AIが15年間見逃されたLinuxの重大バグを発見

원제: AI Found a Root Bug in Linux That Everyone Missed for 15 Years

왜 중요한가

AIによる自動化バグ検出が、人間が15年間見落とした重大なカーネル脆弱性を発見し、セキュリティ研究の新たな有効性を示した。

Nebula SecurityのAIツール「VEGA」が、Linuxカーネルに15年間存在していた権限昇格の脆弱性「GhostLock(CVE-2026-43499)」を発見した。この欠陥はログイン済みユーザーがroot権限を取得できるもので、2011年以降ほぼすべての主要ディストリビューションに影響する。Nebula社はGoogleのkernelCTFプログラムで9万2,337ドルの報奨金を獲得した。

Nebula Securityは、Linuxカーネルに15年間存在していた「use-after-free」脆弱性「GhostLock(CVE-2026-43499)」のエクスプロイトコードを公開した。SecurityWeekおよびThe Hacker Newsが報じた。

この脆弱性は、ログイン済みのユーザーが特別な権限やネットワークアクセスなしにroot権限を取得できるものだ。2011年からほぼすべての主流Linuxディストリビューションにデフォルトで含まれており、Nebulaのエクスプロイトはコンテナからの脱出も可能で、テストにおける成功率は97%に達した。

GoogleのkernelCTFプログラムを通じて9万2,337ドルの報奨金が支払われた。脆弱性は2026年4月に修正されたが、パッチの適用状況にはばらつきがあり、7月初旬時点でUbuntu 24.04、22.04、20.04 LTSはまだ脆弱または対応中とされており、防御担当者は修正済みパッケージを個別に確認する必要がある。

NebulaはAI搭載のバグ検出ツール「VEGA」でこの脆弱性を発見した。2026年に入り、自動化ツールが長年再確認されていなかった古いカーネルコードを解析し、複数のLinux権限昇格の欠陥を発見するケースが相次いでいる。

출처

wired.com — 원문 읽기 →