Linux内核维护者提议引入"熔断开关"以应对零日漏洞防护需求

Linux服务器管理员或许将获得一项新能力——在零日漏洞补丁正式发布之前，临时关闭内核中存在安全缺陷的功能模块。这一设想由Linux内核开发者兼维护者萨沙·列文提出，目前正等待开源社区的审议与决策。

列文现任职于英伟达，同时担任Linux长期支持版本与稳定版内核树的共同维护者。他在近期发布的一篇文章中提出了"熔断开关"的概念，作为漏洞被发现后的临时缓解手段。他指出，一旦漏洞曝光，"在补丁构建完成、完成分发并重启生效之前，大量服务器始终处于暴露状态。对于许多此类问题，最简单的缓解方式就是停止调用存在缺陷的函数。"他与同事还在文章中提供了一个内核熔断开关的参考实现版本。

列文表示，"对大多数用户而言，'某个套接字协议族当天停止工作'的代价，远小于在补丁落地之前持续运行已知存在漏洞内核所带来的风险。"

这一提案的出台，恰逢多个高危Linux漏洞相继被披露之际。其中包括"Copy Fail"（CVE-2026-31431），这是一个逻辑类漏洞，允许普通用户轻易获取root权限；以及"Dirty Frag"，该漏洞利用Linux内核处理内存碎片页的缺陷发动攻击，组合利用了影响Linux IPsec封装安全载荷子系统（CVE-2026-43284）与RxRPC网络协议（CVE-2026-43500）的两个独立漏洞。

然而，这一提案在信息安全社区引发了激烈争论。在Reddit的r/cybersecurity版块中，有人将其斥为"糟糕的想法"、"荒唐之举"、"令人不安"和"风险太高"。有人担忧："人们会用熔断开关来替代打补丁。"

也有贡献者指出了提案代码本身的缺陷——熔断开关会终止某个具体函数，但同时会禁用已经负责处理该操作"失败"状态的最高层入口点。

"如果你了解Linux的工作原理，根本不需要它，"一位贡献者表示。他称在Dirty Frag漏洞利用代码发布后数小时内，便完成了分析并准备好了缓解方案。"如果你不了解Linux的工作原理，你也不该使用任何熔断开关。"

加拿大事件响应公司DeepCove CyberSecurity的首席技术官凯尔曼·梅古对此持保留态度："熔断开关理论上很美好，但考虑到变更管控依然需要严格测试与管理，我不认为它能让我比现在更快地获得防护。"

他还表示，开发者口中轻巧的"卸载内核模块"操作，实际上需要向业务部门证明不会影响任何服务。他预见至少两个问题：其一，大多数管理员难以快速评估熔断开关对自身业务的实际影响；其二，对于企业级应用而言，仅仅触发熔断开关、寄望于万事大吉，并不是一个可靠的策略。他总结道，熔断开关"看起来更像一张创可贴，只对特定的伤口有效。"

恩德勒集团的罗伯特·恩德勒则认为，熔断开关本质上是一种"紧急情况下的破窗工具"。他表示："对于企业管理员而言，这是应对零日漏洞披露与补丁部署之间时间差的务实之举。在高可用环境中，对整个服务器集群执行重启是噩梦，能够关闭某个正在被利用的非核心功能（如某个冷僻的网络协议），是巨大的收益。它以牺牲一个小众特性为代价，换来即时的系统完整性，同时避免了完整补丁周期所带来的停机时间。"

不过他也指出，这种能力是一把双刃剑。"虽然它不会创造新的入侵入口——触发操作依然需要root权限——但它为大规模自我造成的拒绝服务攻击敞开了大门。一旦管理员误操作关闭了关键的内存管理函数，系统将彻底崩溃，且没有任何安全兜底机制。"他还警告，熔断开关存在沦为"拐杖"的风险，让组织以此为由拖延正式打补丁。"这是一把只适合交给专业安全团队使用的利刃，对于普通系统管理员而言，可能过于'核武级'了。"

然而，Linux发行版厂商红帽的一位高管表示，该公司对这一机制持积极态度。红帽核心平台副总裁迈克·麦格拉思表示："我们支持将熔断开关能力整合进内核，尤其是在大语言模型驱动的漏洞扫描使漏洞利用的速度和危害程度不断提升的背景下。补丁对于修复CVE漏洞绝对不可或缺，但补丁本身往往也具有破坏性。大多数规模化运营的组织必须在基于补丁的防护与重启和更新对生产环境的影响之间寻求平衡。因此，非中断性的缓解手段对于在永久补丁验证和部署完成之前的'即时'防护至关重要，而这也是红帽一直以来通过各种可用手段积极提供的能力。"

Q&A

Q1：Linux内核熔断开关是什么？它能解决什么问题？

A：Linux内核熔断开关是一种临时缓解机制，允许有权限的管理员在零日漏洞补丁正式发布之前，直接关闭内核中存在安全缺陷的特定函数，从而避免服务器在补丁构建、分发和重启完成之前持续暴露于风险之中。该提案由英伟达工程师、内核共同维护者萨沙·列文提出。

Q2：Linux内核熔断开关有哪些潜在风险？

A：主要风险包括：管理员可能误关键函数导致系统崩溃；部分管理员难以评估关闭某功能对业务的实际影响；组织可能以熔断开关为借口拖延正式打补丁；以及在代码实现层面，关闭某函数可能同时禁用负责处理失败状态的上层入口点，带来意外后果。

Q3：红帽公司对Linux内核熔断开关提案是什么态度？

A：红帽公司表示支持将熔断开关能力整合进Linux内核。红帽核心平台副总裁迈克·麦格拉思指出，随着大语言模型驱动的漏洞扫描使漏洞利用愈发频繁，非中断性缓解手段对于在正式补丁部署前提供即时防护至关重要，而这与红帽一贯提供的缓解策略方向一致。