CVE-2026-31431 „Copy Fail“: aktivně zneužívaná lokální eskalace práv v linuxovém jádře
Zranitelnost CVE-2026-31431 v modulu linuxového jádra umožňuje po lokálním přihlášení eskalovat práva na root. CISA ji zařadila do katalogu Known Exploited Vulnerabilities a zneužití probíhá v praxi. Theori chybu objevila, nahlásila 23. března a před zveřejněním byly vydány záplaty.
AI našla chybu, která z lokálního uživatele udělá roota
Zranitelnost CVE-2026-31431, označovaná jako „Copy Fail“, patří mezi nejdiskutovanější bezpečnostní chyby posledních týdnů. Objevila ji společnost Theori prostřednictvím své AI platformy Xint a 23. března 2026 ji nahlásila bezpečnostnímu týmu linuxového jádra.
Chyba umožňuje eskalaci oprávnění z běžného uživatele na root, a to při autentizovaném lokálním přístupu. Jinými slovy – útočník, který už má přístup do systému, může získat plnou kontrolu nad celým zařízením.
Zranitelnost byla následně zařazena do katalogu CISA KEV (Known Exploited Vulnerabilities), což znamená, že existují důkazy o jejím aktivním zneužívání v praxi.
Zveřejnění pomohla AI, ale část expertů kritizuje marketing i nedostatek detailů
Theori kolem zranitelnosti vytvořila netradiční komunikační vrstvu. Spustila web copy.fail, který obsahuje obsah částečně generovaný pomocí AI. Firma zároveň uvedla, že všechny publikované informace prošly interní kontrolou přesnosti.
Právě tato forma zveřejnění ale vyvolala kritiku.
Například[Caitlin Condon označila blog jako „AI slop“, tedy obsah s nízkou informační hodnotou.
Podle Spencer McIntyre navíc samotné zneužití není tak přímočaré, jak může marketing naznačovat – vyžaduje již existující přístup do systému nebo kombinaci s dalším exploitem.
Krátce po zveřejnění se objevily stovky dalších proof-of-concept exploitů, z nichž mnoho podle výzkumníků působí jako AI generované variace původního kódu.
Problém není v aplikaci, ale v crypto části linuxového jádra
Technicky se chyba nachází v crypto subsystému linuxového jádra, konkrétně v kombinaci funkcionality AF_ALG a práce se systémovým voláním splice().
Nejde tedy o chybu v aplikaci nebo službě, ale o problém hluboko v jádře systému – což výrazně zvyšuje její potenciální dopad.
Podle Theori může být zranitelnost přítomná v široké škále systémů sestavených od roku 2017.
Tato tvrzení je ale potřeba brát opatrně – nejde o plošně potvrzený dopad na všechny distribuce a konfigurace.
Firma zároveň zadržuje část technických detailů, dokud nebude většina systémů aktualizována.
Útok není vzdálený, ale pro napadený server může být fatální
Důležitým omezením je, že zranitelnost neumožňuje vzdálený útok sama o sobě. Útočník musí mít již:
- lokální přístup do systému, nebo
- jiný exploit, kterým se do systému dostane
To ale neznamená nízké riziko.
Jakmile se útočník do systému dostane, může pomocí Copy Fail získat root oprávnění, což znamená:
- plnou kontrolu nad serverem
- možnost manipulace s daty
- perzistenci v systému
Theori i další zdroje upozorňují, že zranitelnost může mít dopady i na kontejnery a Kubernetes prostředí, ale rozsah těchto scénářů zatím není plně potvrzen.
Záplaty jsou venku, ale tempo nasazení rozhodne o riziku
Zranitelnost byla opravena v upstream linuxovém jádře na začátku dubna a jednotlivé distribuce začaly postupně vydávat záplaty.
Nelze ale jednoznačně říct, že všechny systémy byly opraveny před zveřejněním – nasazování patchů probíhá postupně a liší se podle distribuce.
Klíčovým faktorem tak zůstává:
jak rychle organizace aktualizují své systémy.
Počet reálně zasažených organizací zatím není známý, ale kombinace faktorů:
- zařazení do CISA KEV
- dostupnost veřejných exploitů
- mediální pozornost
naznačuje, že pokusy o zneužití budou v následujících týdnech narůstat.
Zdroje
- CyberScoop: https://cyberscoop.com/copy-fail-linux-vulnerability-artificial-intelligence/
- Theori (Copy Fail): https://copy.fail
- Xint technický rozbor: https://xint.io/blog/copy-fail-linux-distributions