A IA Acabou de Hackear o Segredo de 23 Anos do Linux

Claude Code acabou de encontrar um bug de kernel do Linux explorável remotamente, uma falha crítica que permaneceu oculta desde março de 2003. Esta vulnerabilidade, à espreita por 23 anos em uma das bases de código mais escrutinadas do mundo, foi descoberta pela IA em questão de horas. A velocidade e precisão desta descoberta desafiam as expectativas convencionais para a pesquisa de vulnerabilidades.

Linux, o sistema operacional fundamental que alimenta inúmeros servidores e dispositivos globalmente, passou por auditorias implacáveis por legiões de especialistas humanos e ferramentas sofisticadas de análise estática por décadas. No entanto, este heap overflow específico no cache de replay LOCK do NFSv4.0 escapou da detecção, destacando um ponto cego significativo nas metodologias de segurança tradicionais.

Este evento transcende uma simples descoberta de bug; ele marca uma profunda mudança de paradigma na segurança de software. A capacidade de uma IA de identificar autonomamente uma falha tão profundamente enraizada e complexa sugere uma nova era para a cibersegurança, onde a inteligência automatizada poderia alterar fundamentalmente o cenário da auditoria de código e mitigação de ameaças.

Claude Code, um modelo avançado de IA, executou este feito sem precedentes. O pesquisador Nicholas Carlini, um cientista da Anthropic, orquestrou a descoberta. Ele empregou uma configuração notavelmente simples: um script bash de 12 linhas que iterava pelos arquivos fonte do kernel do Linux, alimentando-os para Claude com a instrução, "Encontre vulnerabilidades, finja que é um CTF."

A abordagem minimalista de Carlini produziu resultados extraordinários. A IA não apenas adivinhou; ela demonstrou uma compreensão sofisticada do intrincado comportamento multi-cliente do NFS, identificando as condições exatas para o heap overflow. Isso exigiu compreender como dois clientes NFS poderiam acionar um caso de borda específico, levando um servidor a escrever mais de mil bytes em um buffer de 112 bytes.

O bug identificado permitiu que um atacante não autenticado lesse a memória do kernel pela rede se o NFS estivesse exposto, representando um risco grave. Carlini confirmou a natureza prolífica da IA, afirmando que Claude Code encontrou não apenas este bug do Linux de 23 anos, mas também "centenas mais que sobreviveram a décadas de auditorias," sinalizando um vasto potencial inexplorado para a IA na descoberta de falhas legadas.

Nicholas Carlini, um cientista pesquisador da Anthropic, orquestrou o impossível com uma configuração enganosamente simples: um script bash de 12 linhas. Esta sequência concisa de linha de comando serviu como todo o framework operacional, demonstrando que a pesquisa inovadora de vulnerabilidades não exige uma infraestrutura elaborada e personalizada. Apenas exigiu uma interface direta para um poderoso modelo de IA.

O script de Carlini percorreu os arquivos fonte do kernel do Linux, alimentando trechos para Claude Code, especificamente Claude Opus 4.6. A instrução que o acompanhava era direta e coloquial: "encontre vulnerabilidades, finja que é um CTF." Este prompt sem adornos, imitando um desafio Capture The Flag, desbloqueou uma capacidade sem precedentes na análise de segurança automatizada, contornando a necessidade de conjuntos de regras complexos ou padrões de exploração predefinidos.

Apesar da abordagem minimalista do experimento, a descoberta da IA foi tudo menos simples. Claude identificou um bug de 23 anos no kernel do Linux, um heap overflow explorável remotamente aninhado no NFSv4.0 LOCK replay cache. Presente desde março de 2003, esta falha crítica permitiu que um atacante não autenticado lesse a memória do kernel pela rede se o NFS estivesse exposto, uma vulnerabilidade que havia escapado a décadas de auditorias humanas e ferramentas de análise estática. A vulnerabilidade específica recebeu desde então o CVE-2026-31402.

Esta não foi uma iniciativa de pesquisa cara e plurianual financiada por um empreiteiro de defesa. Em vez disso, foi um experimento acessível, executável por praticamente qualquer pessoa com acesso ao Claude Code e uma compreensão básica de scripting. Os resultados profundos sublinham uma mudança de paradigma: a caça sofisticada a bugs não é mais o domínio exclusivo de equipes de elite e bem-financiadas, mas uma fronteira agora aberta à IA prontamente disponível.

As descobertas iniciais de Carlini vão muito além desta descoberta singular. O Claude Code não encontrou apenas um bug antigo do Linux; ele descobriu "centenas mais que sobreviveram a décadas de auditorias", com o próprio Carlini já tendo identificado cinco vulnerabilidades distintas no kernel do Linux. Centenas de falhas potenciais adicionais aguardam validação humana, sinalizando um vasto e inexplorado reservatório de falhas ocultas expostas por esta metodologia de IA acessível.

A vulnerabilidade, agora formalmente rastreada como CVE-2026-31402, representa um heap overflow crítico dentro do Network File System versão 4 (NFSv4 lock system). Especificamente, a falha reside no NFSv4.0 LOCK replay cache, um componente que lida com solicitações de bloqueio de arquivos em clientes em rede. Isso não é um simples descuido; exige uma compreensão profunda do comportamento do NFS multi-cliente para ser explorado.

Em sua essência, o bug se manifesta como um grave problema de corrupção de memória. Imagine tentar forçar 1056 bytes de dados em um pequeno contêiner projetado para conter apenas 112 bytes. Essa incompatibilidade extrema descreve o problema central. O Linux kernel, sob condições específicas, tenta essa façanha impossível, fazendo com que a memória se espalhe para além de seus limites alocados.

Este caso de borda precário requer uma interação precisa entre dois clientes para ser acionado. Primeiro, o Cliente A inicia uma solicitação de bloqueio de arquivo, fornecendo um ID de proprietário de 1024 bytes, incomumente longo, mas tecnicamente legal. Este identificador estendido é crucial para a cadeia de exploração.

Em seguida, o Cliente B tenta adquirir o mesmo bloqueio de arquivo que o Cliente A agora possui. O servidor NFS nega corretamente a solicitação do Cliente B. No entanto, ao construir a resposta de negação, o servidor inclui o ID de proprietário original de 1024 bytes do Cliente A.

Aqui reside a falha crítica: o buffer de resposta interno do servidor para esta operação mede meros 112 bytes. Quando ele tenta incorporar o ID de proprietário de 1024 bytes junto com outros dados necessários da mensagem de negação, o tamanho total da resposta aumenta para aproximadamente 1056 bytes. Este overflow massivo escreve muito além dos limites do buffer, corrompendo a memória adjacente do kernel.

Explorar esta corrupção de memória do kernel permite que um atacante leia dados sensíveis remotamente sem exigir qualquer autenticação, desde que o serviço NFS esteja exposto no sistema alvo. Esta divulgação remota de memória não autenticada torna o bug excepcionalmente perigoso, revelando por que ele sobreviveu a décadas de auditorias e por que a capacidade da IA de encontrá-lo é tão significativa. Para mais informações técnicas sobre esta descoberta, leia mais sobre Claude Code Finds Long Hidden Linux NFS Vulnerability - Let's Data Science.

Por mais de duas décadas, este crítico heap overflow permaneceu dormente dentro do kernel Linux, evadindo inúmeros olhos de especialistas e ferramentas automatizadas sofisticadas. Sua persistência destaca um ponto cego profundo nas auditorias de cibersegurança tradicionais, que se mostraram incapazes de descobrir um bug enraizado profundamente no sistema de bloqueio Network File System (NFS) V4. O fato de uma IA, Claude Code, ter desenterrado um bug de 23 anos do Linux em horas expõe as limitações inerentes das metodologias passadas.

Ferramentas de análise estática, projetadas para escanear código em busca de padrões de vulnerabilidades conhecidas, geralmente têm dificuldade com falhas altamente contextuais e multiestado. Da mesma forma, o fuzzing, uma técnica comum que bombardeia o software com entradas malformadas para acionar falhas, frequentemente perde casos de borda que exigem interações precisas e sequenciais entre múltiplos componentes do sistema. Esta vulnerabilidade específica exigiu uma compreensão matizada de como dois clientes NFS distintos interagiriam para acionar o overflow, um cenário difícil de gerar aleatoriamente ou identificar estaticamente.

A descoberta de CVE-2026-31402 exigiu uma compreensão profunda e contextual do comportamento NFS multi-cliente e das intrincadas transições de estado dentro de seu sistema de bloqueio. O bug se materializou apenas quando um cliente adquiriu um owner ID incomumente longo de 1024 bytes, e um segundo cliente subsequentemente acionou uma negação, fazendo com que o servidor escrevesse 1056 bytes em um buffer de meros 112 bytes. Tal interação específica e dependente de estado é onde modelos de IA como Claude Code se destacam, interpretando especificações de protocolo complexas e identificando falhas lógicas não óbvias.

O pesquisador Nicholas Carlini admitiu a dificuldade, afirmando: "Se eu nunca encontrei um desses manualmente, agora tenho vários." Esta admissão franca ressalta o desafio para especialistas humanos encontrarem tais heap overflows exploráveis remotamente de forma manual. O simples script bash de 12 linhas de Carlini, combinado com a destreza analítica de Claude, contornou décadas de auditorias falhas e revelou centenas de outras vulnerabilidades potenciais que os métodos tradicionais negligenciaram.

A descoberta de CVE-2026-31402 anuncia uma mudança profunda na cibersegurança: o advento da pesquisa de vulnerabilidades impulsionada por IA. Ao contrário dos especialistas humanos, a IA aborda bases de código legadas com verdadeiros "olhos frescos", desprovida das suposições acumuladas e modelos mentais que podem cegar até mesmo os auditores mais experientes. Esta perspectiva desonerada provou ser crítica para desenterrar uma falha escondida por mais de duas décadas.

Desenvolvedores humanos e auditores de segurança, apesar de sua expertise, inevitavelmente desenvolvem atalhos cognitivos. Ao longo de anos trabalhando com sistemas complexos como o kernel Linux e protocolos como o NFS, eles formam entendimentos arraigados de como os componentes *deveriam* interagir. Esses frameworks mentais, embora eficientes, podem inadvertidamente criar pontos cegos, fazendo com que desvios sutis das especificações de protocolo ou casos de borda inesperados passem despercebidos.

Claude Code, especificamente Claude Opus 4.6, opera sem esses vieses humanos. Ele analisa puramente a lógica do código bruto e as especificações de protocolo, identificando discrepâncias ou potenciais overflows com base em dados objetivos. O script bash simples de 12 linhas de Nicholas Carlini, instruindo Claude a "encontrar vulnerabilidades, fingir que é um CTF", aproveitou essa capacidade. A IA não adivinhou; ela entendeu o comportamento complexo de NFS multi-cliente e como um ID de proprietário de 1024 bytes poderia transbordar catastroficamente um buffer de 112 bytes durante uma resposta de negação.

Este avanço também ressalta o rápido progresso nas capacidades da IA. Versões mais antigas de modelos de IA poderiam ter perdido a lógica intrincada que levou a CVE-2026-31402. Claude Opus 4.6, no entanto, demonstrou uma capacidade superior de raciocinar através de máquinas de estado intrincadas e interações entre clientes, descobrindo não apenas este bug de Linux de 23 anos, mas também "centenas mais que sobreviveram a décadas de auditorias." Esta melhoria exponencial sinaliza um futuro onde a IA rotineiramente descobre falhas profundas que há muito tempo escapam à detecção humana.

Os mantenedores do kernel do Linux mudaram drasticamente sua postura em relação aos relatórios de bugs gerados por IA. Um senso palpável de urgência e respeito pelas capacidades da IA agora permeia conversas onde o ceticismo profundo e a rejeição total já reinaram. Isso representa uma mudança profunda na notoriamente conservadora comunidade open-source.

Greg Kroah-Hartman, uma figura venerável na comunidade do kernel do Linux, observou que "o mundo mudou" quase da noite para o dia. Um influxo repentino de "relatórios reais", exibindo percepção genuína e detalhes acionáveis, agora substitui o que antes era universalmente descartado como "AI slop" inútil, alterando fundamentalmente seu processo de triagem de bugs.

Por anos, as submissões de vulnerabilidades geradas por IA foram amplamente ignoradas. Essas primeiras tentativas, muitas vezes caracterizadas por descobertas sem sentido, análises superficiais ou fabricações diretas, desperdiçavam o tempo precioso dos mantenedores. Elas consistentemente careciam da profunda compreensão contextual necessária para a identificação genuína e explorável de bugs, levando a uma suposição padrão de baixa qualidade.

Willy Tarreau, outro influente desenvolvedor de kernel, corrobora essa mudança dramática. Sua equipe agora vê uma média de 5-10 relatórios de bugs de alta qualidade por dia, um contraste marcante com a taxa anterior de meros 2-3 relatórios por semana. Este aumento exponencial destaca um salto qualitativo na análise impulsionada por IA, demonstrando uma nova capacidade de identificar falhas críticas.

Esta nova era de inteligência acionável deriva diretamente de modelos de IA sofisticados como Claude Code, que demonstraram uma compreensão profunda de sistemas complexos como NFSv4.0 para descobrir CVE-2026-31402. O script simples de 12 linhas de Nicholas Carlini provou ser um potente catalisador para essa mudança de paradigma, provando a capacidade da IA de encontrar vulnerabilidades em bases de código profundamente incorporadas e com décadas de existência. Para mais detalhes sobre como Claude Code foi usado para identificar esta vulnerabilidade de longa data, leia sobre a descoberta aqui: Claude Code Used to Find Remotely Exploitable Linux Kernel Vulnerability Hidden for 23 Years - InfoQ.

A IA não é mais apenas uma ferramenta para gerar código ou conteúdo; ela agora contribui ativamente para a segurança central de softwares fundamentais. Essa mudança força uma reavaliação radical de como a comunidade open-source aborda a descoberta de vulnerabilidades e a auditoria de código, prometendo um futuro onde falhas ocultas se tornam cada vez mais raras.

A pesquisa de vulnerabilidades mudou fundamentalmente, invertendo o desafio tradicional. Modelos de AI como Claude Code agora geram exploits potenciais sem esforço, deslocando o gargalo da árdua descoberta de falhas para a sua exaustiva e demorada validação humana. Esta mudança dramática redefine o problema central para a cibersegurança.

O simples script bash de 12 linhas de Nicholas Carlini rendeu muito mais do que apenas CVE-2026-31402, o bug do Linux de 23 anos. Claude identificou "centenas mais" de potenciais falhas, cada uma uma vulnerabilidade complexa que sobreviveu a décadas de auditorias humanas e automatizadas. Estas descobertas agora aguardam numa fila, exigindo uma revisão meticulosa por um número limitado de especialistas humanos altamente especializados.

Esta torrente de pistas de alto potencial impõe um fardo sem precedentes às equipas de segurança globalmente. As organizações estão subitamente inundadas com relatórios de vulnerabilidades promissores, gerados por AI, mas carecem criticamente da mão de obra e da experiência especializada para investigar minuciosamente cada um. O volume ameaça sobrecarregar os fluxos de trabalho existentes de resposta a incidentes, desenvolvimento de patches e garantia de software.

As implicações estendem-se para além da aplicação imediata de patches. Isto introduz o próximo desafio crítico na era da segurança impulsionada por AI: como escalar eficazmente a experiência humana para corresponder à taxa de descoberta implacável da AI. Sistemas legados, outrora considerados minuciosamente auditados, são agora terreno fértil para a AI, mas a velocidade da análise humana não consegue acompanhar a capacidade da AI de sondar vastas bases de código em busca de falhas subtis.

Enfrentar um futuro onde a capacidade de confirmar rápida e precisamente problemas sinalizados por AI se torna o recurso mais valioso e escasso na cibersegurança. Isto exige um repensar profundo das operações de segurança, avançando para novos mecanismos de triagem e modelos de colaboração humano-AI concebidos para acelerar a validação. A era em que encontrar um bug crítico era a parte mais difícil já passou; agora, discernir o sinal do ruído e agir sobre ele é a preocupação primordial.

O grande volume de potenciais problemas significa que muitas vulnerabilidades críticas e exploráveis remotamente podem permanecer sem patch, simplesmente porque os analistas humanos não conseguem processá-las todas. Isto cria uma nova dívida de segurança, onde potenciais exploits se acumulam, à espera de intervenção humana que pode nunca chegar. Abordar este défice de capacidade humana representa a próxima fronteira na segurança da nossa infraestrutura digital.

A revelação de vulnerabilidades descobertas por AI como CVE-2026-31402 apresenta uma profunda espada de dois gumes para a cibersegurança. O simples script bash de 12 linhas de Nicholas Carlini, que permitiu a Claude Code desenterrar um bug do Linux de 23 anos em poucas horas, sublinha uma realidade alarmante: se os investigadores podem alavancar a AI com tanta facilidade, o mesmo podem fazer os atores maliciosos. Esta capacidade ameaça acelerar dramaticamente a corrida armamentista digital entre atacantes e defensores, alterando fundamentalmente o panorama da segurança.

Modelos de AI amplamente disponíveis, capazes de descobrir vulnerabilidades zero-day complexas sob demanda, introduzem um cenário de ameaças sem precedentes. Imagine atores estatais ou empresas criminosas sofisticadas implantando scripts semelhantes, não para divulgação defensiva, mas para exploração generalizada contra infraestruturas críticas e redes corporativas. A barreira de entrada para descobrir falhas profundamente ocultas, que antes exigia imensa experiência e tempo humanos, diminuiu significativamente, democratizando a pesquisa de vulnerabilidades tanto para o bem quanto para o mal.

Esta mudança levanta questões urgentes sobre a ética do desenvolvimento e lançamento de ferramentas tão poderosas. Embora o trabalho de Carlini na Anthropic vise fortalecer a segurança defensiva, a natureza de duplo uso da tecnologia subjacente é inegável. O acesso a esses modelos avançados de AI deve ser restrito, ou sua ampla disponibilidade é uma força inevitável e incontrolável?

As práticas de divulgação responsável, já uma dança complexa entre identificar falhas e coordenar patches, tornam-se ainda mais críticas e problemáticas. Pesquisadores enfrentam imensa pressão para relatar descobertas rapidamente, mas a velocidade com que a AI pode gerar vulnerabilidades pode sobrecarregar os mecanismos de divulgação existentes. O volume de falhas potenciais, como as "centenas a mais" identificadas por Claude Code, exige um novo paradigma para validação e aplicação de patches rápidos em vastas codebases.

Em última análise, a capacidade da AI em encontrar vulnerabilidades força um acerto de contas com nossa postura coletiva de segurança digital. A mesma tecnologia que promete proteger nosso futuro também entrega um poder sem precedentes àqueles que buscam miná-lo, muitas vezes sem authentication necessária. Devemos confrontar como aproveitar esse poder defensivamente, sem inadvertidamente armar os adversários. As implicações para a estabilidade global, infraestrutura crítica e privacidade individual são impressionantes.

A ação imediata para todo usuário, administrador e CTO de Linux é clara: atualize seu kernel sem demora. A vulnerabilidade crítica de heap overflow, rastreada como CVE-2026-31402, permitiu que atacantes não autenticados lessem a memória do kernel pela rede. Esta falha de 23 anos no sistema de bloqueio NFSv4.0, exposta por Claude Code, exige aplicação imediata de patches em todos os sistemas afetados.

Além da aplicação de patches, reavalie criticamente sua arquitetura de rede. A gravidade do bug do NFS aumentou porque não exigia authentication se o Network File System estivesse exposto à internet. Restrinja o acesso a redes internas ou implemente VPNs e firewalls robustos. Nunca exponha serviços como NFS diretamente à internet pública; esta prática cria um convite aberto para exploits.

Adote uma nova mentalidade de segurança proativa: assuma que todos os sistemas legados abrigam vulnerabilidades críticas e não descobertas. Se uma AI pode desenterrar um bug complexo de interação multi-cliente de 2003 com um script bash de 12 linhas, os métodos de auditoria tradicionais têm pontos cegos significativos. Essa mudança de paradigma significa escanear, atualizar e validar continuamente até mesmo codebases de longa data.

Equipes de Cybersecurity agora enfrentam um cenário de ameaças dinâmico onde a AI acelera significativamente a descoberta de vulnerabilidades. Concentre recursos não apenas em encontrar novos bugs, mas na validação e implantação rápidas de patches. Para insights adicionais sobre esta pesquisa inovadora e a metodologia, leia Linux 7.0: One Bash Script. One Weekend. 23 Years of Kernel Bugs. - Can Artuc - Medium.

Este incidente ressalta a fragilidade até mesmo de softwares amplamente confiáveis. A era de assumir estabilidade para códigos de décadas acabou. As organizações devem priorizar a higiene de segurança contínua e integrar ferramentas avançadas impulsionadas por AI em suas estratégias defensivas, passando da aplicação reativa de patches para a antecipação proativa de ameaças. Prepare-se para um futuro onde falhas ocultas surgem com velocidade sem precedentes.

A impressionante descoberta da IA do CVE-2026-31402, um bug de 23 anos no kernel do Linux, anuncia uma nova era na defesa digital. O simples script bash de 12 linhas de Nicholas Carlini demonstrou a capacidade sem precedentes da IA de contornar décadas de auditorias humanas e automatizadas, marcando inequivocamente o definitivo amanhecer da segurança impulsionada por IA. Este evento não é uma anomalia isolada, mas um precursor profundo de uma mudança fundamental.

A IA em breve permeará todas as etapas do ciclo de vida do desenvolvimento de software. Imagine agentes inteligentes realizando análises de código contínuas e em tempo real, identificando falhas sutis enquanto os desenvolvedores escrevem código, e até mesmo sugerindo ou implementando correções automatizadas à medida que novas funcionalidades avançam pelos pipelines de integração. Essa abordagem proativa reduzirá drasticamente as superfícies de ataque e a janela de vulnerabilidade.

Além do desenvolvimento inicial, os sistemas de IA monitorarão continuamente ambientes em tempo real, detectando tráfego de rede anômalo ou comportamento incomum do kernel indicativo de um exploit de dia zero. Eles evoluirão de meramente identificar assinaturas conhecidas para prever vulnerabilidades potenciais com base em vastos conjuntos de dados de exploits históricos, padrões arquitetônicos e inteligência de ameaças em evolução.

Empresas como a Better Stack estão unicamente posicionadas para capitalizar essas capacidades emergentes. A integração de IA avançada em suas plataformas de monitoramento e observabilidade transformará montanhas de dados operacionais brutos em inteligência de segurança acionável e preditiva. Isso se traduz em identificação de ameaças significativamente mais rápida e resposta a incidentes mais eficaz e automatizada.

A força máxima deste novo paradigma reside na relação simbiótica entre especialistas humanos e inteligência artificial. A IA se destaca em vasculhar incansavelmente imensas bases de código e reconhecer padrões obscuros, enquanto a engenhosidade humana fornece contexto crítico, valida descobertas complexas como as de Carlini e elabora estratégias contra os adversários mais avançados e impulsionados por humanos.

Esta poderosa colaboração promete redefinir a resiliência da cibersegurança em todo o mundo. Garante que o mundo digital, construído sobre código cada vez mais complexo e interconectado, beneficie de uma camada de defesa inigualável, protegendo o nosso futuro digital partilhado contra ameaças anteriormente consideradas indetectáveis ou demasiado intrincadas para uma descoberta atempada.

Qual bug específico do Linux a Claude AI encontrou?

A Claude encontrou uma vulnerabilidade de heap overflow de 23 anos (CVE-2026-31402) no sistema de bloqueio NFSv4 do kernel do Linux. Ela permitia que um atacante não autenticado lesse a memória do kernel pela rede se o NFS estivesse exposto.

Como uma IA encontrou um bug que humanos e ferramentas perderam por décadas?

A IA compreendeu a complexa interação multi-cliente necessária para acionar o caso de borda específico do bug. Ao contrário das ferramentas estáticas, ela podia raciocinar sobre o comportamento do protocolo NFS, um tipo de compreensão contextual que anteriormente havia escapado aos revisores humanos.

Quem é Nicholas Carlini e qual foi o seu método?

Nicholas Carlini é um cientista pesquisador na Anthropic. Ele usou um simples script bash de 12 linhas para percorrer arquivos-fonte do kernel e alimentá-los à Claude AI com o prompt: 'Encontre vulnerabilidades, finja que é um CTF.'

Este bug do Linux é uma ameaça atual?

A vulnerabilidade específica foi corrigida. No entanto, sua descoberta prova que outros bugs críticos e de longa data provavelmente existem em softwares maduros, tornando vital para os usuários manter todos os sistemas atualizados.