Linuxに9年潜んだ脆弱性「Copy Fail」をAIが発見——732バイトのPythonでroot権限を奪取

「AIがセキュリティの脆弱性を見つける時代が来た」とは聞いていましたが、ここまで具体的な事例が出てくるとは思っていませんでした。

2026年4月、セキュリティ企業Theoriが自社開発のAIツールを使ってLinuxカーネル（OSの核心部分）に潜んでいた深刻なバグを発見しました。

CVE-2026-31431、通称「Copy Fail」と名付けられたこの脆弱性は、なんと2017年から現在まで9年近く誰にも気づかれずに潜伏していたものです。

Ubuntu・RHEL・SUSE・Amazon Linuxなど主要なLinuxディストリビューション（Linuxをベースにしたパッケージ済みOS）のほぼ全てが影響を受けており、サーバー管理者やエンジニアの間で大きな話題になっています。

セキュリティコミュニティが震えた一報

「AIがLinuxカーネルのゼロデイ脆弱性（修正パッチがまだ存在しない脆弱性）を発見。2017年以降の全ディストリに影響。732バイトのPythonでroot（最高管理者）権限が取れる。今すぐカーネルをパッチせよ」——セキュリティ専門アカウントがこの情報を発信すると、3,000件を超えるいいねを集めました。

（原文：BREAKING: An AI found a Linux kernel zero-day that roots every distribution since 2017. The exploit fits in 732 bytes of Python. Patch your kernel ASAP.）

‼️🚨 BREAKING: An AI found a Linux kernel zero-day that roots every distribution since 2017. The exploit fits in 732 bytes of Python. Patch your kernel ASAP.

The vulnerability is CVE-2026-31431, nicknamed "Copy Fail," disclosed today by Theori. It has been sitting quietly in the… pic.twitter.com/wA4sAU6RcN

— International Cyber Digest (@IntCyberDigest) 2026年4月29日

著名なセキュリティリサーチャーグループ「vx-underground」も「エクスプロイト（攻撃コード）は本物。2017年から現在まで全Linuxカーネルに影響する」と独自に確認しています。

（原文：CVE-2026-31431 a/k/a CopyFail. Linux LPE. Exploit is legit. Impacts every Linux kernel from 2017 – Now.）

CVE-2026-31431 a/k/a CopyFail

> Linux LPE
> Description sounds like AI slop
> Exploit is legit
> Impacts every Linux kernel from 2017 – Now
> Proof-of-concept released
> It's Wednesday?https://t.co/FXgjWW7lOV

— vx-underground (@vxunderground) 2026年4月29日

さらに「732バイトのPythonスクリプトで2017年以降の全主要Linuxディストリビューションのrootが取れる」という詳細情報とGitHubリンクも拡散されています。

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) 2026年4月29日

気になって公式情報を深掘りしてみました

セキュリティ企業Theoriの公式ブログおよびThe Registerの報道から詳細を確認してみました。

Copy FailはLinuxカーネルの暗号化サブシステム内、algif_aead（AEAD暗号化インターフェース）モジュールに存在するロジックバグです。

2017年8月のカーネルコミット（コードの変更記録）で導入され、9年近く見逃されてきたというのですから驚きではないでしょうか。

発見の経緯について整理しておきましょう。

Theoriの研究者Taeyang Lee氏が暗号サブシステムとページキャッシュの相互作用を調査していた際、自社開発のAIツール「Xint Code」でカーネルコード全体をスキャンしました。

AIはわずか1時間程度でこの脆弱性を特定。2026年3月に報告され、4月1日にはパッチが適用されています。

なぜ危険なのかというと、通常の権限昇格攻撃にはタイミングに依存する「競合状態（レースコンディション）」が必要なことが多いためです。

しかしCopy Failはそのような条件が不要で、決定論的（条件関係なく確実に）に悪用できる点が深刻です。

コンテナ環境（DockerなどのOSレベルの仮想化技術）でも、ホスト全体を侵害するリスクがあるとされています。

対策としては、パッチがカーネル6.1以降の安定版に含まれており、各ディストリビューションのアップデートを適用することで解消できます。

アップデートがすぐに難しい環境では、algif_aeadモジュールを無効化する方法も代替手段として案内されているようです。

さらに深掘りしたい方へ

• Copy Fail 公式サイト・技術解説（Xint / Theori）
• Linux cryptographic code flaw offers fast route to root | The Register
• 9-Year-Old Linux Kernel Vulnerability “Copy Fail” | HackRead

まとめ

AIによるコード脆弱性スキャンが、9年間人間の目をすり抜けてきたバグを1時間で特定してしまいました。

Linuxを使うサーバー管理者の方は、カーネルのアップデートをできるだけ早めに適用することをおすすめします。