Искусственный интеллект обнаружил 21 уязвимость нулевого дня в FFmpeg за 1000 долларов. Chrome только что исправил рекордные 429 ошибок.

      TL;DR Агент ИИ компании depthfirst обнаружил 21 нулевой уязвимости FFmpeg за 1000 долларов. Chrome 149 исправил рекордные 429 ошибок. ИИ затопляет защитников большим количеством ошибок, чем они могут обработать.

      Автономный ИИ-агент стартапа в области безопасности обнаружил 21 ранее неизвестную уязвимость в FFmpeg, открытой медиабиблиотеке, встроенной почти во все, что касается видео. Стартап depthfirst утверждает, что запуск обошелся примерно в 1000 долларов за вычисления. Некоторые из ошибок скрывались в кодовой базе более 20 лет.

      Спустя несколько дней Google выпустил Chrome 149 с патчами для 429 уязвимостей безопасности, что является рекордом для одного релиза браузера. Более 100 из них являются критическими или высокоопасными. Эти два события произошли независимо, но указывают в одном направлении: ИИ находит уязвимости быстрее, чем люди могут их исправить.

      Агент depthfirst просканировал примерно 1,5 миллиона строк кода C в FFmpeg и создал воспроизводимое доказательство концепции для каждой из 21 нулевой уязвимости. Большинство из них — это переполнения кучи или стека в парсерах и демультиплексорах, охватывающие компоненты от демультиплексора TS до декодера VP9. Одно переполнение стека в коде таблицы описания службы датируется 2003 годом.

      Девять из них уже имеют идентификаторы CVE (CVE-2026-39210 по CVE-2026-39218). Остальные были исправлены на верхнем уровне, но еще не пронумерованы. Depthfirst опубликовал код доказательства концепции.

      FFmpeg не нов для охоты за ошибками с помощью ИИ. Агент Big Sleep от Google сообщил о серии ошибок FFmpeg в прошлом году. Модель Mythos от Anthropic извлекла 16-летний недостаток H.264 и другие из FFmpeg за около 10 000 долларов. Depthfirst утверждает, что выполнил сопоставимую работу за десятую часть стоимости.

      Рекордный улов Chrome 149 — это другая история. Google не приписывает 429 уязвимостей ИИ. Но компания обновила свою программу вознаграждений за ошибки в апреле после потока заявок, сгенерированных ИИ, теперь прося исследователей предоставлять краткие воспроизводимые примеры вместо длинных описаний, которые обычно производит ИИ.

      Худшая ошибка, CVE-2026-10881, набирает 9.6 по шкале CVSS. Это чтение и запись вне границ в графическом движке ANGLE, который позволяет созданной странице покинуть песочницу Chrome и выполнить код на хосте. Google заплатил 97 000 долларов за отчет. Из 22 критических ошибок 19 были найдены внутренне.

      Шаблон продолжает повторяться. Недавно автономный инструмент обнаружил уязвимость удаленного выполнения кода с аутентификацией в Redis, которая оставалась незамеченной более двух лет. Февральское исследование показало, что агент ИИ мог воспроизвести работающие эксплойты для более чем половины из 100 реальных ошибок ядра Linux, обойдя традиционное фуззинг.

      Сложная проблема меняется. Поиск этих ошибок стал дешевым. Приоритизация отчетов, доставка исправлений и их установка — нет. Большая часть этой работы по-прежнему ложится на волонтеров и тонкий слой человеческих приоритизаторов, от которых теперь ожидается, что они будут успевать за машинами. Mozilla исправила 271 уязвимость Firefox, найденную Mythos, за один проход. Вопрос больше не в том, может ли ИИ находить ошибки. Вопрос в том, может ли кто-то исправить их достаточно быстро.

      

       Опубликовано 6 июня 2026 года - 12:24 по всемирному координированному времени

      

       Вернуться к началу