En AI til 1.000 dollar fandt 21 zero-day-huller i FFmpeg

En autonom AI-agent læste omkring 1,5 millioner linjer af FFmpegs C-kode og kom tilbage med 21 fungerende zero-day-sårbarheder, hver med et reproducerbart input, der udløser den. FFmpeg er motoren, der afkoder video og lyd i browsere, medieafspillere, telefoner og smart-tv, så et hul der er et hul næsten alle steder.

For enhver, der nogensinde har åbnet et videolink, er det netop dét, der betyder noget. FFmpeg viser sig næsten aldrig på skærmen, men det kører under VLC, Chrome, utallige Android-apps og de servere, der behandler uploads på de største platforme. En fejl i en af dens parsere kan i princippet nås med en enkelt skadelig fil: et klip, et stream, et undertekstspor bygget til at få programmet til at gå ned eller køre kode på den enhed, der afkoder.

Agenten kommer fra DepthFirst AI, en sikkerhedsstartup, der har bygget et system til at jage hukommelsesfejl, uden at et menneske læser koden først. Ifølge virksomheden kostede hele kørslen omkring 1.000 dollar, et tal, den bevidst fremstiller som cirka 10 procent af, hvad Anthropic brugte, da dens model Claude Mythos kæmmede vigtig software igennem for sårbarheder tidligere i år. Den egentlige nyhed ligger under prismærket. At finde reelle, udnyttelige fejl i kritisk infrastruktur er ved at blive billigt nok til at gøre næsten på et indfald.

De 21 fund er for det meste de klassiske sår i gammel C-kode: buffer-overløb på heap og stak, heltalsoverløb og -underløb. De sidder i de dele af FFmpeg, der modtager upålidelige data, heriblandt MPEG-TS-demuxeren, VP9-dekoderen, flere RTP-depacketizers, swscale-skaleringen samt DASH- og AVI-demuxerne. Det er præcis de komponenter, der rører en fil eller en netværksstrøm før alt andet.

Et af hullerne havde ligget i koden siden 2003. Et stak-overløb knyttet til en tjenestebeskrivelsestabel, nu sporet som CVE-2026-39214, gik ubemærket hen i 23 år trods utallige kodegennemgange og revisioner. DepthFirsts første række af identifikatorer løber fra CVE-2026-39210 til CVE-2026-39218, mens de resterende problemer er rettet, men endnu ikke nummereret. At en maskine på dage gravede det frem, som to årtiers menneskelige øjne overså, er den ubehagelige overskrift for sikkerhedsfaget.

FFmpeg-fangsten landede samme uge, som Google udsendte Chrome 149, der rettede rekordstore 429 sårbarheder i en enkelt udgave. Over 100 blev vurderet som kritiske eller høje, mest use-after-free-fejl og tilfælde, hvor browseren stolede på input, den burde have tjekket. Den værste, CVE-2026-10881, er en læsning og skrivning uden for grænserne i Chromes grafiklag ANGLE, med en alvorlighedsscore på 9,6 ud af 10. En tilrettelagt webside kunne bruge den til at bryde ud af browserens sandkasse og køre kode på maskinen, og Google betalte forskeren, der rapporterede den, 97.000 dollar.

To tal, 21 og 429, fortæller den samme historie fra hver sin ende. Sårbarhedsforskningen industrialiseres. Uanset om finderen er en AI-agent eller et velfinansieret bug bounty-program, stiger mængden af opdagede fejl langt hurtigere end antallet af mennesker, der er til rådighed for at rette dem.

Den mængde er også der, hvor hypen møder virkeligheden. AI-fejljagt har et problem med falske positiver, for en model kan skråsikkert beskrive en sårbarhed, der ikke findes, eller en, ingen angriber nogensinde kunne udløse. Da Anthropic meddelte, at Claude Mythos havde fundet tusindvis af zero-days på tværs af store styresystemer og browsere, bemærkede kritikere, at overskriftstallet hvilede på et langt mindre sæt manuelt gennemgåede tilfælde, og læste meddelelsen lige så meget som et salgsargument som et forskningsresultat. DepthFirst siger, at dens agent er bygget netop til at undgå dette, med værn, der forhindrer den i at opfinde de betingelser, en fejl kræver, og et krav om, at hvert fund kommer med input, der beviseligt når sårbarheden. Det reproducerbare proof of concept er det, der adskiller en rigtig rapport fra støj.

Alligevel skaber selv verificerede fejl et problem. FFmpeg vedligeholdes i vid udstrækning af frivillige, og en pludselig strøm af maskingenererede rapporter, hvor præcise de end er, flytter flaskehalsen fra at finde fejlene til at sortere og lappe dem. Omkostningen ved at opdage styrtdykker, mens omkostningen ved det menneskelige svar ikke gør. Et værktøj, der kan producere 21 gyldige fejl for 1.000 dollar, kan også producere dem hurtigere, end et lille hold forsvarligt kan tage imod.

Indtil videre er FFmpeg-hullerne rettet i projektets kildekode, med de udestående CVE-numre endnu ikke tildelt, og Chrome 149 rulles automatisk ud til brugerne i løbet af de kommende dage. DepthFirst har antydet, at FFmpeg var en demonstration og ikke et endepunkt, og at andre meget brugte open source-biblioteker er de næste i køen til samme behandling. Næste gang en AI-agent læser en million linjer kode, der kører lydløst på milliarder af enheder, er det eneste reelle spørgsmål, hvor hurtigt menneskene på den anden side kan følge med.

Tags: cybersikkerhed