Notebookcheck Logo

Bad Epoll: De AI van Anthropic heeft deze fundamentele kwetsbaarheid over het hoofd gezien

Een Linux-terminal met root-toegang
ⓘ Tima Miroshnichenko / Pexels
Een Linux-terminal met root-toegang
Een nieuw beveiligingslek in de Linux-kernel, genaamd „Bad Epoll”, verleent elke lokale gebruiker root-rechten, ook op Android. Het opmerkelijke hieraan is dat het AI-model „Mythos” van Anthropic juist dat specifieke codegedeelte had beoordeeld, daarbij een gerelateerd beveiligingslek had ontdekt, maar dit specifieke lek over het hoofd had gezien. Uiteindelijk is het door een mens ontdekt. Er is een patch beschikbaar.

Beveiligingsonderzoeker Jaeyoung Chung heeft een kwetsbaarheid in de Linux-kernel aan het licht gebracht waardoor een gewone gebruiker zonder speciale rechten volledige controle over het systeem kan krijgen. „Bad Epoll”, officieel CVE-2026-46242, treft Linux-desktops, -servers en - Android. Er is een patch beschikbaar. Deze zaak is vooral opmerkelijk vanwege een bijkomstig verhaal: een AI had de betreffende code al onderzocht en deze kwetsbaarheid over het hoofd gezien.

Wat Bad Epoll doet

Het beveiligingslek zit in het epoll-subsysteem, een kernfunctie waarmee programma’s tegelijkertijd vele bestanden en netwerkverbindingen kunnen monitoren. Servers, netwerkdiensten en browsers maken er voortdurend gebruik van, en het kan niet worden uitgeschakeld. „Bad Epoll“ is een „use-after-free“-fout: twee kernelpaden ruimen tegelijkertijd hetzelfde interne object op, waarbij het ene pad het geheugen vrijmaakt terwijl het andere er nog naar schrijft. Die korte botsing volstaat om het kernelgeheugen te manipuleren en van een normaal account naar root te escaleren.

De crux zit hem in de timing. Het venster waarin beide paden elkaar raken, is slechts ongeveer zes machine-instructies breed. De exploit van Chung verbreedt dat venster en blijft het proberen zonder te crashen, totdat hij op geteste systemen in ongeveer 99% van de gevallen root-toegang verkrijgt. Twee details maken deze kwetsbaarheid ernstiger dan typische kernelbugs: volgens Chung kan deze worden geactiveerd vanuit de renderer-sandbox van Chrome, en strekt deze zich uit tot Android, wat bij de meeste Linux-kwetsbaarheden niet het geval is.

Waarom de AI de kwetsbaarheid over het hoofd zag

Beide problemen zijn terug te voeren op één enkele codewijziging uit 2023, in slechts 2.500 regels epoll-code. Het AI-model Mythos van Anthropic ontdekte de eerste van de twee race-condities en rapporteerde deze als CVE-2026-43074. Dat was een groot succes, aangezien dit soort race-bugs als moeilijk te detecteren worden beschouwd. Het model miste de tweede, „Bad Epoll“. Uiteindelijk ontdekte de menselijke onderzoeker Jaeyoung Chung deze en ontwikkelde hij een werkende aanval ervoor.

Chung noemt twee mogelijke redenen voor deze blinde vlek, zonder zich op een van beide vast te leggen. Het tijdvenster is zo klein dat de exacte volgorde moeilijk voor te stellen is, zelfs wanneer men de code bekijkt. En nadat de eerste kwetsbaarheid was verholpen, activeerde „Bad Epoll“ doorgaans niet langer de geheugenfoutdetector KASAN, waardoor het model geen runtime-traces meer had. Dit geval laat beide kanten van de medaille zien: AI kan complexe kernelbugs opsporen, maar kan toch falen bij subtiele race conditions.

Wie wordt hierdoor getroffen en wat moet er gebeuren

?

Kernelversies vanaf 6.4 zijn kwetsbaar indien de oplossing nog niet is geïmplementeerd. Oudere systemen op basis van Linux 6.1 zijn veilig, waaronder sommige apparaten met de ‘ Android ’, zoals de Pixel 8, omdat de foutieve code pas na die branch is toegevoegd. Volgens Chung wordt er nog gewerkt aan een ‘ Android ’-exploit. Er is enige geruststelling wat betreft het onmiddellijke risico: tot nu toe zijn er geen aanwijzingen voor aanvallen in het wild, en de enige werkende code is het proof-of-concept uit het kernelCTF-programma van Google. Ook belangrijk: de aanvaller heeft al lokale toegang tot het apparaat nodig, aangezien het beveiligingslek niet op afstand kan worden geactiveerd.

Gebruikers die handmatig patches toepassen, dienen de upstream-commit a6dc643c6931 te installeren. Alle anderen dienen te wachten op de backport van hun distributie en deze onmiddellijk te installeren. Aangezien epoll niet kan worden uitgeschakeld, is er geen tijdelijke oplossing; alleen de update lost het probleem op.

Google LogoAdd as a preferred source on Google
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2026 07 > Bad Epoll: De AI van Anthropic heeft deze fundamentele kwetsbaarheid over het hoofd gezien
Steffen Zahn, 2026-07- 8 (Update: 2026-07- 8)