Den 22 maj 2025 markerade ett viktigt datum i cybersäkerhetens historia. Då avslöjade säkerhetsforskaren Sean Heelan att OpenAIs senaste AI-modell, ChatGPT o3, upptäckt en allvarlig och tidigare okänd sårbarhet i Linuxkärnans implementation av SMB-protokollet. Felet, nu registrerat som CVE-2025-37899, är en så kallad fjärrstyrd 0-dagars sårbarhet – ett av de mest kritiska säkerhetsproblemen ett system kan ha. En patch har redan släppts och integrerats i samtliga aktivt underhållna Linuxgrenar.
Men det verkliga nyhetsvärdet ligger inte bara i själva sårbarheten – utan i hur den hittades.
Från kodanalys till banbrytande upptäckt
Heelan använde AI-modellen i ett experimentellt syfte: han ville se om o3 kunde hjälpa till att identifiera kända buggar i SMB-koden, som används för nätverksfildelning via kernel-tjänsten ksmbd. Han matade modellen med utvalda delar av Linuxkärnans SMB-relaterade kod, i block om några tusen rader, för att hålla sig inom modellens kontextgränser.
Redan då imponerade o3 – den identifierade en tidigare känd sårbarhet (CVE-2025-37778) betydligt oftare än andra modeller, med träffsäkerhet som matchade eller överträffade mänskliga säkerhetsanalytiker. Men det verkligt sensationella kom när modellen även upptäckte ett helt nytt fel som ingen tidigare dokumenterat: ett use-after-free-fel i hanteringen av SMB-kommandot LOGOFF.
Ett klassiskt race condition – svår att hitta, lätt att utnyttja
Felet låg i hur flera trådar kunde komma åt samma datastruktur utan tillräcklig synkronisering. När en användare loggade ut frigjordes ett minnesobjekt, men andra trådar kunde fortfarande nå det och därmed skapa ett race condition. Detta öppnade för potentiell minneskorruption och möjligheten att exekvera kod med kärnprivilegier – ett mycket allvarligt säkerhetshot.
Detta är exakt den typ av komplexa samtidighetsproblem som ofta undgår mänskliga granskare vid kodrevision – särskilt i stora, invecklade kodbaser som Linuxkärnan. Och här var det alltså en AI-modell som på egen hand såg igenom det hela.
En ny typ av samarbete
Upptäckten rapporterades omedelbart och åtgärdades snabbt av Linuxutvecklarna. Men kanske viktigare än den enskilda buggen är vad detta visar om framtiden: att AI och människa tillsammans kan uppnå något som tidigare varit otänkbart.
Att en språkmodell tränad på kod inte bara kan förstå syntax, utan även analysera flöden, identifiera sårbarheter och skriva tydliga buggrapporter – det markerar en ny era för utveckling och säkerhet.
Heelan noterade att o3 inte bara presterade bättre än tidigare modeller som Claude Sonnet 3.7, utan att den även skrev rapporter som liknade de från erfarna säkerhetsanalytiker: fokuserade, tydliga och relevanta.
Slutsats: början på något större
Det här kan mycket väl vara första gången en AI-modell på egen hand upptäckt och bidragit till att åtgärda en verklig sårbarhet i Linuxkärnan – något som tidigare ansetts vara ett av de mest avancerade områdena inom mjukvarusäkerhet.
Det innebär inte att AI ersätter människor – men det visar tydligt hur AI redan idag kan förstärka mänsklig förmåga och bidra till en säkrare digital värld.
Med sådana framsteg i ryggen kan vi stå inför ett nytt skifte i hur kod skrivs, granskas och säkras. Och om detta bara är början, återstår det att se hur långt vi kan nå – tillsammans med maskinerna.
https://linuxiac.com/chatgpt-o3-model-found-remote-zeroday-in-linux-kernel-code
