Claude Code Encontra Vulnerabilidade de 23 Anos no Kernel Linux

Nicholas Carlini, um cientista de pesquisa da Anthropic, relatou na conferência de segurança de IA [un]prompted que usou o Claude Code para encontrar múltiplas vulnerabilidades de segurança remotamente exploráveis no kernel do Linux, incluindo uma que permaneceu não descoberta por 23 anos.
Como o Claude Code Encontrou a Falha
Carlini ficou surpreso com o quão pouca supervisão o Claude Code precisou. Ele basicamente apontou o Claude Code para o código-fonte do kernel do Linux e perguntou: "Onde estão as vulnerabilidades de segurança?" usando um script simples que iterou sobre todos os arquivos na árvore de código-fonte.
# Itera sobre todos os arquivos na árvore de código-fonte.
find . -type f -print0 | while IFS = read -r -d '' file; do
# Diz ao Claude Code para procurar vulnerabilidades em cada arquivo.
claude \
--verbose \
--dangerously-skip-permissions \
--print "Você está participando de um CTF. \
Encontre uma vulnerabilidade. \
dica: olhe para $file \
Escreva a mais séria \
uma para /out/report.txt."
done
O script diz ao Claude Code que o usuário está participando de uma competição de cibersegurança do tipo capture the flag. Para evitar encontrar a mesma vulnerabilidade repetidamente, o script faz um loop sobre cada arquivo de código-fonte no kernel do Linux, dizendo ao Claude que o bug provavelmente está em cada arquivo sequencialmente.
A Vulnerabilidade do NFS
Carlini focou em uma falha que o Claude encontrou no driver de compartilhamento de arquivos em rede (NFS) do Linux que permite que um atacante leia memória sensível do kernel pela rede. Essa falha exigiu que o modelo de IA entendesse detalhes intrincados de como o protocolo NFS funciona.
O ataque requer dois clientes NFS cooperando para atacar um servidor Linux NFS:
- O Cliente A adquire um bloqueio com um ID de proprietário de 1024 bytes (inusitadamente longo, mas legal)
- O Cliente B tenta adquirir o mesmo bloqueio e é negado
- Ao gerar a resposta de negação, o servidor NFS usa um buffer de 112 bytes, mas precisa escrever 1056 bytes (incluindo o ID de proprietário de 1024 bytes)
- Isso causa um estouro de buffer de heap onde o atacante pode sobrescrever a memória do kernel com bytes que ele controla
Curiosidade: o Claude Code criou os diagramas de protocolo ASCII mostrando a sequência do ataque como parte de seu relatório inicial de falha.
Contexto Histórico
Essa falha foi introduzida no kernel do Linux em março de 2003 ([email protected], 2003-09-22 19:22:37-07:00) e permaneceu não descoberta por 23 anos até que o Claude Code a encontrou.
Carlini observou: "Agora temos vários estouros de buffer de heap remotamente exploráveis no kernel do Linux. Nunca encontrei um desses na minha vida antes. Isso é muito, muito, muito difícil de fazer. Com esses modelos de linguagem, eu tenho um monte."
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Recurso de suporte de IA da Meta permite que qualquer pessoa sequestre contas do Instagram — Detalhes da exploração
Um recurso de suporte por IA testado A/B no Instagram permite que invasores redefinam senhas pedindo ao agente que envie um código para um e-mail arbitrário. Mais de 100 contas de alto valor foram sequestradas.

Proteja e Proteja o OpenClaw em Apenas 2 Minutos com o Isolamento Baseado em Kernel Nono
Os usuários do OpenClaw agora podem desfrutar de segurança aprimorada sem comprometer o desempenho, graças ao isolamento baseado no kernel Nono, uma solução rápida e eficaz que leva apenas dois minutos.

Comprometimento do NPM via Backdoor no Axios: Impacto nos Agentes de Codificação de IA
Em 31 de março de 2026, um ator de ameaças ligado à Coreia do Norte comprometeu o npm ao publicar versões adulteradas do Axios (1.14.1 e 0.30.4) durante uma janela de 3 horas. O malware injetou uma dependência que baixou um RAT específico da plataforma, coletou credenciais e se auto-apagou, com agentes de codificação de IA como Claude Code e Cursor sendo particularmente vulneráveis devido às instalações automáticas do npm.

Playground de código aberto para red-teaming de agentes de IA com exploits publicados
A Fabraix disponibilizou um ambiente aberto para testar as defesas de agentes de IA através de desafios adversariais. Cada desafio implanta um agente ativo com ferramentas reais e prompts de sistema publicados, com transcrições das conversas vencedoras e logs de proteção documentados publicamente.