Linux内核又爆出一个高危漏洞，代号“Copy Fail”。美国网络安全和基础设施安全局（CISA）已于5月1日将其列入“已知被利用漏洞”目录，并警告称该漏洞已遭在野利用。这一编号为CVE-2026-31431的漏洞，潜伏在Linux内核的algif_aead加密接口中，允许无特权的本地用户将权限提升至root。换句话说，只要攻击者能拿到系统的一个低权限账号，就能秒变管理员，为所欲为。

漏洞由安全研究团队Theori公开披露，并同时放出了概念验证（PoC）利用代码。据团队介绍，该漏洞利用“100%可靠”，且无需修改即可在多个主流Linux发行版上生效，包括Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1和SUSE 16。这种跨发行版的通用性实属罕见，大大降低了攻击者武器化该漏洞的门槛。

从技术层面看，漏洞允许攻击者向内核的页缓存（page cache）写入可控数据，这是一种底层内存结构，最终实现提权。虽然需要本地访问权限，但攻击者仍能突破标准用户限制，完全控制系统。更让人捏把汗的是，Openwall oss-security邮件列表的讨论显示，漏洞和利用代码是在没有事先与Linux发行版维护者协调的情况下公开的。在通常的负责任的披露流程中，厂商会提前收到通知以便准备补丁。但这次，维护者们表示没有收到任何预告，导致一些发行版在披露时尚未准备好修复。有贡献者指出，较旧的内核长期支持分支甚至还没有收到向后移植的补丁，开发者只能依靠临时缓解措施，比如禁用受影响的加密模块。

这意味着防御者的响应窗口被严重压缩，他们必须争分夺秒地部署更新，而攻击者却能立即利用公开的漏洞代码。CISA的快速反应也印证了事态的严重性——该机构罕见地将漏洞迅速列入被利用列表，并要求联邦机构在两周内完成修补，同时敦促所有组织优先处理。Linux厂商已经开始推出内核更新，但由于利用代码已在野外流传，运行老旧或未打补丁系统的用户可能仍面临风险。

对于普通Linux用户，尤其是服务器管理员，这绝对是个需要立刻行动的警报。建议立即检查系统是否受影响，并尽快安装安全更新。如果无法立即打补丁，至少应考虑禁用相关加密模块作为临时措施。毕竟，在漏洞利用已经“100%可靠”且跨平台通用的背景下，任何疏忽都可能付出惨痛代价。