事件经过
安全初创公司depthfirst在6月6日发布的研究报告,其自主AI安全代理扫描了FFmpeg的150万行C代码,并产生了21个确认的零日漏洞 — 每个都有可复现的概念验证 — 计算成本约$1,000。几个漏洞已存在15-23年。九个已被分配CVE(CVE-2026-39210至CVE-2026-39218);其余的已修复但尚未编号。通过格式错误的RTSP流的概念验证RCE原语被公开披露。同周,Google发布了Chrome 149,包含创纪录的429个漏洞补丁,其中部分归因于AI生成的提交充斥漏洞赏金计划。
影响分析
在已被Google BigSleep和Anthropic Mythos扫描过的项目中,21个零日漏洞的$1,000成本表明AI辅助漏洞发现已从研究新颖性转变为可获取的商业能力。Chrome 429补丁发布与此FFmpeg披露相伴随,表明错误分类和补丁部署管道已经难以跟上AI生成的漏洞报告 — 随着更多公司部署自主扫描代理,这一模式将加剧。
适用范围
安全和基础设施团队应该:(1)考虑到公开PoC RCE原语,将FFmpeg作为优先补丁目标;(2)评估自主扫描代理在预发布代码审查中的内部使用;(3)评估现有补丁SLA和分类能力是否能吸收AI生成的数量,如果不能则开始构建AI辅助分类工具。