Un agente de IA encontró 21 vulnerabilidades de día cero en FFmpeg por $1,000. Chrome acaba de corregir un récord de 429 errores.
TL;DR El agente de IA de Depthfirst encontró 21 vulnerabilidades de día cero en FFmpeg por $1,000. Chrome 149 corrigió un récord de 429 errores. La IA está inundando a los defensores con más errores de los que pueden manejar.
Un agente autónomo de IA de una startup de seguridad encontró 21 vulnerabilidades previamente desconocidas en FFmpeg, la biblioteca de medios de código abierto incrustada en casi todo lo que toca video. La startup, depthfirst, dice que la ejecución costó aproximadamente $1,000 en computación. Algunos de los errores habían estado ocultos en la base de código durante más de 20 años.
Días después, Google lanzó Chrome 149 con parches para 429 errores de seguridad, la mayor cantidad jamás en una sola versión de navegador. Más de 100 son críticos o de alta gravedad. Los dos eventos llegaron de forma independiente, pero apuntan en la misma dirección: la IA está encontrando vulnerabilidades más rápido de lo que los humanos pueden solucionarlas.
El agente de Depthfirst escaneó aproximadamente 1.5 millones de líneas de C de FFmpeg y produjo una prueba de concepto reproducible para cada uno de los 21 días cero. La mayoría son desbordamientos de pila o de montón en analizadores y demultiplexores, abarcando componentes desde el demultiplexor TS hasta el decodificador VP9. Un desbordamiento de pila en el código de la tabla de descripción del servicio data de 2003.
Nueve ya tienen identificadores CVE (CVE-2026-39210 a CVE-2026-39218). El resto ha sido corregido en la parte superior pero aún no numerado. Depthfirst ha publicado código de prueba de concepto.
FFmpeg no es nuevo en la caza de errores impulsada por IA. El agente Big Sleep de Google informó sobre una serie de errores de FFmpeg el año pasado. El modelo Mythos de Anthropic extrajo un defecto de H.264 de 16 años y otros de FFmpeg por aproximadamente $10,000. Depthfirst afirma haber realizado un trabajo comparable a una décima parte del costo.
La captura récord de Chrome 149 es una historia diferente. Google no ha atribuido las 429 vulnerabilidades a la IA. Pero la compañía reformó su programa de recompensas por errores en abril después de una inundación de presentaciones generadas por IA, ahora pidiendo a los investigadores reproductores concisos en lugar de los largos informes que la IA tiende a producir.
El peor error, CVE-2026-10881, puntúa 9.6 en la escala CVSS. Es una lectura y escritura fuera de límites en el motor gráfico ANGLE que permite que una página diseñada escape de la sandbox de Chrome y ejecute código en el host. Google pagó $97,000 por el informe. De los 22 errores críticos, 19 fueron encontrados internamente.
El patrón sigue repitiéndose. Una herramienta autónoma encontró recientemente una falla de ejecución remota de código autenticado en Redis que había pasado desapercibida durante más de dos años. Un estudio de febrero mostró que un agente de IA podría reproducir exploits funcionales para más de la mitad de 100 errores reales del núcleo de Linux, superando el fuzzing tradicional.
El problema difícil está cambiando. Encontrar estos errores se ha vuelto barato. Clasificar los informes, enviar las correcciones y hacer que se instalen no lo es. Gran parte de ese trabajo aún recae en voluntarios y una delgada capa de clasificadores humanos que ahora se espera que mantengan el ritmo con las máquinas. Mozilla corrigió 271 vulnerabilidades de Firefox encontradas por Mythos en una sola pasada. La pregunta ya no es si la IA puede encontrar los errores. Es si alguien puede solucionarlos lo suficientemente rápido.
Publicado el 6 de junio de 2026 - 12:24 pm UTC
Volver arriba
Otros artículos
Trump contempla una participación pública en OpenAI de $850 mil millones mientras Sanders quiere el 50%
Trump se reunirá con empresas de IA sobre un plan para dar a los estadounidenses participación en firmas como OpenAI de $850 mil millones. Ya ha tomado participaciones en Intel e IBM. Sanders quiere la mitad. No existe un mecanismo legal.
El gusano Miasma autorreplicante afecta a 73 repositorios de Microsoft GitHub en un ataque a la cadena de suministro.
GitHub deshabilitó 73 repositorios de Microsoft después de que el gusano Miasma explotara credenciales previamente comprometidas para plantar malware dirigido a agentes de codificación de IA.
Lectric prospera mientras los rivales de bicicletas eléctricas respaldados por capital de riesgo se declaran en bancarrota
Lectric eBikes vendió 30,000 bicicletas el mes pasado y lanzó tres nuevas marcas, todo sin capital de riesgo, mientras Rad Power y VanMoof colapsaron después de recaudar cientos de millones.
Reid Hoffman deja la junta de Microsoft para entrar en 'modo fundador' con la startup de medicamentos de IA Manus.
El cofundador de LinkedIn, Reid Hoffman, está renunciando a la junta de Microsoft después de casi una década para centrarse en Manus, su startup de descubrimiento de medicamentos con inteligencia artificial.
El jefe de comercio de la UE quiere una nueva herramienta para romper la dependencia de Europa de los chips y tierras raras chinos.
Maroš Šefčovič pidió un "instrumento de diversificación" modelado en la Unión de la Energía para obligar a la industria a salir de la dependencia de un único proveedor en sectores sensibles.
El exejecutivo de ciberseguridad de IBM acusa a la empresa de ocultar violaciones de hackeo chinas.
Una demanda de un denunciante alega que IBM ocultó violaciones por parte de hackers chinos que atacaron su red más de 56,000 veces y nunca informó al gobierno de EE. UU.
Un agente de IA encontró 21 vulnerabilidades de día cero en FFmpeg por $1,000. Chrome acaba de corregir un récord de 429 errores.
Un agente de IA autónomo de una startup encontró 21 vulnerabilidades de día cero en FFmpeg por aproximadamente $1,000. Mientras tanto, Chrome 149 corrigió un récord de 429 vulnerabilidades en una sola versión.