ARMO网络安全研究人员近日披露，Linux系统核心组件io_uring存在重大安全缺陷，该漏洞允许攻击者部署隐蔽的rootkit恶意软件，绕过主流安全监测工具实施持久化控制。

io_uring是Linux 5.1版本引入的异步I/O机制，旨在提升存储设备通信效率，但其支持的61种操作类型（包括文件读写、网络连接、权限修改等）未被传统安全工具纳入监控范围，形成危险盲区。

为验证漏洞危害，ARMO开发了名为“Curing”的rootkit概念验证样本，该恶意软件可远程接收指令并执行任意命令，全程规避系统调用钩子检测。

测试显示，包括Falco在内的主流安全工具均未能识别其存在，Tetragon虽提供扩展监控选项，但默认配置下同样失效。鉴于漏洞威胁，谷歌已在其操作系统中采取防御措施，默认在Android和ChromeOS中关闭io_uring功能，并推动内核版本升级以修复相关缺陷。

Linux社区亦启动紧急响应，内核维护者正评估强化权限检查、推动安全工具适配io_uring事件监控等修复方案。

此次事件暴露了传统安全模型的局限性，企业安全团队被建议通过内核审计、工具升级及最小化原则等措施应对风险，同时，行业正探索通过AI技术重构系统安全监测范式，以应对日益复杂的内核攻击挑战。