文章探讨了 Linux 内核中异步 I/O 接口 io_uring 如何绕过 seccomp 过滤的问题。io_uring 通过批处理 I/O 请求到用户空间的环形缓冲区,并使用 io_uring_enter 系统调用提交到内核,从而避免了单个系统调用。文章举例说明了如何使用 seccomp 阻止 connect(2) 系统调用,并演示了 io_uring 如何绕过这种限制。最后,文章讨论了使用 io_uring 限制和容器部署中的安全注意事项。