何が起きたか
セキュリティスタートアップのDepthfirstは6月6日に、自律型AI セキュリティエージェントがFFmpegの150万行のCコードをスキャンし、21個の確認済みゼロデイ脆弱性を発見したという研究を発表した。各脆弱性には再現可能なProof of Conceptが存在し、計算コストは約$1,000である。複数のバグは15〜23年間潜伏していた。9個はCVE(CVE-2026-39210からCVE-2026-39218)が割り当てられており、その他は修正済みだがまだ番号が付与されていない。不正形式のRTSPストリーム経由のRCEプリミティブのProof of Conceptが公開されている。同じ週、GoogleはChrome 149をリリースし、レコード的な429個の脆弱性パッチを提供した。これはAI生成の送信がバウンティプログラムに殺到したことが部分的な要因となっている。
なぜ重要か
Google BigSleepとAnthropicMythosの両方によってすでにスキャンされているプロジェクトで、21個のゼロデイに対して$1,000のコストは、AI支援脆弱性発見が研究ノベルティから利用可能な商用能力へ移行したことを示している。このFFmpeg開示と同時のChrome 429パッチリリースは、バグトリアージおよびパッチデプロイメントパイプラインがすでにAI生成脆弱性レポートのペースについていくのに苦労していることを示唆している — これはより多くの企業が自律型スキャニングエージェントをデプロイするにつれて強まるパターンである。
適用範囲
セキュリティおよびインフラストラクチャチームは以下を実施すべきである:(1) 公開されているPoC RCEプリミティブを考慮してFFmpegを優先パッチ対象として扱う; (2) リリース前コードレビューにおける社内利用のために自律型スキャニングエージェントを評価する; (3) 既存のパッチSLAおよびトリアージ容量がAI生成ボリュームを吸収できるかどうかを評価し、そうでない場合はAI支援トリアージツールの構築を開始する。