Eu dei uma olhada rápida e parece que o kernel irá rejeitar um caminho que não inicia com '/', então não é possível passar um nulo lá. A menos que eu esteja olhando para o lugar errado, é isso que reforça isso:
Em kernel / audit_watch.c: audit_to_watch () :
if (path[0] != '/' || path[len-1] == '/' ||
krule->listnr != AUDIT_FILTER_EXIT ||
op != Audit_equal ||
krule->inode_f || krule->watch || krule->tree)
return -EINVAL;
Pode valer a pena preencher um relatório / solicitação de bug contra isso