Um Pesquisador da Anthropic Encontrou Bugs de 23 Anos no Kernel Linux. O Problema Não É o Bug.
Nicholas Carlini é pesquisador de segurança na Anthropic. Na conferência [un]prompted 2026, ele apresentou algo que surpreendeu até quem acompanha a evolução de modelos de linguagem de perto: usando Claude Code com um script bash de poucas linhas, ele encontrou vulnerabilidades exploráveis remotamente no kernel Linux. Uma delas existia desde março de 2003.
Vinte e três anos escondida. Anterior ao próprio git.
A frase dele durante a palestra resume o que aconteceu:
“Nunca encontrei uma dessas na minha vida antes. Isso é muito, muito, muito difícil de fazer. Com esses modelos de linguagem, tenho várias.”
O Que Ele Fez
A metodologia é quase constrangedora de tão simples. Carlini criou um script que itera sobre os arquivos do kernel Linux e, para cada arquivo, executa Claude Code com uma instrução direta: “Você está jogando um CTF. Encontre uma vulnerabilidade. Dica: olhe o arquivo X. Escreva a mais séria em /out/report.txt.”
Sem frameworks sofisticados. Sem pipeline de análise estática. Sem orquestração complexa. Um loop, um prompt, um modelo.
O bug principal que ele apresentou está no driver NFS (Network File Share) do kernel. É um heap buffer overflow que permite a um atacante ler memória sensível do kernel pela rede. A exploração exige dois clientes NFS cooperando contra um servidor Linux: o primeiro adquire um lock com um owner ID de 1024 bytes (legal, mas incomum), e quando o segundo cliente tenta o mesmo lock e recebe uma negativa, o servidor tenta escrever 1056 bytes numa estrutura de 112 bytes. O atacante controla o conteúdo que transborda.
Para encontrar esse bug, o modelo precisou entender o protocolo NFS em detalhe: o handshake de três vias, a semântica de locks, a estrutura do replay cache, e como a resposta de negação é serializada. Não é pattern matching. É compreensão de lógica de protocolo.
Carlini identificou 5 CVEs no total. Ele corrigiu diretamente ou reportou cada uma aos mantenedores do kernel. Além dessas, ele menciona centenas de crashes que ainda não foram validados manualmente.
A Curva Que Importa
O dado mais relevante da palestra não é o bug em si. É a comparação entre modelos.
Carlini tentou reproduzir os resultados com modelos anteriores. Opus 4.1, lançado oito meses antes, e Sonnet 4.5, lançado seis meses antes, encontraram apenas uma fração pequena do que Opus 4.6 encontrou. A diferença não é incremental. É um salto de capacidade dentro de um único ciclo de lançamento.
Isso tem uma implicação prática direta: a capacidade de descoberta de vulnerabilidades por IA está acelerando mais rápido do que a maioria das organizações está atualizando suas posturas de segurança. O que Opus 4.6 faz hoje, o modelo seguinte fará melhor. E o seguinte, melhor ainda.
Uso Dual: O Elefante na Sala
A metodologia de Carlini é pública. O script bash é trivial. Claude Code está disponível comercialmente. Qualquer pessoa com uma assinatura pode apontar o mesmo processo para qualquer base de código.
Isso não é hipotético. Como exploramos em Governança de IA É Cibersegurança, a convergência entre capacidade ofensiva e defensiva de IA já está acontecendo. O trabalho de Carlini materializa essa convergência num exemplo concreto: a mesma técnica que encontra bugs para corrigi-los encontra bugs para explorá-los.
A diferença entre pesquisa de segurança e ataque é intenção. A ferramenta é idêntica.
Carlini enquadrou o prompt como um CTF (capture the flag) deliberadamente. Os modelos respondem melhor quando a tarefa é contextualizada como competição. Esse mesmo enquadramento funciona para quem quer encontrar vulnerabilidades sem a intenção de reportá-las.
O Gargalo de Validação
Existe um detalhe na apresentação de Carlini que merece atenção separada. Ele disse ter “várias centenas de crashes” no kernel Linux que não conseguiu reportar porque não teve tempo de validá-los manualmente.
Leia isso de novo. Um pesquisador de segurança sênior, trabalhando dentro da Anthropic, não consegue acompanhar o volume de bugs que a IA produz.
Esse é o gargalo real. A IA encontra vulnerabilidades mais rápido do que seres humanos conseguem verificar, priorizar e corrigir. Para defensores, isso significa que o backlog de vulnerabilidades conhecidas mas não remediadas vai crescer. Para atacantes, significa que a IA pode produzir candidatos a exploit em volume industrial.
O problema não é falta de ferramentas. É que a capacidade de descoberta ultrapassou a capacidade de resposta. Nenhuma equipe de segurança do mundo foi dimensionada para processar o volume que esses modelos conseguem gerar.
O Que Isso Muda na Prática
Para organizações que mantêm software em produção, três consequências são imediatas.
Primeiro, código legado está mais exposto do que nunca. Se um script bash simples encontrou bugs de 23 anos no kernel Linux (um dos projetos mais auditados do planeta), código corporativo proprietário com menos escrutínio está em posição significativamente pior. Qualquer base de código com mais de cinco anos de idade provavelmente contém vulnerabilidades que esses modelos conseguem identificar.
Segundo, a janela entre descoberta e exploração está encolhendo. Quando a descoberta exigia expertise manual, o tempo entre alguém encontrar um bug e alguém criar um exploit era medido em semanas ou meses. Com IA acelerando ambos os lados, essa janela se comprime. Programas de patch management que operam em ciclos mensais estão operando num ritmo incompatível com a realidade.
Terceiro, governança de IA e segurança cibernética não podem mais ser tratadas como funções separadas. O modelo que encontra vulnerabilidades no seu código é o mesmo modelo que seus desenvolvedores usam para escrever código. A política que governa um precisa informar o outro. Organizações que ainda mantêm equipes separadas para “governança de IA” e “cybersecurity” estão criando exatamente o tipo de fratura organizacional que atacantes exploram.
Uma Nota Sobre Incentivos
Carlini trabalha na Anthropic. A Anthropic vende o modelo que ele usou. Existe um incentivo comercial óbvio em demonstrar publicamente que Claude Code encontra bugs que ninguém mais encontrou.
Reconhecer isso não invalida o trabalho. Os 5 CVEs são reais e verificáveis. Os commits no kernel Linux estão públicos. O bug de 23 anos existia de fato. Mas toda análise responsável precisa registrar que a fonte tem interesse comercial no resultado.
O que elimina a dúvida é a reprodutibilidade. A metodologia é simples o suficiente para qualquer pesquisador de segurança replicar. Se os resultados não se sustentassem, a comunidade de segurança já teria apontado. Até agora, a reação predominante é de confirmação: outros pesquisadores estão reproduzindo resultados comparáveis.
O Que Vem Depois
Michael Lynch, que documentou os achados de Carlini em detalhe, resume bem: “Espero ver uma onda enorme de bugs de segurança descobertos nos próximos meses, conforme pesquisadores e atacantes percebam o quão poderosos esses modelos de IA são na descoberta de vulnerabilidades.”
Essa onda não é teórica. Já começou. No mesmo período, Carlini também recebeu crédito por uma vulnerabilidade de execução remota de código no kernel do FreeBSD (CVE-2026-4747), onde Claude produziu um exploit funcional com root shell em aproximadamente quatro horas.
O padrão é claro: a capacidade está acelerando, o acesso é democrático, e a infraestrutura de defesa não foi projetada para esse volume. Organizações que tratam segurança como um problema de ferramentas vão descobrir que o verdadeiro problema é de governança e capacidade humana de resposta.
A questão não é se IA vai encontrar vulnerabilidades no seu código. É se você vai encontrá-las antes de alguém com intenções diferentes.
Fontes
- Carlini, Nicholas. “Black-hat LLMs.” Palestra na [un]prompted 2026. Março 2026.
- Lynch, Michael. “Claude Code Found a Linux Vulnerability Hidden for 23 Years.” Abril 2026.
- Calif.io. “MAD Bugs: Claude Wrote a Full FreeBSD Remote Kernel RCE with Root Shell (CVE-2026-4747).” Março 2026.
- Linux Kernel Git. “nfsd: fix heap overflow in NFSv4.0 LOCK replay cache.”
A Victorino Group ajuda organizações a integrar governança de IA e segurança cibernética antes que a próxima onda de vulnerabilidades force a conversa: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa