Репортаж от Wedoany，Стартап в области кибербезопасности под названием depthfirst с помощью автономного ИИ-агента просканировал около 1,5 миллиона строк кода C в открытой медиабиблиотеке FFmpeg и обнаружил 21 ранее неизвестную уязвимость нулевого дня, для каждой из которых имеется воспроизводимое подтверждение концепции (PoC). Компания сообщила, что стоимость этого запуска составила около 1000 долларов. Некоторые из этих уязвимостей скрывались от 15 до 20 лет; проблема переполнения стека в коде таблицы описания служб восходит к 2003 году и существует уже 23 года.

Эти уязвимости в основном сосредоточены в парсерах и демультиплексорах, затрагивая такие компоненты, как TS-демультиплексор и декодер VP9, и в основном представляют собой переполнение кучи или стека. В отчете depthfirst перечислены 9 идентификаторов CVE (CVE-2026-39210 – CVE-2026-39218), и указано, что остальные уязвимости уже исправлены, но еще не получили номеров. Компания также опубликовала PoC.

На той же неделе Google выпустила версию Chrome 149, исправив 429 уязвимостей безопасности, что стало рекордом по количеству исправлений в одной версии. Более 100 из них относятся к критическому или высокому уровню опасности; основные проблемы — это использование после освобождения и недостаточная проверка ввода. Самой серьезной уязвимостью является CVE-2026-10881 (CVSS 9.6) — ошибка чтения и записи за пределами границ в графическом движке ANGLE, за которую Google выплатила 97 000 долларов. Большинство исправленных уязвимостей были обнаружены внутри Google: из примерно 90 уязвимостей высокого уровня только 10 поступили от внешних исследователей, а из 22 уязвимостей критического уровня 19 были обнаружены внутренней командой. Однако Google не связывала напрямую 429 уязвимостей с ИИ.

Ранее, в апреле, Google реформировала программу вознаграждений за обнаружение уязвимостей в ответ на большое количество отчетов, сгенерированных ИИ, и теперь требует от заявителей предоставлять краткие шаги для воспроизведения. Агент Big Sleep от Google ранее сообщил о серии уязвимостей в FFmpeg, которые теперь можно увидеть на странице безопасности проекта с пометкой BIGSLEEP; модель Mythos от Anthropic выявила в FFmpeg 16-летнюю уязвимость H.264 и другие уязвимости, стоимость составила около 10 000 долларов, три из них были исправлены в FFmpeg 8.1. Кроме того, другой автономный инструмент обнаружил в Redis уязвимость удаленного выполнения кода после аутентификации, которая существовала более двух лет, начиная с версии 7.2.0. Исследования также показывают, что в феврале одно исследование позволило агенту воспроизвести более половины действующих PoC из 100 реальных N-day уязвимостей ядра Linux, превзойдя фаззинг-тестирование.

Пользователям FFmpeg следует как можно скорее загрузить исправленные сборки из апстрима или обновления безопасности от дистрибутивов, уделяя первоочередное внимание любым компонентам, обрабатывающим недоверенные RTSP или AV1-over-RTP. FFmpeg широко встроен в медиаконвейеры, колеса Python, образы контейнеров и устройства; встроенные копии также требуют исправления. Пользователям Chrome необходимо обновиться до версии 149.0.7827.53 в Linux или до версии 149.0.7827.53/54 в Windows и macOS, либо убедиться, что автоматическое обновление уже выполнено.

Обнаружение уязвимостей стало дешевым, а этап классификации отчетов, выпуска исправлений и побуждения пользователей к их установке по-прежнему в основном ложится на волонтеров и небольшое количество людей, занимающихся ручной классификацией; эта часть работы должна успевать за скоростью обнаружения с помощью ИИ.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com