Concentrez les ressources non seulement sur la recherche de nouveaux bugs, mais aussi sur la validation rapide et le déploiement des correctifs. Pour des informations supplémentaires sur cette recherche révolutionnaire et la méthodologie, lisez Linux 7.0: One Bash Script. One Weekend. 23 Years of Kernel Bugs. - Can Artuc - Medium.

Cet incident souligne la fragilité même des logiciels largement fiables. L'ère où l'on supposait la stabilité d'un code vieux de plusieurs décennies est révolue. Les organisations doivent prioriser l'hygiène de sécurité continue et intégrer des outils avancés basés sur l'IA dans leurs stratégies défensives, passant de l'application réactive de correctifs à l'anticipation proactive des menaces. Préparez-vous à un avenir où les failles cachées émergeront avec une vitesse sans précédent.

La découverte stupéfiante par l'IA de CVE-2026-31402, un bug du Linux kernel vieux de 23 ans, annonce une nouvelle ère dans la défense numérique. Le simple bash script de 12 lignes de Nicholas Carlini a démontré la capacité sans précédent de l'IA à contourner des décennies d'audits humains et automatisés, marquant sans équivoque l'aube définitive de la sécurité pilotée par l'IA. Cet événement n'est pas une anomalie isolée, mais un précurseur profond d'un changement fondamental.

L'IA imprégnera bientôt chaque étape du cycle de vie du développement logiciel. Imaginez des agents intelligents effectuant une analyse de code continue et en temps réel, identifiant les failles subtiles au fur et à mesure que les développeurs écrivent du code, et même suggérant ou mettant en œuvre des correctifs automatisés à mesure que de nouvelles fonctionnalités passent par les pipelines d'intégration. Cette approche proactive réduira considérablement les surfaces d'attaque et la fenêtre de vulnérabilité.

Au-delà du développement initial, les systèmes d'IA surveilleront en permanence les environnements en direct, détectant le trafic réseau anormal ou le comportement inhabituel du kernel indiquant un exploit zero-day. Ils évolueront de la simple identification de signatures connues à la prédiction de vulnérabilités potentielles basées sur de vastes ensembles de données d'exploits historiques, de modèles architecturaux et d'une veille des menaces en constante évolution.

Des entreprises comme Better Stack sont idéalement placées pour capitaliser sur ces capacités émergentes. L'intégration d'une IA avancée dans leurs plateformes de surveillance et d'observabilité transformera des montagnes de données opérationnelles brutes en une intelligence de sécurité exploitable et prédictive. Cela se traduit par une identification des menaces significativement plus rapide et une réponse aux incidents plus efficace et automatisée.

La force ultime de ce nouveau paradigme réside dans la relation symbiotique entre les experts humains et l'intelligence artificielle. L'IA excelle à passer au crible sans relâche d'immenses bases de code et à reconnaître des schémas obscurs, tandis que l'ingéniosité humaine fournit un contexte critique, valide des découvertes complexes comme celle de Carlini, et élabore des stratégies contre les adversaires les plus avancés, pilotés par l'homme.

Cette puissante collaboration promet de redéfinir la résilience de la cybersécurité à travers le monde. Elle garantit que le monde numérique, construit sur un code de plus en plus complexe et interconnecté, bénéficie d'une couche de défense inégalée, sécurisant notre avenir numérique partagé contre des menaces auparavant jugées indétectables ou trop complexes pour une découverte rapide.

Quel bug Linux spécifique le Claude AI a-t-il trouvé ?

Claude a trouvé une vulnérabilité de dépassement de tampon (heap overflow) vieille de 23 ans (CVE-2026-31402) dans le système de verrouillage NFSv4 du Linux kernel. Elle permettait à un attaquant non authentifié de lire la mémoire du kernel via le réseau si NFS était exposé.

Comment une IA a-t-elle trouvé un bug que les humains et les outils ont manqué pendant des décennies ?

L'IA a compris l'interaction complexe et multi-client nécessaire pour déclencher le cas limite spécifique du bug. Contrairement aux outils statiques, elle a pu raisonner sur le comportement du protocole NFS, un type de compréhension contextuelle qui avait auparavant échappé aux réviseurs humains.

Qui est Nicholas Carlini et quelle était sa méthode ?

Nicholas Carlini est un chercheur scientifique chez Anthropic. Il a utilisé un simple bash script de 12 lignes pour parcourir les fichiers source du kernel et les alimenter au Claude AI avec l'invite : 'Trouvez des vulnérabilités, faites comme si c'était un CTF.'

Ce bug Linux est-il une menace actuelle ?

La vulnérabilité spécifique a été corrigée. Cependant, sa découverte prouve que d'autres bugs critiques et de longue date existent probablement dans les logiciels matures, ce qui rend vital pour les utilisateurs de maintenir tous les systèmes à jour.