Trotz des hohen Schweregrads ist der Angriff erstaunlich einfach. Der von Xint auf GitHub veröffentlichte Proof-of-Concept-Code umfasst lediglich zehn Zeilen. Ein Patch steht ebenso frei zum Download bereit.

CVE-2026-31431 funktioniert nach Angaben von Xint über alle Linux-Distributionen hinweg gleichermaßen und benötigt keine schwer beherrschbaren Race Conditions. Während die meisten lokalen Rechteausweitungen unter Linux nur mit gewisser Wahrscheinlichkeit gelingen, greift diese Lücke laut dem Blogbeitrag des Unternehmens in hundert Prozent der Fälle. Da der Angriff im flüchtigen Speicher abläuft, hinterlässt er keine Spuren auf der Festplatte; nach einem Neustart des Systems sind die Hinweise auf den Vorgang verschwunden.

Mit den erlangten Root-Rechten lässt sich erheblicher Schaden anrichten. „Man kann wichtige Systemkonfigurationsdateien oder wichtige Programme auf dem System verändern", erklärt Tim Becker, Senior Security Researcher bei Xint. Über solche Mechanismen lasse sich eine lokale Rechteausweitung erreichen und ließen sich sensible Konfigurationen laufender Anwendungen manipulieren.

Besonders besorgniserregend sei der Einsatz in Container-Umgebungen: „Es ist sehr verbreitet, Kubernetes-Cluster zum Bereitstellen von Anwendungen zu nutzen. Diese Art von Schwachstelle erlaubt einen Container-Ausbruch aus jedem beliebigen Pod eines Kubernetes-Clusters, um die anderen Pods oder den Host zu beeinträchtigen, auf dem der Cluster läuft", so Becker.

Ein weiteres Risiko sieht er bei Continuous-Integration-Runnern — also Maschinen oder Agenten, die Aufgaben in einer Software-Entwicklungspipeline automatisiert ausführen. Öffnet jemand eine Pull-Request mit einer Codeänderung, laufen automatisch Prüfungen und Tests. Gelingt es einem Angreifer, den Exploit in diese automatisch ausgeführten Tests einzuschleusen, kann er aus dem Container des CI-Jobs ausbrechen und möglicherweise auf sensible Geheimnisse in der Umgebung oder sogar auf dort hinterlegte Deployment-Schlüssel zugreifen.

Becker ordnet den Fund in einen größeren Trend ein: KI verändere die Schwachstellenforschung erheblich, nahezu jeder in dem Feld nutze inzwischen KI, um seinen Ertrag deutlich zu steigern. Mit dem internen Werkzeug seines Unternehmens habe man Datenbanken wie Postgres, Redis und MariaDB geprüft, indem man den Code ohne jeden menschlichen Hinweis eingespeist habe — und dabei ausnutzbare Fehler gefunden, die teils seit über zwanzig Jahren bestanden.

Bei „Copy Fail" sieht Becker den menschlichen Beitrag jedoch als entscheidend an: Ein Xint-Forscher hatte die Eingebung, gezielt nach genau einer solchen Schwachstelle zu suchen; die KI übernahm anschließend die mühsame Detailarbeit der Identifizierung. „Das fühlt sich für mich nach etwas an, wofür menschliche Einsicht noch nützlich ist. Aber nur knapp", sagt er.