Notebookcheck Logo

Bad Epoll: l’IA di Anthropic non ha individuato questa vulnerabilità fondamentale

Un terminale Linux con accesso come root
ⓘ Tima Miroshnichenko / Pexels
Un terminale Linux con accesso come root
Una nuova vulnerabilità del kernel Linux denominata “Bad Epoll” consente a qualsiasi utente locale di ottenere privilegi di root, anche su Android. La particolarità: il modello di intelligenza artificiale Mythos di Anthropic aveva esaminato proprio quella sezione di codice, individuando una falla correlata, ma non era riuscito a rilevarne questa. Alla fine, è stato un essere umano a individuarla. È disponibile una patch.

Il ricercatore di sicurezza Jaeyoung Chung ha reso nota una vulnerabilità del kernel Linux che consente a un normale utente senza privilegi di ottenere il pieno controllo del sistema. La vulnerabilità, denominata “Bad Epoll” e identificata ufficialmente con il codice CVE-2026-46242, interessa i desktop Linux, i server e i dispositivi Android. È disponibile una patch. Il caso è particolarmente degno di nota a causa di un aneddoto: un’intelligenza artificiale aveva già esaminato il codice interessato senza individuare questa vulnerabilità.

Cosa fa Bad Epoll

La vulnerabilità si trova nel sottosistema epoll, una funzione fondamentale che consente ai programmi di monitorare contemporaneamente numerosi file e connessioni di rete. Server, servizi di rete e browser lo utilizzano costantemente e non è possibile disattivarlo. «Bad Epoll» è un bug di tipo «use-after-free»: due percorsi del kernel ripuliscono lo stesso oggetto interno contemporaneamente; uno libera la memoria mentre l’altro sta ancora scrivendo su di essa. Questa breve collisione è sufficiente per manipolare la memoria del kernel e ottenere l’escalation di privilegi da un account normale a quello di root.

Il punto cruciale è la tempistica. La finestra temporale in cui entrambi i percorsi entrano in collisione dura solo circa sei istruzioni macchina. L’exploit di Chung allarga tale finestra e continua a tentare l’attacco senza causare un crash fino a quando non ottiene i privilegi di root sui sistemi testati in circa il 99% dei casi. Due dettagli rendono questa vulnerabilità più grave rispetto ai tipici bug del kernel: secondo Chung, può essere innescata dalla sandbox del renderer di Chrome e si estende all’ Android, cosa che la maggior parte delle vulnerabilità di Linux non fa.

Perché l’IA non ha individuato la vulnerabilità

?

Entrambe le criticità risalgono a un’unica modifica al codice risalente al 2023, in sole 2.500 righe di codice epoll. Il modello di IA di Anthropic, Mythos, ha individuato la prima delle due condizioni di competizione e l’ha segnalata come CVE-2026-43074. Si è trattato di un vero successo, poiché bug di tipo «race» come questi sono considerati difficili da individuare. Il modello non ha individuato il secondo, denominato «Bad Epoll». Alla fine, è stato il ricercatore Jaeyoung Chung a individuarlo e a sviluppare un attacco funzionante a suo carico.

Chung fornisce due possibili ragioni per spiegare tale punto cieco, senza però sbilanciarsi a favore di nessuna delle due. La finestra temporale è talmente ridotta che è difficile immaginare la sequenza esatta anche osservando il codice. Inoltre, dopo che la prima vulnerabilità era stata corretta, «Bad Epoll» di solito non attivava più il rilevatore di errori di memoria KASAN, lasciando il modello privo di tracce di esecuzione. Il caso evidenzia entrambi i lati della questione: l’IA è in grado di individuare bug complessi nel kernel, ma può comunque fallire in presenza di sottili condizioni di competizione.

Chi è interessato e cosa fare

Sono interessate le versioni del kernel dalla 6.4 in poi, qualora la correzione non fosse ancora stata applicata. I sistemi più vecchi basati su Linux 6.1 sono al sicuro, compresi alcuni dispositivi “ Android ” come il Pixel 8, poiché il codice difettoso è stato aggiunto solo dopo quel ramo. Secondo Chung, è ancora in fase di sviluppo un exploit “ Android ”. Vi è qualche motivo di rassicurazione riguardo al rischio immediato: finora non vi sono indicazioni di attacchi in circolazione e l’unico codice funzionante è il proof of concept del programma kernelCTF di Google. Altro aspetto importante: l’autore dell’attacco deve già disporre di accesso locale al dispositivo, poiché la vulnerabilità non può essere attivata da remoto.

Gli utenti che applicano la patch manualmente dovrebbero utilizzare il commit upstream a6dc643c6931. Tutti gli altri dovrebbero attendere il backport della propria distribuzione e installarlo tempestivamente. Poiché epoll non può essere disabilitato, non esiste alcuna soluzione alternativa; solo l’aggiornamento risolve il problema.

Google LogoAdd as a preferred source on Google
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 07 > Bad Epoll: l’IA di Anthropic non ha individuato questa vulnerabilità fondamentale
Steffen Zahn, 2026-07- 8 (Update: 2026-07- 8)