文章总结： 安全公司depthfirst利用AI代理以约1000美元成本发现FFmpeg中21个零日漏洞，多个漏洞潜伏超15年；同期Chrome149版本创纪录修复429个漏洞。文章指出AI正大幅降低漏洞发现成本但加剧了修复压力，建议用户立即更新FFmpeg和Chrome，并强调安全生态需适应更短的补丁周期。 综合评分： 87 文章分类： 漏洞分析,AI安全,漏洞预警,安全工具,安全运营

AI挖洞时代已至：千元成本速破FFmpeg 21个零日漏洞，Chrome单次更新429个补丁创纪录

原创

骨哥说事 骨哥说事

骨哥说事

2026年6月7日 10:39 上海

在小说阅读器读本章

去阅读

| | | — | | 声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 |

#

#

防走失：https://gugesay.com/

不想错过任何消息？设置星标↓ ↓ ↓

#

【PoC 见文末】

本周，网络安全界接连传来两件重磅新闻。一家安全初创公司披露了在FFmpeg中发现的21个之前未知的漏洞。FFmpeg是一个几乎应用于所有视频处理软件的媒体库，而所有这些漏洞都是由一个能独立工作的AI智能体发现的。

就在同周，Google发布了Chrome 149版本，一次性修补了多达429个安全漏洞，创下了单次更新的历史纪录。

需要注意的是，只有FFmpeg的漏洞是AI的“功劳”。Chrome之所以能“刷新纪录”，是因为Google为了应对海量涌入的AI生成报告，彻底改革了其漏洞悬赏计划。虽然背后的机制不同，但面临的压力是相似的：AI正以前所未有的速度，向安全团队倾泄着更多的漏洞，让他们应接不暇。

FFmpeg的发现来自安全公司depthfirst，他们自主研发的AI安全代理扫描了FFmpeg项目中约150万行C语言代码，并成功揪出了21个已被确认的零日漏洞，每一个都附有可复现的概念验证（PoC）输入。

这次AI扫描的成本仅约1000美元，其中多个漏洞已“潜伏”了15到20年之久。尤为惊人的是，服务描述表代码中的一处栈溢出漏洞甚至可以追溯到2003年，被忽略了足足23年。

这些漏洞大多出在解析器和解复用器(Demuxer)中，属于堆或栈溢出问题，影响范围从TS(传输流)解复用器到VP9解码器等多个组件。

depthfirst表示，部分漏洞已获得了CVE编号，其报告中列出了9个，从CVE-2026-39210到CVE-2026-39218，并指出其余漏洞虽已修复但尚未编号。他们还公开了一份概念验证代码。

另一则消息是Chrome 149修复的429个漏洞，这一数字打破了单次更新的纪录。其中有超过100个是严重或高危漏洞，主要问题类型是释放后使用和输入验证不充分。

其中最严重的是CVE-2026-10881（CVSS评分9.6），这是ANGLE图形引擎中的一个越界读写漏洞。攻击者可利用此漏洞，通过精心构造的网页逃离沙箱限制，在主机系统上执行恶意代码。为此，Google支付了高达9.7万美元的漏洞赏金。

值得注意的是，最高危的漏洞大多是由内部发现的。在约90个高危漏洞中，仅有10个来自外部研究人员；而22个严重漏洞里，有19个是Google自己的安全团队发现的。因此，AI在此的主要影响并非“创造”漏洞，而是极大地“增加”了漏洞报告的数量。

尽管没有直接证明，但Google大规模修复漏洞的背景是其为了应对AI生成的冗长报告洪流，于四月彻底改革了赏金计划。新规要求提交者提供简洁的可复现案例，而非AI惯于生成的长篇大论。

AI挖掘漏洞的趋势已非常明显。去年，Google的Big Sleep智能体就报告了一系列FFmpeg漏洞，现在可以在FFmpeg的安全页面上看到标记为“BIGSLEEP”的修复。而Anthropic公司的Mythos模型也以约1万美元的成本，从FFmpeg中挖出了一个存在16年的H.264漏洞。根据其自己的报告，其中三个漏洞已在FFmpeg 8.1版本中得到修复。

就在几天前，另一个自主AI工具在Redis中发现了一个存在两年多的认证远程代码执行漏洞。这些研究都指向了同一个方向：一项今年二月的研究中，一个AI智能体成功为超过一半的100个真实的Linux内核已知漏洞生成了有效的概念验证代码，其表现甚至超越了传统的模糊测试。

用户应对建议：

• 针对FFmpeg： 一旦上游发布修复版本或在用的Linux发行版推出安全更新，请立即升级。需要特别警惕任何会处理来自不可信来源的RTSP流或AV1-over-RTP流的组件。FFmpeg被广泛集成于媒体处理管道、Python软件包、容器镜像和各种硬件设备中，因此排查时不能仅限于操作系统级别的软件包，这些内嵌的副本同样需要及时打上补丁。
• 针对Chrome： 请立即更新至Linux版的149.0.7827.53，或Windows/macOS版的149.0.7827.53/54，或确认浏览器已自动完成更新。

整个安全生态的响应速度必须跟上这种新的节奏：这意味着更短的补丁周期、充分利用一切自动更新机制，并且要将那些包含CVE修复的依赖库升级，视作必须优先执行的安全任务，而非可有可无的“日常维护”。

然而，真正的挑战正在发生转移。发现漏洞的成本正急剧降低，但处理海量报告、发布有效补丁并确保其被广泛安装的成本却并未下降。 目前，这部分艰巨的工作很大程度上仍依赖于志愿者和为数不多的人工漏洞分类员，而现在，他们被期望能与机器的速度保持同步。

PoC：https://github.com/DepthFirstDisclosures/ffmpeg-dfvuln127

• END –

感谢阅读，如果觉得还不错的话，动动手指给个三连吧～

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：骨哥说事 骨哥说事 骨哥说事《AI挖洞时代已至：千元成本速破FFmpeg 21个零日漏洞，Chrome单次更新429个补丁创纪录》