Is een 'kill switch' in de Linux-kernel een goed idee?

In dit artikel:

Sasha Levin, distinguished engineer bij Nvidia en mede-beheerder van de Linux-kerneltrees voor LTS-versies, heeft een voorstel ingediend voor een zogenaamde kill switch in de Linux-kernel. Dit mechanisme zou bevoegde systeembeheerders in staat stellen tijdelijk kwetsbare kernel-functies uit te schakelen wanneer er een zero-day wordt ontdekt maar nog geen patch beschikbaar is. Levin betoogt dat het kort verliezen van bijvoorbeeld toegang tot een socketfamilie meestal acceptabeler is dan het blijven draaien van een kernel waarvan bekend is dat die kwetsbaar is.

Het voorstel komt in een context van toenemende urgentie: recente Linux-kwetsbaarheden zoals Copy Fail (CVE-2026-31431) worden actief misbruikt en zijn door CISA als Known Exploited Vulnerability aangemerkt, met een deadline voor Amerikaanse overheidsorganisaties. Ook ontstond recent de exploitcombinatie Dirty Frag, waarvoor op 7 mei een openbaar proof-of-concept verscheen. Tegelijk stijgt het aantal gemelde kernel-CVE’s fors (van enkele honderden in 2023 naar duizenden nú), deels door het intensieve gebruik van AI-hulpmiddelen bij kwetsbaarhedenscans.

De gemeenschap is verdeeld. Grote spelers zoals Red Hat steunen het idee; Mike McGrath (VP Core Platforms bij Red Hat) zegt: “We zijn voorstander van het opnemen van kill-switch-mogelijkheden in de kernel, vooral nu het tempo en de ernst van exploits toenemen door LLM-gedreven scanning.” Red Hat wijst erop dat patches vaak ingrijpend zijn en dat niet-verstorende mitigaties nuttig kunnen zijn als tijdelijke bescherming.

Tegelijk klinken stevige tegenwerpingen. Critici vrezen dat beheerders geneigd zullen zijn de kill switch te gebruiken in plaats van echte fixes door te voeren, waardoor patching kan worden uitgesteld. Technische bezwaren wijzen erop dat de voorgestelde code hoog-niveau entry points uitschakelt die al foutcondities behandelen, wat tot te brede of onbedoelde beperkingen kan leiden. Bovendien kan het uitschakelen van kernel-functies zonder uitgebreid testen aanzienlijke impact op bedrijfsapplicaties hebben — iets wat veel organisaties moeilijk vooraf kunnen inschatten.

Ook speelt twijfel over de kwaliteit van nieuw ontdekte bugs, nu AI-tools onderzoek aanjagen; hoewel sommige partijen zeggen dat moderne LLM’s weinig valse positieven opleveren, blijft het debat levendig.

Het voorstel staat open voor beoordeling binnen het open-source Linux-project. Belangrijke vragen blijven overeind: of een kill switch als noodrem meer veiligheidswinst dan risico oplevert, en hoe dit samen kan gaan met het blijven afdwingen van snelle, correcte patches.