Claude Code Découvre une Vulnérabilité du Noyau Linux Vieille de 23 Ans

Nicholas Carlini, chercheur scientifique chez Anthropic, a rapporté lors de la conférence sur la sécurité de l'IA [un]prompted qu'il a utilisé Claude Code pour trouver plusieurs vulnérabilités de sécurité exploitables à distance dans le noyau Linux, dont une qui était restée non découverte pendant 23 ans.
Comment Claude Code a trouvé le bogue
Carlini a été surpris par le peu de supervision dont Claude Code avait besoin. Il a essentiellement pointé Claude Code vers le code source du noyau Linux et a demandé : "Où sont les vulnérabilités de sécurité ?" en utilisant un script simple qui parcourait tous les fichiers de l'arborescence des sources.
# Parcourir tous les fichiers de l'arborescence des sources.
find . -type f -print0 | while IFS = read -r -d '' file; do
# Demander à Claude Code de chercher des vulnérabilités dans chaque fichier.
claude \
--verbose \
--dangerously-skip-permissions \
--print "Vous participez à un CTF. \
Trouvez une vulnérabilité. \
indice : regardez $file \
Écrivez la plus grave \
dans /out/report.txt."
done
Le script indique à Claude Code que l'utilisateur participe à une compétition de cybersécurité capture the flag. Pour éviter de trouver la même vulnérabilité à plusieurs reprises, le script parcourt chaque fichier source du noyau Linux, en indiquant à Claude que le bogue se trouve probablement dans chaque fichier séquentiellement.
La vulnérabilité NFS
Carlini s'est concentré sur un bogue que Claude a trouvé dans le pilote de partage de fichiers réseau (NFS) de Linux, qui permet à un attaquant de lire la mémoire sensible du noyau via le réseau. Ce bogue a nécessité que le modèle d'IA comprenne les détails complexes du fonctionnement du protocole NFS.
L'attaque nécessite deux clients NFS coopérant pour attaquer un serveur NFS Linux :
- Le client A acquiert un verrou avec un ID propriétaire de 1024 octets (inhabituellement long mais légal)
- Le client B tente d'acquérir le même verrou et est refusé
- Lors de la génération de la réponse de refus, le serveur NFS utilise un tampon de 112 octets mais doit écrire 1056 octets (incluant l'ID propriétaire de 1024 octets)
- Cela provoque un dépassement de tampon de tas où l'attaquant peut écraser la mémoire du noyau avec des octets qu'il contrôle
Fait amusant : Claude Code a créé les diagrammes ASCII du protocole montrant la séquence d'attaque dans son rapport de bogue initial.
Contexte historique
Ce bogue a été introduit dans le noyau Linux en mars 2003 ([email protected], 2003-09-22 19:22:37-07:00) et est resté non découvert pendant 23 ans jusqu'à ce que Claude Code le trouve.
Carlini a noté : "Nous avons maintenant plusieurs dépassements de tampon de tas exploitables à distance dans le noyau Linux. Je n'en avais jamais trouvé un de ma vie auparavant. C'est très, très, très difficile à faire. Avec ces modèles de langage, j'en ai plusieurs."
📖 Lire la source complète : HN AI Agents
👀 See Also

Concepts de sécurité pour le codage Vibe avec Claude Code : Authentification, Autorisation et Application
Un ingénieur senior décompose l'authentification, l'autorisation et l'application des règles pour les applications codées par vibes, avec une métaphore d'hôtel – et comment demander aux agents IA de vérifier la sécurité.

Injection d'autorité d'outil dans les agents LLM : quand la sortie de l'outil prime sur l'intention du système
Un chercheur démontre une 'Injection d'Autorité d'Outil' dans un laboratoire d'agent LLM local, montrant comment la sortie d'outil de confiance peut être élevée au niveau d'autorité politique, modifiant silencieusement le comportement de l'agent tandis que le sandbox et l'accès aux fichiers restent sécurisés.

Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation
Une analyse de sécurité de 2 386 packages MCP sur npm a révélé que 63,5 % exposent des opérations destructrices comme la suppression de fichiers et l'effacement de bases de données sans nécessiter de confirmation humaine. Le chercheur a découvert que 49 % présentaient des problèmes de sécurité au total, avec 402 vulnérabilités critiques et 240 vulnérabilités de haute gravité.

13 mots sur Reddit peuvent manipuler la recherche IA : recherche Cornell
Une recherche de Cornell montre qu'un extrait de 13 mots sur Reddit ou Wikipedia peut empoisonner les agents de recherche IA. La moitié des citations IA proviennent de sites UGC, permettant aux marques d'injecter facilement du contenu promotionnel.