文章总结: AI代理depthfirst在FFmpeg中发现21个0day漏洞,成本约1000美元,部分漏洞潜伏超20年。Chrome149修复创纪录的429个漏洞,多数为内部发现。AI加速漏洞发现,要求缩短补丁周期并采用自动更新。 综合评分: 86 文章分类: 漏洞分析,AI安全,漏洞预警,安全工具,漏洞POC
AI代理发现FFmpeg中的21个0day漏洞;Chrome修补创纪录的429个漏洞
爱拍照的老李 爱拍照的老李
爱拍照的老李
2026年6月7日 09:00 湖北
在小说阅读器读本章
去阅读
导读
一家安全初创公司报告了 FFmpeg 中的 21 个之前未知的漏洞,FFmpeg 是几乎所有涉及视频的设备中的媒体库,这些漏洞均由一个自主 AI 代理发现。
Chrome的创记录漏洞发现是在谷歌为应对大量AI生成报告而彻底改革赏金计划之后出现的。机制不同,但压力是一样的:人工智能将更多漏洞摆在必须应对这些漏洞的人面前,而且速度比以前更快。
FFmpeg的发现来自depthfirst,其自主安全代理扫描了项目约150万行C语言,生成了21个确认的0day,每个都包含可重复的概念验证输入。
该公司估计这次漏洞发现的成本约为1000美元。其中几个漏洞潜伏了15-20年;服务-描述-表代码中的一个堆栈溢出可追溯到2003年,并闲置了23年。
大多数都是解析器和复码器中的堆或栈溢出,涵盖从 TS 解模器到 VP9 解码器的组件。depthfirst表示,有些已经带有CVE标识符;其说明列出了九个,CVE-2026-39210 到 CVE-2026-39218,并指出其余编号已固定但尚未编号。
Chrome 149修复了429个漏洞,创下单次发布的漏洞数量纪录。超过100个属于关键或高严重性,大多是使用后释放漏洞和输入验证不足问题。
最严重的漏洞CVE-2026-10881(CVSS 9.6)是在ANGLE图形引擎中设置了超出边界的读写程序,允许精心制作的页面逃离沙箱,在主机上运行代码。谷歌为此支付了97,000美元。
这些高严重性漏洞多是内部发现:大约90个高严重bug中,只有10个来自外部研究人员,22个关键bug中有19个是谷歌自身发现的。AI的关联更多是关于数量而非作者数量。
谷歌并未将429与人工智能联系起来;公开信号是它在四月所做的悬赏大改革,这起因是大量AI生成的提交,现在又要求对AI写出的长篇报道做简明复述。
谷歌的Big Sleep代理去年报告了一系列FFmpeg漏洞,现已在项目安全页面BIGSLEEP中可见,Anthropic的Mythos模型则以约1万美元的价格从FFmpeg中移除了一个已有16年的H.264漏洞及其他漏洞,其中三个漏洞以FFmpeg 8.1版本发布,正如其自身的报道所述。
几天前,另一个自主工具在Redis中发现了一个认证的RCE,该代码自7.2.0版本以来一直存在,且两年多来未被察觉。2月的一项研究让AI为超过100个真实Linux内核Nday漏洞中一半的有效PoC复现,成功击败了模糊检测。
FFmpeg 广泛捆绑在媒体管道、Python wheels、容器镜像和设备中。
应对措施必须与新节奏保持一致:缩短补丁周期,使用自动更新,将CVE修复视为安全工作而非常规维护。
新闻链接:
https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:爱拍照的老李 爱拍照的老李 爱拍照的老李《AI代理发现FFmpeg中的21个0day漏洞;Chrome修补创纪录的429个漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。












评论