Notebookcheck Logo

Bad Epoll: La IA de Anthropic no detectó esta vulnerabilidad fundamental

Un terminal de Linux con acceso de root
ⓘ Tima Miroshnichenko / Pexels
Un terminal de Linux con acceso de root
Una nueva vulnerabilidad del núcleo de Linux denominada «Bad Epoll» otorga privilegios de root a cualquier usuario local, incluso en Android. La ironía: el modelo de IA de Anthropic, Mythos, había revisado precisamente esa sección del código, había detectado un fallo relacionado y, sin embargo, no había detectado este. Al final, fue un ser humano quien lo descubrió. Ya hay disponible un parche.

El investigador de seguridad Jaeyoung Chung ha revelado una vulnerabilidad en el núcleo de Linux que permite a un usuario normal sin privilegios obtener control total sobre el sistema. «Bad Epoll», oficialmente CVE-2026-46242, afecta a ordenadores de sobremesa, servidores y dispositivos Android con Linux. Ya hay un parche disponible. El caso resulta especialmente notable debido a un hecho secundario: una inteligencia artificial ya había examinado el código afectado y no había detectado esta vulnerabilidad.

Qué hace «Bad Epoll»

La vulnerabilidad se encuentra en el subsistema epoll, una función fundamental que permite a los programas supervisar numerosos archivos y conexiones de red al mismo tiempo. Los servidores, los servicios de red y los navegadores lo utilizan constantemente, y no se puede desactivar. «Bad Epoll» es un error de «uso tras liberación» (use-after-free): dos rutas del núcleo limpian el mismo objeto interno al mismo tiempo; una libera la memoria mientras la otra sigue escribiendo en ella. Esa breve colisión basta para manipular la memoria del núcleo y escalar privilegios desde una cuenta normal hasta la de root.

La clave está en la sincronización. La ventana en la que ambas rutas colisionan solo abarca unas seis instrucciones de máquina. El exploit de Chung amplía esa ventana y sigue intentándolo sin bloquear el sistema hasta que consigue privilegios de root en los sistemas probados en aproximadamente el 99 % de los casos. Hay dos detalles que hacen que esta vulnerabilidad sea más grave que los errores típicos del núcleo: según Chung, puede activarse desde el entorno aislado del renderizador de Chrome y se extiende a Android, algo que no ocurre con la mayoría de las vulnerabilidades de Linux.

¿Por qué la IA no detectó la vulnerabilidad

?

Ambos problemas se remontan a un único cambio en el código realizado en 2023, en tan solo 2.500 líneas de código de epoll. El modelo de IA de Anthropic, Mythos, detectó la primera de las dos condiciones de carrera y la notificó como CVE-2026-43074. Fue un auténtico éxito, ya que los errores de carrera como estos se consideran difíciles de detectar. El modelo pasó por alto el segundo, «Bad Epoll». Al final, fue el investigador humano Jaeyoung Chung quien lo descubrió y desarrolló un ataque viable para aprovecharlo.

Chung ofrece dos posibles razones para explicar este punto ciego, sin decantarse por ninguna de ellas. El intervalo de tiempo es tan breve que resulta difícil imaginar la secuencia exacta, incluso al examinar el código. Además, una vez que se había corregido la primera vulnerabilidad, «Bad Epoll» ya no solía activar el detector de errores de memoria KASAN, lo que dejaba al modelo sin trazas de ejecución. El caso pone de manifiesto las dos caras de la cuestión: la IA puede detectar errores complejos en el núcleo, pero sigue fallando ante condiciones de carrera sutiles.

Quiénes se ven afectados y qué hacer

Las versiones del núcleo a partir de la 6.4 se ven afectadas si aún no se ha aplicado la corrección. Los sistemas más antiguos basados en Linux 6.1 están a salvo, incluidos algunos dispositivos « Android » como el Pixel 8, ya que el código defectuoso se añadió solo a partir de esa rama. Según Chung, aún se está trabajando en un exploit « Android ». Hay motivos para estar tranquilos respecto al riesgo inmediato: hasta el momento, no hay indicios de ataques en el mundo real, y el único código operativo es la prueba de concepto del programa kernelCTF de Google. También es importante señalar que el atacante ya necesita acceso local al dispositivo, ya que la vulnerabilidad no puede activarse de forma remota.

Los usuarios que apliquen el parche manualmente deben utilizar la confirmación (commit) a6dc643c6931 del código original. El resto debe esperar al backport de su distribución e instalarlo sin demora. Dado que epoll no se puede desactivar, no existe ninguna solución alternativa; solo la actualización resuelve el problema.

Google LogoAdd as a preferred source on Google
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 07 > Bad Epoll: La IA de Anthropic no detectó esta vulnerabilidad fundamental
Steffen Zahn, 2026-07- 8 (Update: 2026-07- 8)