维度网讯，一家名为depthfirst的安全初创公司利用自主AI代理扫描开源媒体库FFmpeg约150万行C代码，发现了21个此前未知的零日漏洞，每个漏洞都有可复现的概念验证（PoC）输入。该公司表示此次运行成本约为1000美元。其中部分漏洞已潜伏15至20年，服务描述表代码中的一个堆栈溢出问题可追溯到2003年，存在时间已达23年。

这些漏洞主要集中在解析器和解复用器中，涉及TS解复用器、VP9解码器等组件，大多为堆或栈溢出。depthfirst报告列出了9个CVE标识符（CVE-2026-39210至CVE-2026-39218），并指出其余漏洞已修复但尚未获得编号。该公司还发布了一个PoC。

同一周，谷歌发布了Chrome 149版本，修复了429个安全漏洞，创下单个版本修复数量记录。其中超过100个属于严重或高危级别，问题主要是释放后使用和输入验证不足。最严重的漏洞为CVE-2026-10881（CVSS 9.6），是ANGLE图形引擎中的越界读写漏洞，谷歌为此支付了97,000美元。此次修复的漏洞中，大部分由谷歌内部发现：大约90个高危漏洞中只有10个来自外部研究人员，22个严重等级漏洞中有19个来自其内部团队。不过谷歌并未将429个漏洞与AI直接关联。

谷歌此前在4月份改革了漏洞奖励计划，以应对大量AI生成的报告，现在要求提交者提供简洁的复现步骤。谷歌的Big Sleep代理去年报告了一系列FFmpeg漏洞，现可在项目安全页面上看到标记为BIGSLEEP；Anthropic的Mythos模型从FFmpeg中挖出了一个存在16年之久的H.264漏洞及其他漏洞，成本约为10,000美元，其中三个漏洞已在FFmpeg 8.1中修复。此外，另一个自主工具在Redis中发现了一个经身份验证的远程代码执行漏洞，该漏洞自7.2.0版本以来已存在超过两年。研究还显示，2月份一项研究让一个代理重现了100个真实Linux内核N-day漏洞中超过一半的有效PoC，击败了模糊测试。

对于FFmpeg用户，应尽快拉取修复后的上游构建版或发行版的安全更新，优先处理任何处理不受信任RTSP或AV1-over-RTP的组件。FFmpeg广泛捆绑在媒体管道、Python轮子、容器镜像和设备中，嵌入式副本同样需要打补丁。对于Chrome用户，需在Linux上升级至149.0.7827.53版本，或在Windows和macOS上升级至149.0.7827.53/54版本，或确认自动更新已运行。

发现漏洞已变得廉价，而分类报告、发布修复并推动用户安装这些修复的环节仍主要由志愿者和少量人工分类人员承担，这部分工作需要跟上AI驱动的发现速度。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com