实验环境研究未直接提供漏洞或利用方法而是为 Codex 提供可实际操作的环境。KantS2 是三星为这款电视型号的智能电视固件所使用的内部平台名称。实验设置包括浏览器切入点、控制主机、Shell 监听器、匹配的源代码版本、执行限制和 memfd 包装器。Codex 的操作循环是检查源代码和会话日志通过控制主机和由 tmux 驱动的 shell 向电视发送命令从日志中读取结果。目标最初提示目标宽泛要在电视中找到漏洞将权限提升到 root未指定具体方法。第二个提示缩小标准要求对漏洞源代码交叉检查确保漏洞存在于源代码中、设备上实际存在且能从浏览器 shell 访问Codex 输出聚焦到具体候选漏洞。已知信息向 Codex 提供了如 uid5001(owner) gid100(users)、Linux 版本、设备节点等信息这些信息为后续操作奠定基础浏览器身份定义权限边界内核版本缩小代码库范围设备节点定义可访问接口/p​roc/cmdline 为物理扫描提供内存布局提示。漏洞发现Codex 锁定一组对浏览器 shell 开放、可被任意用户写入的 ntk* 设备节点关注该驱动程序家族是因为其在设备上已加载、可从浏览器 shell 访问且存在于发布的源代码树中源代码树显示与联咏科技有关联为后续操作指明方向。限制条件研究给 Codex 设定无法访问 /proc/iomem 的限制条件/proc/iomem 通常用于推断物理内存布局Codex 转向 /p​roc/cmdline 的启动参数重建主内存区域。原语利用将范围缩小到 ntksys 和 ntkhdma 后Codex 审计 KantS2 源代码发现 physmap 原语让用户空间能访问原始物理内存攻击路径变为基于物理内存访问的数据提升攻击。根本原因一是 ntksys 被故意暴露给无特权的调用者udev 规则赋予 /dev/ntksys 所有用户可写权限二是用户空间控制物理基地址和大小驱动程序接口围绕 ST_SYS_MEM_INFO 构建三是 SET_MEM_INFO 只验证槽位不验证物理范围四是 mmap 直接重新映射所选的页帧号五是 ntkhdma 通过泄露物理地址简化验证过程。攻击链构建Codex 分阶段构建证明链先编写辅助工具获取 ntkhdma 的 DMA 缓冲区物理地址再编写工具测试通过 ntksys 能否将该页面映射到用户空间并读写证明无特权进程可读写物理页面。漏洞利用漏洞利用方法并非研究人员提供研究人员未告诉 Codex 去修补 cred 等相关内容。