[Перевод] Linux 7.0: один Bash-скрипт, одни выходные, 23 года багов в ядре

Релиз Linux 7.0 состоялся 12 апреля. Rust теперь официально в деле. ИИ стал полноправным «соавтором» ядра. Линус Торвальдс называет это «новой нормальностью».

Двадцать три года. И один вечер.

Bash-скрипт крутится в цикле на ноутбуке Николаса Карлини. Ничего хитрого он не делает. Просто открывает файл с исходниками ядра, скармливает его модели Claude Opus 4.6, просит её представить, что она участвует в CTF-соревновании (Capture the Flag), и спрашивает, что тут можно сломать. Затем открывает следующий файл. И следующий.

Карлини даже не следит за процессом. Он запускал подобное и раньше. Месяцами запускал. И всегда в ответ получал только белый шум.

А потом приходит результат... И заставляет его перестать печатать.

Модель нашла дыру в коде, который Linux использует для сетевого обмена файлами. Тот самый код крутится на файловом сервере в вашей компании, в хранилище вашей больницы, на общих дисках в школе вашего ребенка и на изрядной доле бэкендов в AWS, Google Cloud и Azure.

Благодаря этому багу стажер в свой первый рабочий день, просто подключившись к гостевому Wi-Fi в офисе, может запустить коротенький скрипт и захватить файловый сервер. «Захватить» — в смысле: прочитать табличку с зарплатами HR-отдела, удалить зарплатный архив, скопировать бэкапы почты гендиректора и поставить вечный бэкдор, который переживет три следующие перезагрузки. Никакого пароля админа. Никаких украденных учеток. Никакой цепочки из других уязвимостей. Эта дыра была в каждом файловом сервере на базе Linux, выпущенном с марта 2003 года по апрель 2026-го.