Apa yang terjadi
Startup keamanan depthfirst menerbitkan penelitian pada 6 Juni melaporkan bahwa agen keamanan AI otonom mereka memindai 1,5 juta baris kode C FFmpeg dan menghasilkan 21 kerentanan zero-day yang terkonfirmasi — masing-masing dengan bukti konsep yang dapat direproduksi — dengan biaya komputasi sekitar $1.000. Beberapa bug telah laten selama 15–23 tahun. Sembilan telah diberikan CVE (CVE-2026-39210 hingga CVE-2026-39218); sisanya sudah diperbaiki tetapi belum diberi nomor. Bukti konsep primitif RCE melalui aliran RTSP yang salah bentuk diungkapkan secara publik. Minggu yang sama, Google mengirimkan Chrome 149 dengan rekor 429 patch kerentanan, dengan volume sebagian dikaitkan dengan pengajuan yang dihasilkan AI membanjiri program bounty.
Mengapa penting
Biaya $1.000 untuk 21 zero-days dalam proyek yang sudah dipindai oleh Google BigSleep dan Anthropic Mythos menunjukkan bahwa penemuan kerentanan berbasis AI telah bergerak dari novel penelitian ke kemampuan komersial yang dapat diakses. Rilis Chrome 429-patch bersama pengungkapan FFmpeg ini menunjukkan bahwa pipeline triage bug dan penerapan patch sudah berjuang untuk mengikuti laporan kerentanan yang dihasilkan AI — pola yang akan intensif karena lebih banyak perusahaan menerapkan agen pemindaian otonom.
Cakupan penerapan
Tim keamanan dan infrastruktur harus: (1) memperlakukan FFmpeg sebagai target patch prioritas mengingat primitif RCE PoC publik; (2) mengevaluasi agen pemindaian otonom untuk penggunaan internal dalam tinjauan kode pra-rilis; (3) menilai apakah SLA patch yang ada dan kapasitas triage dapat menyerap volume yang dihasilkan AI, dan mulai membangun tooling triage berbasis AI jika tidak.