Tác nhân AI tự trị của một công ty khởi nghiệp về bảo mật tìm thấy 21 lỗ hổng chưa được biết trước đây trong FFmpegthư viện phương tiện nguồn mở được nhúng trong hầu hết mọi thứ liên quan đến video. Sự khởi động, chiều sâu đầu tiêncho biết chi phí chạy máy tính là khoảng 1.000 USD. Một số lỗi đã ẩn trong cơ sở mã hơn 20 năm.
Vài ngày sau, Google tung ra Chrome 149 kèm theo các bản vá cho 429 lỗi bảo mật, nhiều nhất từ trước đến nay trong một bản phát hành trình duyệt. Trên 100 là mức độ nghiêm trọng hoặc nghiêm trọng cao. Hai sự kiện diễn ra độc lập nhưng đều hướng về cùng một hướng: AI đang tìm ra các lỗ hổng nhanh hơn khả năng con người có thể khắc phục chúng.
Đại lý của Depthfirst đã quét khoảng 1,5 triệu dòng C của FFmpeg và tạo ra bằng chứng khái niệm có thể tái tạo cho mỗi trong số 21 ngày không. Hầu hết là lỗi tràn đống hoặc tràn ngăn xếp trong bộ phân tích cú pháp và bộ giải mã, bao gồm các thành phần từ bộ giải mã TS đến bộ giải mã VP9. Tràn một ngăn xếp trong mã bảng mô tả dịch vụ có từ năm 2003.
Chín chiếc đã mang mã định danh CVE (CVE-2026-39210 đến CVE-2026-39218). Phần còn lại đã được cố định từ thượng nguồn nhưng chưa được đánh số. Độ sâu đầu tiên có mã bằng chứng khái niệm được xuất bản.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
FFmpeg không phải là công cụ mới trong việc săn lỗi do AI điều khiển. Đại lý Big Sleep của Google đã báo cáo về một loạt lỗi FFmpeg vào năm ngoái. Mô hình Mythos của Anthropic đã loại bỏ lỗ hổng H.264 16 tuổi và các lỗi khác ra khỏi FFmpeg với giá khoảng 10.000 USD. Depthfirst tuyên bố đã thực hiện được công việc tương tự với chi phí chỉ bằng 1/10.
Kỷ lục của Chrome 149 lại là một câu chuyện khác. Google chưa quy 429 lỗ hổng cho AI. Tuy nhiên, công ty đã đại tu lại chương trình tiền thưởng lỗi của mình vào tháng 4 sau một loạt các bài gửi do AI tạo ra, hiện đang yêu cầu các nhà nghiên cứu cung cấp các bản sao ngắn gọn thay vì các bài viết dài mà AI có xu hướng tạo ra.
Lỗi tồi tệ nhất, CVE-2026-10881, đạt điểm 9,6 trên thang CVSS. Đây là tính năng đọc và ghi vượt quá giới hạn trong công cụ đồ họa ANGLE cho phép một trang được tạo thủ công thoát khỏi hộp cát của Chrome và chạy mã trên máy chủ. Google đã trả 97.000 USD cho báo cáo này. Trong số 22 lỗi nghiêm trọng, 19 lỗi đã được tìm thấy trong nội bộ.
Mô hình cứ lặp đi lặp lại. Một công cụ tự động gần đây đã tìm thấy một lỗ hổng thực thi mã từ xa đã được xác thực trong Redis mà không được chú ý trong hơn hai năm. Một nghiên cứu vào tháng 2 cho thấy một tác nhân AI có thể tái tạo các hoạt động khai thác cho hơn một nửa trong số 100 lỗi nhân Linux thực sự, đánh bại kỹ thuật làm mờ truyền thống.
Vấn đề khó khăn là sự thay đổi. Việc tìm kiếm những lỗi này đã trở nên rẻ. Việc xử lý các báo cáo, gửi các bản sửa lỗi và cài đặt chúng vẫn chưa được thực hiện. Phần lớn công việc đó vẫn thuộc về các tình nguyện viên và một lớp mỏng người phân loại hiện được kỳ vọng sẽ theo kịp máy móc. Mozilla đã vá 271 lỗ hổng Firefox được Mythos tìm thấy chỉ trong một lần. Câu hỏi không còn là liệu AI có thể tìm ra lỗi hay không. Vấn đề là liệu có ai có thể sửa chúng đủ nhanh hay không.
Nguồn The Next Web