Claude Code descobreix una vulnerabilitat de Linux amagada durant 23 anys

Claude Code, l’eina de programació d’Anthropic basada en IA, ha aconseguit trobar diverses vulnerabilitats de seguretat explotables remotament al nucli de Linux, inclosa una que havia passat completament inadvertida durant dues dècades i mitja. El descobriment, presentat en una conferència de seguretat especialitzada, ha sorprès fins i tot els experts del sector i obre un debat profund sobre el paper de la IA en la recerca de vulnerabilitats.

Claude Code i la cerca de vulnerabilitats al nucli de Linux

Nicholas Carlini, investigador científic a Anthropic, va explicar en una xerrada recent com va apuntar Claude Code directament al codi font del nucli de Linux amb una instrucció sorprenentment simple: “On són les vulnerabilitats de seguretat?”. El resultat va superar qualsevol expectativa. L’eina va identificar múltiples desbordaments de memòria intermèdia al munt (heap buffer overflows) que permetrien a un atacant remot comprometre sistemes Linux.

La metodologia que va utilitzar Carlini és tan elegant com eficaç: un script de shell que recorre tots els fitxers del codi font del nucli de Linux i demana a Claude Code que analitzi cada fitxer en busca de vulnerabilitats potencials. Per evitar que l’eina trobi el mateix error repetidament, l’script va guiant el model fitxer per fitxer, fent que Claude focalitzi l’atenció en cada part del codi de manera seqüencial. La instrucció emmarca la tasca com si fos un repte de capture the flag, una competició clàssica de ciberseguretat.

Carlini va ser molt clar sobre la importància del que havia aconseguit: en tota la seva carrera professional mai havia trobat un heap buffer overflow explotable remotament al nucli de Linux. Amb Claude Code, n’ha trobat uns quants. Això, subratlla, és extraordinàriament difícil de fer.

La vulnerabilitat NFS: 23 anys amagada al codi

De totes les vulnerabilitats descobertes, Carlini va destacar una que afecta el controlador NFS (Network File System) de Linux, el component responsable de compartir fitxers a través de la xarxa. Aquesta fallada portava 23 anys present al codi sense que ningú l’hagués detectat, i permet a un atacant llegir memòria sensible del nucli a través de la xarxa.

El que fa especialment notable aquest descobriment és la seva complexitat tècnica. No es tracta d’un error obvi ni d’un patró de codi descurat que qualsevol revisió rutinària podria detectar. Per explotar-lo, cal coordinar dos clients NFS que col·laboren per atacar un servidor Linux.

El mecanisme és el següent: el primer client estableix una connexió amb el servidor i adquireix un bloqueig de fitxer declarant un identificador de propietari de 1.024 bytes, una mida inusualment gran però tècnicament vàlida. Quan un segon client intenta accedir al mateix fitxer bloquejat i el servidor ha de generar un missatge de denegació, el problema es manifesta de manera crítica: el codi utilitza un buffer de memòria de només 112 bytes per construir una resposta que, per incloure l’identificador de propietari del primer client, pot arribar a 1.056 bytes. El resultat és un desbordament de memòria que sobreescriu dades del nucli i que pot ser llegit per l’atacant remot.

Carlini va triar precisament aquest error per demostrar que Claude Code no es limita a identificar patrons superficials o errors evidents. La IA ha hagut d’entendre els detalls intricats del protocol NFS, la gestió de bloquejos distribuïts i les implicacions de memòria del codi C de baix nivell.

Què significa això per a la seguretat del programari?

El descobriment planteja preguntes fonamentals sobre l’estat actual de la seguretat en projectes de codi obert com Linux. Si una eina d’IA pot trobar vulnerabilitats crítiques amb un script relativament senzill, quin és el nivell real de seguretat del programari en el qual confiem cada dia?

Hi ha dues lectures possibles. L’optimista: disposem ara d’eines molt més potents per auditar el codi existent i descobrir errors que han passat desapercebuts durant anys o dècades. La preocupant: els mateixos actors maliciosos poden utilitzar exactament les mateixes tècniques per trobar i explotar vulnerabilitats abans que es parchegin.

La comunitat de Linux ja ha estat notificada i treballa en les corresponents correccions. Però el cas il·lustra una realitat incontestable: la IA generativa ha canviat les regles del joc en la recerca de vulnerabilitats de seguretat, i els equips de ciberseguretat hauran d’adaptar-se ràpidament a aquest nou escenari.

Un punt d’inflexió per a la recerca en ciberseguretat

Els resultats d’aquest treball marquen un punt d’inflexió en com la indústria haurà d’abordar les auditories de seguretat. Projectes amb dècades de codi acumulat —sistemes operatius, biblioteques crítiques, infraestructures de xarxa— podrien amagar errors similars que fins ara escapaven a la revisió humana simplement per la magnitud del codi a analitzar.

La capacitat de Claude Code per raonar sobre codi complex, entendre protocols i identificar condicions d’error poc freqüents suggereix que estem entrant en una nova era de la seguretat informàtica, on la IA no és només un assistent de productivitat per a programadors, sinó una eina d’anàlisi de seguretat amb capacitats genuïnament noves. El repte ara és assegurar-se que aquestes capacitats s’usin principalment per protegir sistemes i no per comprometre’ls.