Vad som gick sönder, i klartext
Den 3 juli 2026 publicerade forskaren Jaeyoung Chung Bad Epoll, spårat som CVE-2026-46242. Det är en use-after-free-kapplöpning i Linux-kärnans epoll-delsystem, det standardmaskineri som ett program använder för att övervaka många filer och nätverksanslutningar samtidigt. Servrar, nätverkstjänster och webbläsare lutar sig alla mot det, och därför kan det inte bara stängas av.
Den praktiska effekten är rak. En angripare som redan har något fäste med låga behörigheter på maskinen, ett skal från en komprometterad webbapplikation, en oärlig mobilapp, ett konsultkonto, kan eskalera till full root. Chungs konceptbevis, inlämnat till Googles kernelCTF-program, vidgar ett tidsfönster som normalt bara är omkring sex maskininstruktioner brett och når root ungefär 99 procent av gångerna. Kärna 6.4 och senare är påverkade om de inte redan är patchade; äldre 6.1-baserade byggen är det inte.
Varför enbart lokal inte betyder låg risk
Det är frestande att arkivera en lokal behörighetseskalering under senare. Den reflexen är fel för en flottoperatör. Moderna intrång sker i två steg. Första steget, en exponerad inloggning, en kapad session, en sårbar webbfront, tar in en angripare på maskinen som begränsad användare. Bad Epoll är det andra steget som omvandlar den begränsade användaren till root, stänger av loggning och gör en avgränsad händelse till en domänövergripande.
Android-vinkeln skärper poängen. En skadlig eller trojaniserad app som klarar den låga tröskeln att bli installerad kan nu sträcka sig efter root på enheter med kärna 6.4 eller senare. För varje organisation som låter personalen läsa företagspost på privata telefoner har den antagna gränsen mellan en dålig app och era data just blivit tunnare. Detta är en historia om patchhantering utklädd till ett kärnfel.
Den AI-granskningens blinda fläck som ägare just ärvt
Här är detaljen som borde nå styrelserummet, inte bara säkerhetsteamet. Samma kärn-commit från 2023 införde två angränsande kapplöpningstillstånd i ungefär 2.500 rader epoll-kod. Anthropics Mythos-modell fångade det första, nu spårat som CVE-2026-43074. Den missade det andra, det som blev Bad Epoll. Kapplöpningstillstånd är notoriskt svåra att upptäcka, och maskingranskning upptäcker dem, precis som mänsklig granskning, inte likformigt.
Lärdomen är inte att AI-kodgranskning misslyckades. Den är att ett rent AI-genomlopp inte är ett godkännandeintyg. Om era tekniska ledare har börjat åberopa automatiserade granskningar som bevis för att kod är säker, är detta fallstudien som säger: ett positivt resultat smalnar av risken, det stänger den inte. Behandla AI-granskning som ett lager, finansiera fuzzning och mänskliga specialister vid sidan, och låt aldrig en grön maskinrapport bli skälet att hoppa över en kontroll.
Vad man ska göra denna vecka
Tillämpa uppströmsfixen, kärn-commit a6dc643c6931, eller din distributions backport, med prioritet för internetvända och flerhyresgäst-värdar där opålitlig lokal kod troligast kör. För hanterade Android-bestånd, rulla ut leverantörens säkerhetsuppdateringar och bekräfta vilka enheter som kör på kärna 6.4 eller senare. Epoll kan inte inaktiveras, så det finns ingen konfigurationsgenväg; patchen är åtgärden.
Använd sedan stunden som ett styrningstest. Ställ en fråga vid er nästa driftsgenomgång: om ett konto med låga behörigheter komprometteras idag, vad hindrar det från att bli root till fredag? Om det ärliga svaret hänger på en patch du ännu inte har planerat, har du hittat luckan som detta fel byggdes för att utnyttja.
Läs vidare: Är ert cyberförsvar redo för attacker i maskinhastighet? | Alibaba förbjuder Claude Code som bakdörrsrisk



