En AI til 1000 dollar fant 21 nulldagshull i FFmpeg

En autonom AI-agent leste rundt 1,5 millioner linjer av FFmpegs C-kode og kom tilbake med 21 fungerende nulldagssårbarheter, hver med et reproduserbart inndata som utløser den. FFmpeg er motoren som dekoder video og lyd i nettlesere, mediespillere, telefoner og smart-TV-er, så et hull der er et hull nesten overalt.

For alle som noen gang har åpnet en videolenke, er det nettopp det som betyr noe. FFmpeg vises nesten aldri på skjermen, men det kjører under VLC, Chrome, utallige Android-apper og serverne som behandler opplastinger på de største plattformene. En feil i en av tolkerne kan i prinsippet nås av en enkelt skadelig fil: et klipp, en strøm, et tekstspor laget for å krasje programmet eller kjøre kode på enheten som dekoder.

Agenten kommer fra DepthFirst AI, en sikkerhetsoppstart som har bygget et system for å jakte på minnefeil uten at et menneske leser koden først. Ifølge selskapet kostet hele kjøringen rundt 1000 dollar, et tall det bevisst fremstiller som omtrent 10 prosent av det Anthropic brukte da modellen Claude Mythos kjemmet gjennom viktig programvare etter sårbarheter tidligere i år. Den egentlige nyheten ligger under prislappen. Å finne ekte, utnyttbare feil i kritisk infrastruktur er i ferd med å bli billig nok til å gjøre nesten på et innfall.

De 21 funnene er for det meste de klassiske sårene i gammel C-kode: bufferoverløp på heap og stack, heltallsoverløp og underløp. De sitter i de delene av FFmpeg som tar inn upålitelige data, blant dem MPEG-TS-demukseren, VP9-dekoderen, flere RTP-depacketizere, swscale-skaleringen og DASH- og AVI-demukserne. Det er nøyaktig de komponentene som berører en fil eller en nettverksstrøm før alt annet.

Ett av hullene hadde ligget i koden siden 2003. Et stack-overløp knyttet til en tjenestebeskrivelsestabell, nå sporet som CVE-2026-39214, gikk ubemerket i 23 år tross utallige kodegjennomganger og revisjoner. DepthFirsts første rekke av identifikatorer går fra CVE-2026-39210 til CVE-2026-39218, mens de resterende problemene er rettet, men ennå ikke nummerert. At en maskin på dager gravde frem det som to tiår med menneskelige øyne overså, er den ubehagelige overskriften for sikkerhetsyrket.

FFmpeg-fangsten kom samme uke som Google sendte ut Chrome 149, som tettet rekordhøye 429 sårbarheter i én enkelt versjon. Over 100 ble vurdert som kritiske eller høye, for det meste use-after-free-feil og tilfeller der nettleseren stolte på inndata den burde ha sjekket. Den verste, CVE-2026-10881, er en lesing og skriving utenfor grensene i Chromes grafikklag ANGLE, med en alvorlighetsscore på 9,6 av 10. En tilrettelagt nettside kunne brukt den til å bryte ut av nettleserens sandkasse og kjøre kode på maskinen, og Google betalte forskeren som rapporterte den 97 000 dollar.

To tall, 21 og 429, forteller den samme historien fra hver sin kant. Sårbarhetsforskningen industrialiseres. Enten den som finner er en AI-agent eller et godt finansiert bug bounty-program, stiger mengden oppdagede feil langt raskere enn antallet mennesker som er tilgjengelige for å rette dem.

Den mengden er også der hypen møter virkeligheten. AI-feiljakt har et problem med falske positive, for en modell kan skråsikkert beskrive en sårbarhet som ikke finnes, eller en ingen angriper noen gang kunne utløse. Da Anthropic kunngjorde at Claude Mythos hadde funnet tusenvis av nulldager på tvers av store operativsystemer og nettlesere, påpekte kritikere at overskriftstallet hvilte på et langt mindre sett av manuelt gjennomgåtte tilfeller, og leste kunngjøringen like mye som et salgsargument som et forskningsresultat. DepthFirst sier at agenten er bygget nettopp for å unngå dette, med rekkverk som hindrer den i å finne opp betingelsene en feil trenger, og et krav om at hvert funn kommer med inndata som beviselig når sårbarheten. Det reproduserbare konseptbeviset er det som skiller en ekte rapport fra støy.

Likevel skaper selv verifiserte feil et problem. FFmpeg vedlikeholdes i stor grad av frivillige, og en plutselig flom av maskingenererte rapporter, uansett hvor nøyaktige, flytter flaskehalsen fra å finne feilene til å sortere og lappe dem. Kostnaden ved å oppdage stuper mens kostnaden ved det menneskelige svaret ikke gjør det. Et verktøy som kan produsere 21 gyldige feil for 1000 dollar, kan også produsere dem raskere enn et lite team forsvarlig kan ta imot.

Foreløpig er FFmpeg-hullene rettet i prosjektets kildekode, med de utestående CVE-numrene ennå ikke tildelt, og Chrome 149 rulles automatisk ut til brukerne i løpet av de kommende dagene. DepthFirst har antydet at FFmpeg var en demonstrasjon og ikke et endepunkt, og at andre mye brukte åpen kildekode-biblioteker står for tur til samme behandling. Neste gang en AI-agent leser en million linjer kode som kjører lydløst på milliarder av enheter, er det eneste virkelige spørsmålet hvor raskt menneskene på den andre siden klarer å henge med.

Tagger: cybersikkerhet