Claude Code Découvre une Vulnérabilité du Noyau Linux Vieille de 23 Ans

✍️ OpenClawRadar📅 Publié: April 14, 2026🔗 Source
Claude Code Découvre une Vulnérabilité du Noyau Linux Vieille de 23 Ans
Ad

Nicholas Carlini, chercheur scientifique chez Anthropic, a rapporté lors de la conférence sur la sécurité de l'IA [un]prompted qu'il a utilisé Claude Code pour trouver plusieurs vulnérabilités de sécurité exploitables à distance dans le noyau Linux, dont une qui était restée non découverte pendant 23 ans.

Comment Claude Code a trouvé le bogue

Carlini a été surpris par le peu de supervision dont Claude Code avait besoin. Il a essentiellement pointé Claude Code vers le code source du noyau Linux et a demandé : "Où sont les vulnérabilités de sécurité ?" en utilisant un script simple qui parcourait tous les fichiers de l'arborescence des sources.

# Parcourir tous les fichiers de l'arborescence des sources.
find . -type f -print0 | while IFS = read -r -d '' file; do
  # Demander à Claude Code de chercher des vulnérabilités dans chaque fichier.
  claude \
    --verbose \
    --dangerously-skip-permissions \
    --print "Vous participez à un CTF. \
Trouvez une vulnérabilité. \
indice : regardez $file \
Écrivez la plus grave \
dans /out/report.txt."
done

Le script indique à Claude Code que l'utilisateur participe à une compétition de cybersécurité capture the flag. Pour éviter de trouver la même vulnérabilité à plusieurs reprises, le script parcourt chaque fichier source du noyau Linux, en indiquant à Claude que le bogue se trouve probablement dans chaque fichier séquentiellement.

Ad

La vulnérabilité NFS

Carlini s'est concentré sur un bogue que Claude a trouvé dans le pilote de partage de fichiers réseau (NFS) de Linux, qui permet à un attaquant de lire la mémoire sensible du noyau via le réseau. Ce bogue a nécessité que le modèle d'IA comprenne les détails complexes du fonctionnement du protocole NFS.

L'attaque nécessite deux clients NFS coopérant pour attaquer un serveur NFS Linux :

  • Le client A acquiert un verrou avec un ID propriétaire de 1024 octets (inhabituellement long mais légal)
  • Le client B tente d'acquérir le même verrou et est refusé
  • Lors de la génération de la réponse de refus, le serveur NFS utilise un tampon de 112 octets mais doit écrire 1056 octets (incluant l'ID propriétaire de 1024 octets)
  • Cela provoque un dépassement de tampon de tas où l'attaquant peut écraser la mémoire du noyau avec des octets qu'il contrôle

Fait amusant : Claude Code a créé les diagrammes ASCII du protocole montrant la séquence d'attaque dans son rapport de bogue initial.

Contexte historique

Ce bogue a été introduit dans le noyau Linux en mars 2003 ([email protected], 2003-09-22 19:22:37-07:00) et est resté non découvert pendant 23 ans jusqu'à ce que Claude Code le trouve.

Carlini a noté : "Nous avons maintenant plusieurs dépassements de tampon de tas exploitables à distance dans le noyau Linux. Je n'en avais jamais trouvé un de ma vie auparavant. C'est très, très, très difficile à faire. Avec ces modèles de langage, j'en ai plusieurs."

📖 Lire la source complète : HN AI Agents

Ad

👀 See Also

Concepts de sécurité pour le codage Vibe avec Claude Code : Authentification, Autorisation et Application
Security

Concepts de sécurité pour le codage Vibe avec Claude Code : Authentification, Autorisation et Application

Un ingénieur senior décompose l'authentification, l'autorisation et l'application des règles pour les applications codées par vibes, avec une métaphore d'hôtel – et comment demander aux agents IA de vérifier la sécurité.

OpenClawRadar
Injection d'autorité d'outil dans les agents LLM : quand la sortie de l'outil prime sur l'intention du système
Security

Injection d'autorité d'outil dans les agents LLM : quand la sortie de l'outil prime sur l'intention du système

Un chercheur démontre une 'Injection d'Autorité d'Outil' dans un laboratoire d'agent LLM local, montrant comment la sortie d'outil de confiance peut être élevée au niveau d'autorité politique, modifiant silencieusement le comportement de l'agent tandis que le sandbox et l'accès aux fichiers restent sécurisés.

OpenClawRadar
Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation
Security

Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation

Une analyse de sécurité de 2 386 packages MCP sur npm a révélé que 63,5 % exposent des opérations destructrices comme la suppression de fichiers et l'effacement de bases de données sans nécessiter de confirmation humaine. Le chercheur a découvert que 49 % présentaient des problèmes de sécurité au total, avec 402 vulnérabilités critiques et 240 vulnérabilités de haute gravité.

OpenClawRadar
13 mots sur Reddit peuvent manipuler la recherche IA : recherche Cornell
Security

13 mots sur Reddit peuvent manipuler la recherche IA : recherche Cornell

Une recherche de Cornell montre qu'un extrait de 13 mots sur Reddit ou Wikipedia peut empoisonner les agents de recherche IA. La moitié des citations IA proviennent de sites UGC, permettant aux marques d'injecter facilement du contenu promotionnel.

OpenClawRadar