主要观点：ARMO 的安全研究人员发现 Linux 运行时安全工具中的重大漏洞，源于 io_uring 接口可完全绕过传统系统调用监控，攻击者可利用此盲点逃避现有安全解决方案检测，研究开发了名为“Curing”的概念验证 rootkit 并展示其功能，暴露了当前基于 eBPF 安全方法的局限性，指出安全供应商需超越简单系统调用监控，还提出了检测基于 io_uring 攻击的几种方法。
关键信息：

• io_uring 接口在 Linux 内核 5.1 引入，可提供高性能异步 I/O 绕过常规监控。
• 研究基于 Daniel Teixeira 早期工作，ARMO 团队创建首功能完整 rootkit 证明实际威胁。
• 测试发现开源和商业安全解决方案普遍存在漏洞，如 Falco 对 io_uring 操作无效，Microsoft Defender for Endpoint on Linux 有盲点。
• 暴露当前基于 eBPF 安全方法的局限性，安全供应商需改变监控方式。
• ARMO 研究指出检测基于 io_uring 攻击的方法，如实施 KRSI 等。
  重要细节：
• 研究人员展示攻击者可通过 io_uring 操作在大多数现有安全解决方案下 undetected 运行。
• Falco 维护者已承认问题并在开发基于 LSM 的插件。
• 检测策略包括监测异常 io_uring 使用模式、识别内核栈中的替代挂钩点等。
• 该漏洞在以 Linux 为基础的云原生环境中意义重大，安全解决方案需与不断发展的内核功能兼容。