Een Linux-kernelmaintainer heeft een kill switch voorgesteld. Daarmee kunnen beheerders kwetsbare kernel-functies uitschakelen, mochten er nog geen patches voor beschikbaar zijn. Het idee, dat wordt gesteund door Red Hat, heeft securityexperts verdeeld. Critici waarschuwen dat het een excuus kan worden om het daadwerkelijk patchen uit te stellen en nieuwe risico’s kan creëren.
Sasha Levin, een distinguished engineer bij Nvidia en mede-beheerder van de Linux-kernel trees voor LTS-versues, heeft het mechanisme voorgesteld. Hiermee kunnen bevoegde beheerders kwetsbare kernel-functies uitschakelen in noodgevallen. Wanneer er een zero-day wordt ontdekt, blijven systemen kwetsbaar in de periode tussen de bekendmaking en de implementatie van een patch. Voor de meeste gebruikers, zo stelt Levin, kost het tijdelijk verliezen van toegang tot een socket-familie veel minder dan het draaien van een kernel waarvan bekend is dat deze kwetsbaar is.
Wat duidelijk is, is dat twijfels rondom de veiligheid van Linux momenteel alom leven. We hebben onlangs bericht over Copy Fail (CVE-2026-31431), een logische bug waarmee niet-bevoegde gebruikers root-toegang kunnen verkrijgen. Deze wordt nu actief misbruikt, en CISA heeft de kwetsbaarheid toegevoegd als een Known Exploited Vulnerability. Het heeft voor VS-overheidsorganisaties een deadline vastgesteld voor 15 mei. Kort daarna dook Dirty Frag op, een combinatie van twee kwetsbaarheden in het IPsec ESP-subsysteem van Linux en het RxRPC-protocol, met een openbaar proof-of-concept dat op 7 mei ten tonele verscheen.
Anno 2026 spreken we daarnaast over duizenden (5.500) in plaats van enkele honderden (300 in 2023) CVE’s in de Linux-kernel. De stijging wordt deels toegeschreven aan het toegenomen gebruik van AI-tools voor onderzoek naar kwetsbaarheden. Het is misschien niet praktisch om in een voldoende hoog tempo patches uit te rollen voor deze nieuwe instroom aan cybergevaren. Maar een kill switch is geen patch, en een fix zonder mankementen is het eveneens niet.
Er rijzen vaak zorgen over de geldigheid van nieuw gemelde bugs. Het blijft namelijk een reële mogelijkheid dat AI kwetsbaarheden verzonnen heeft. Recent suggereerde Mozilla echter dat de nieuwste lichting van LLM’s nauwelijks valse positieven vindt. Toch hebben sommige experts gesteld dat Claude Mythos, een model dat naar verluidt te gevaarlijk is op het gebied van cyberbeveiliging om aan het publiek vrij te geven, een zeer succesvolle marketingstunt is geweest.
Een verdeelde gemeenschap
Critici van de kill-switch stellen verder dat beheerders naar de kill-switch zullen grijpen in plaats van daadwerkelijk patches toe te passen. Er komen ook technische bezwaren naar voren. De voorgestelde code schakelt een entry point op het hoogste niveau uit dat al foutcondities afhandelt, waardoor de oplossinh mogelijk verder gaat dan de bedoeling was.
Zeer uiteenlopende debatten rond de ontwikkeling van de Linux-kernel laten in ieder geval zien dat frictie te verwachten is. De community stelt zich veelal afwijzend op tegenover veranderingen die correctheid inruilen voor gemak of snelheid. Een radicaal idee zoals hier voorgesteld, zal op harde weerstand blijven stuiten als het wordt doorgezeta.
Red Hat steunt het idee
Een van de zwaargewichten op Linux-gebied, Red Hat, staat achter het idee. “We zijn voorstander van het opnemen van kill-switch-mogelijkheden in de kernel, vooral nu het tempo en de ernst van exploits toenemen door LLM-gedreven scanning,” aldus Mike McGrath, VP Core Platforms bij Red Hat. Hij merkt op dat patches op grote schaal vaak verstorend werken, en dat niet-verstorende maatregelen van groot belang zijn voor directe bescherming totdat er een permanente patch beschikbaar is.
Anderen zijn voorzichtiger. Een meer kritische executive, geciteerd door NetworkWorld, stelt dat maar weinig beheerders de zakelijke impact kunnen inschatten van het uitschakelen van een kernel-functie zonder deze eerst te testen in niet-productieomgevingen, wat nog steeds tijd en moeite kost.
Het voorstel staat nog open voor beoordeling door de community binnen het open-source Linux-project.