Een onderzoeker heeft met behulp van een AI-tool een kwetsbaarheid in Linux gevonden waardoor een lokale unprivileged gebruiker root kan worden. Het probleem is in nagenoeg alle Linux-distributies aanwezig die sinds 2017 zijn verschenen, aldus securitybedrijf Theori, dat het probleem de naam Copy Fail heeft gegeven. Met name multi-tenant Linux omgevingen, shared-kernel containers en CI runners die niet vertrouwde code uitvoeren lopen risico. Onder andere Debian, Ubuntu en SUSE hebben fixes ontwikkeld om het beveiligingslek (CVE-2026-31431) te verhelpen.

Theori omschrijft het probleem als een logicafout in het authencesn cryptographic template van de Linux-kernel. Hierdoor kan een lokale unprivileged gebruiker vier bytes naar de page cache van elk leesbaar bestand op een Linux-systeem schrijven, en zo root woorden. De page cache is een kopie in het geheugen dat de Linux-kernel leest wanneer een bestand wordt geladen. Bij de Copy Fail-aanval worden er geen bestanden op de schijf aangepast, alleen de versie in het geheugen. Dit maakt een eventuele aanval lastig te detecteren.

Een andere eigenschap van Copy Fail is dat hetzelfde exploit-script werkt op Ubuntu, Amazon Linux, RHEL en SUSE. Er is geen aparte versie per Linux-distributie vereist. Eric Biggers, iemand die aan de cryptografische code van de Linux-kernel werkt, hekelt op Hacker News het kwetsbare AF_ALG onderdeel van de Linux-kernel waarin het probleem is gevonden, aangezien dit een zeer groot aanvalsoppervlak is. Verder stelt hij dat het in de Copy Fail-aanval gebruikte algoritme nooit als algemene encryptie API aan userspace blootgesteld zou moeten zijn.