Claude Opus 4.6 descobriu uma vulnerabilidade de 23 anos no kernel do Linux em um fim de semana

Vinte e três anos. E um fim de semana. É tudo o que levou — um simples script Bash e um modelo de linguagem — para encontrar uma vulnerabilidade que estava vivendo tranquilamente no código do kernel do sistema de arquivos Linux o tempo todo.

O pesquisador Nicholas Carlini lançou o script em seu notebook na sexta-feira à noite — e até domingo de manhã ele tinha um exploit funcionando em todos os servidores de arquivo corporativos lançados desde março de 2003. Esta história se tornou um dos eventos mais discutidos em torno do lançamento do Linux 7.0, que saiu em 12 de abril de 2026.

O novo kernel trouxe duas mudanças importantes: Rust é oficialmente reconhecido como uma linguagem de desenvolvimento kernel de pleno direito, e IA entrou na lista de co-autores do código pela primeira vez. Linus Torvalds chamou o que está acontecendo de "a nova normalidade".

Como o script de Carlini funcionou

O esquema era ridiculamente simples. O script iterativamente pegava um arquivo de código-fonte do kernel Linux, o enviava para Claude Opus 4.6 com um prompt de sistema no espírito de competições CTF: "imagine que você está procurando vulnerabilidades neste código — o que poderia estar quebrado aqui?"

Depois passava para o próximo arquivo. E o próximo. Nenhuma ferramenta sofisticada, nenhuma análise estática — apenas perguntas iterativas para o modelo.

Carlini vinha executando scripts semelhantes por meses. O resultado era invariavelmente ruído branco: padrões insignificantes, falsos positivos, coisas óbvias. Até que uma noite uma saída apareceu que o fez parar no meio da frase.

O modelo apontou para o código responsável pelo protocolo de troca de arquivo de rede. Exatamente aquele que roda em servidores de arquivo em redes corporativas, sistemas de armazenamento de hospitais, compartilhamentos escolares — e em uma porção significativa da infraestrutura de servidor AWS, Google Cloud e Azure.

O que este buraco permitia

A vulnerabilidade não exigia cadeia de exploits, credenciais roubadas ou privilégios de administrador. Era suficiente estar na mesma rede local que o servidor de destino e executar um pequeno script. Depois disso — controle total: ler qualquer arquivo, deletar dados, instalar um backdoor persistente. Carlini descreveu o cenário de forma direta: um estagiário no primeiro dia de trabalho, tendo se conectado ao Wi-Fi convidado no escritório, poderia teoricamente acessar a folha de pagamento do departamento de RH, deletar o arquivo de contabilidade, copiar cópias de backup do email da gerência. E o backdoor que ele instalaria sobreviveria aos próximos três reboots do servidor. Nenhuma senha de administrador. Nenhuma conta roubada. Apenas conectar ao Wi-Fi.

O bug existiu no kernel de março de 2003 a abril de 2026 — vinte e três anos em um dos repositórios mais observados do mundo.

O que isso significa para a segurança do kernel

O caso de Carlini imediatamente se tornou um argumento a favor do uso de IA em auditorias de segurança — não apenas como gerador de novo código, mas como ferramenta de análise sistemática de bases de código existentes. A vulnerabilidade foi corrigida e o patch foi incluído no Linux 7.0. Rust como segunda linguagem oficial do kernel resolve parcialmente a classe de problemas a que esta história pertence: erros de gerenciamento de memória em código C. Mas componentes legados escritos em C durante 35 anos de desenvolvimento do kernel permanecerão no kernel Linux por muitos anos.

O que é revelador é outra coisa: o modelo não fez nada que não pudesse ser descrito como "leitura cuidadosa de código com a pergunta — o que poderia dar errado aqui?". Isso é o que torna a história simultaneamente alarmante e encorajadora. Alarmante — porque a mesma abordagem está disponível para qualquer um. Encorajadora — porque até agora ninguém a havia aplicado sistematicamente. Agora, parece, isso mudará.