AIAgent发现FFmpeg21个0Day漏洞;Chrome创纪录修复429处缺陷

admin 2026-07-14 05:34:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: AIAgent发现FFmpeg21个0Day漏洞,部分潜伏23年;Chrome149修复创纪录的429个安全缺陷,含高危ANGLE漏洞。自动化工具降低漏洞发现成本,但修复工作仍依赖人工。建议用户立即更新FFmpeg和Chrome至最新版本。 综合评分: 86 文章分类: 漏洞分析,AI安全,安全工具,漏洞预警,解决方案


cover_image

AI Agent发现FFmpeg 21个0Day漏洞;Chrome创纪录修复429处缺陷

FreeBuf

2026年6月6日 18:00 上海

在小说阅读器读本章

去阅读

本周接连发生两起重大安全事件。一家安全初创公司报告了 FFmpeg 媒体库中 21 个此前未知的漏洞,这些几乎存在于所有视频处理软件中的组件,其漏洞均由自主 AI Agent 发现。同一周,谷歌发布了 Chrome 149 版本,修复了创纪录的 429 个安全缺陷。

Part01

AI 驱动的漏洞挖掘

FFmpeg 漏洞由深度优先(depthfirst)公司的自主安全 Agent 发现,该工具扫描了该项目约 150 万行 C 代码,最终确认了 21 个 0Day 漏洞,每个漏洞都附有可复现的 PoC。该公司表示此次扫描成本约为 q,000 美元。部分漏洞已潜伏 15 至 20 年,其中服务描述表代码中的栈溢出漏洞可追溯至 2003 年,存在时间长达 23 年。

这些漏洞主要存在于解析器和解复用器中,涉及从 TS 解复用器到 VP9 解码器等多个组件。其中部分漏洞已获得 CVE 编号(CVE-2026-39210 至 CVE-2026-39218),其余漏洞虽已修复但尚未分配编号。该公司同时公开了相关 PoC。

Part02

Chrome 创纪录更新

Chrome 149 版本修复的 429 个漏洞中,超过 100 个属于高危或严重级别,主要为释放后使用和输入验证不足类漏洞。其中最严重的 ANGLE 图形引擎越界读写漏洞(CVE-2026-10881,CVSS 9.6)可使恶意页面突破沙箱在主机执行代码,谷歌为此支付了 97,000 美元赏金。

值得注意的是,约 90 个高危漏洞中仅 10 个来自外部研究人员,22 个严重漏洞中有 19 个由谷歌内部发现。虽然 AI 并非直接发现者,但其产生的海量报告促使谷歌在四月调整了漏洞赏金计划,要求提交简洁的复现步骤而非冗长报告。

Part03

自动化工具崛起

此前谷歌 Big Sleep Agent 曾发现一系列 FFmpeg 漏洞(标记为 BIGSLEEP),Anthropic 的 Mythos 模型也以约 q0,000 美元成本发现存在 16 年的 H.264 漏洞,其中三个已在 FFmpeg 8.1 中修复。近日另有自动化工具发现 Redis 自 7.2.0 版本起存在的认证远程代码执行漏洞,该漏洞潜伏超过两年未被察觉。

研究人员还演示了设置每天晚8点静默读取用户近期消息的循环任务。由于Gemini的长期记忆与用户的整个Google Workspace账户绑定,通过手机通知毒化助手会立即危及用户与平板、电脑或智能音箱上的Gemini交互。

Part04

紧急应对建议

对于 FFmpeg 用户:

  • 立即获取上游修复版本或发行版安全更新
  • 优先处理涉及不可信 RTSP 或 AV1-over-RTP 的组件
  • 注意检查媒体处理管道、Python 包、容器镜像和设备固件中的嵌入式副本

对于 Chrome 用户:

  • Linux 平台更新至 149.0.7827.53
  • Windows/macOS 平台更新至 149.0.7827.53/54
  • 确认自动更新已生效

安全响应正面临新挑战:补丁周期缩短、自动更新普及、包含 CVE 修复的依赖项升级需视为安全任务。虽然漏洞发现成本降低,但报告分类、修复发布和部署安装的成本仍未减少,这些工作仍主要依赖志愿者和有限的人工分类员——他们现在需要与机器保持同步。

参考来源: AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 Bugs

https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html

推荐阅读

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《AI Agent发现FFmpeg 21个0Day漏洞;Chrome创纪录修复429处缺陷》

评论:0   参与:  0