무슨 일이 있었나
보안 스타트업 depthfirst는 6월 6일 자신의 자율 AI 보안 에이전트가 FFmpeg의 150만 줄의 C 코드를 스캔하여 약 $1,000의 컴퓨팅 비용으로 21개의 확인된 제로데이 취약점을 발견했으며, 각각 재현 가능한 개념 증명을 갖추고 있다고 발표했다. 여러 버그는 15–23년간 잠복 상태였다. 9개는 CVE가 지정되었고(CVE-2026-39210부터 CVE-2026-39218까지), 나머지는 수정되었지만 아직 번호가 지정되지 않았다. 형식이 잘못된 RTSP 스트림을 통한 개념 증명 RCE 프리미티브가 공개적으로 공개되었다. 같은 주에 Google은 Chrome 149를 기록적인 429개의 취약점 패치와 함께 출시했으며, 이 수량은 부분적으로 AI 생성 제출이 버그 바운티 프로그램을 범람시킨 것에 기인한다.
왜 중요한가
Google BigSleep와 Anthropic Mythos 모두에 의해 이미 스캔된 프로젝트에서 21개의 제로데이에 대한 $1,000의 비용은 AI 지원 취약점 발견이 연구 참신함에서 접근 가능한 상용 능력으로 이동했음을 입증한다. FFmpeg 공개와 함께 Chrome 429 패치 릴리스는 버그 심사 및 패치 배포 파이프라인이 이미 AI 생성 취약점 보고서를 따라잡는 데 어려움을 겪고 있음을 나타낸다 — 더 많은 기업이 자율 스캔 에이전트를 배포함에 따라 이 패턴은 심화될 것이다.
적용 범위
보안 및 인프라 팀은 다음을 수행해야 한다: (1) 공개 PoC RCE 프리미티브를 고려하여 FFmpeg를 우선순위 패치 대상으로 취급; (2) 출시 전 코드 검토에서 내부 사용을 위해 자율 스캔 에이전트 평가; (3) 기존 패치 SLA 및 심사 능력이 AI 생성 볼륨을 흡수할 수 있는지 평가하고, 그렇지 않은 경우 AI 지원 심사 도구 구축 시작.