编者按：近日，一场席卷全球的Linux安全风暴引发行业震动。安全研究人员公开了一段漏洞利用代码，可让攻击者完全控制受影响的系统，几乎所有Linux版本都未能幸免。美国官方已确认该漏洞正被积极利用于恶意攻击中。本文深度解析这一名为“CopyFail”的严重漏洞（编号CVE-2026-31431），揭示其为何能让普通用户瞬间变成系统“超级管理员”，并波及数据中心、云服务乃至整个企业网络。让我们快速掌握这场安全危机的全貌，看看你的系统是否已暴露在风险之下。

一场严重影响几乎所有Linux操作系统版本的安全漏洞，让防守方措手不及，争分夺秒地进行修复——此前安全研究人员公开了漏洞利用代码，攻击者可借此完全控制受影响的系统。

美国政府警告称，这个名为“CopyFail”的漏洞已在野外被积极利用，意味着它正被用于恶意黑客行动。

该漏洞官方编号为CVE-2026-31431，在Linux内核7.0及更早版本中被发现。它于3月底被提交给Linux内核安全团队，大约一周后完成补丁修复。但这些补丁尚未及时渗透到依赖易受攻击内核的众多Linux发行版中，导致任何运行受影响Linux版本的系统都面临被入侵的风险。

Linux广泛应用于企业环境，支撑着全球大部分数据中心的运营。

CopyFail官网声称，同一段简短的Python脚本“能破解自2017年以来发布的所有Linux发行版”。据发现该漏洞的安全公司Theori验证，该漏洞已在多个广泛使用的Linux版本中得到证实，包括Red Hat Enterprise Linux 10.1、Ubuntu 24.04（LTS）、Amazon Linux 2023以及SUSE 16。

DevOps工程师兼开发者Jorijn Schrijvershof在博客文章中写道，该漏洞在Debian和Fedora版本以及依赖Linux内核的Kubernetes上均可利用。他将此漏洞描述为“异常巨大的破坏半径”，因为它能作用于“几乎每个现代Linux发行版”。

该漏洞被称为“CopyFail”，是因为Linux内核中受影响组件——即对设备拥有几乎完全访问权限的操作系统核心——在应复制某些数据时未能执行。这导致内核中的敏感数据被破坏，攻击者可借此“搭便车”，利用内核的访问权限渗透系统的其余部分，包括其数据。

一旦被利用，该漏洞尤为棘手，因为它允许一个普通且权限受限的用户在受影响的Linux系统上获得完全管理员权限。成功攻破数据中心中的一台服务器，可使攻击者访问众多企业客户的每个应用程序、服务器和数据库，并有可能进一步渗透同一网络或数据中心内的其他系统。

CopyFail漏洞无法单独通过互联网远程利用，但若与可通过互联网工作的漏洞结合，便可被武器化。据微软称，如果CopyFail漏洞与另一个可通过互联网传播的漏洞串联，攻击者能利用该缺陷获得受影响服务器的root权限。操作拥有易受攻击内核的Linux计算机的用户，也可能因打开恶意链接或附件而触发漏洞。

该漏洞还可通过供应链攻击注入，即恶意行为者入侵开源开发者的账户，将恶意软件植入其代码中，一次性攻破大量设备。

鉴于联邦企业网络面临的风险，美国网络安全机构CISA已下令所有民用联邦机构在5月15日前修补所有受影响的系统。