近期安全领域连续曝出两起重量级事件。安全初创公司 DepthFirst 宣布,其自主 AI 安全 Agent 在 FFmpeg 中发现了 21 个此前未知的漏洞;与此同时,谷歌发布 Chrome 149 更新,一次性修复 429 个安全缺陷,刷新历史记录。
FFmpeg 作为全球广泛使用的多媒体处理组件,被大量视频平台、播放器、转码系统及设备固件集成。DepthFirst 表示,其 AI Agent 对约 150 万行 C 代码进行了自动分析,最终确认 21 个可复现的 0Day 漏洞,并生成对应 PoC。整个扫描过程成本约为 1 万美元。
这些漏洞主要集中在解析器与解复用模块,包括 TS 解复用器、VP9 解码器等组件。部分漏洞已被分配 CVE 编号(CVE-2026-39210 至 CVE-2026-39218)。研究人员指出,部分问题已经潜伏超过 20 年,其中一个服务描述表相关的栈溢出漏洞甚至可追溯至 2003 年。
同一时间,谷歌发布 Chrome 149 版本更新,共修复 429 个安全漏洞,其中超过百项被评定为高危或严重级别。问题类型主要涉及释放后使用、越界读写以及输入验证缺陷。
最严重的问题出现在 ANGLE 图形引擎中,对应编号为 CVE-2026-10881,CVSS 评分高达 9.6。攻击者可通过恶意网页突破浏览器沙箱,在主机上执行代码。谷歌为该漏洞支付了 9.7 万美元漏洞赏金。
值得关注的是,大量漏洞并非来自传统人工审计,而是与自动化安全工具和 AI 辅助分析有关。此前,谷歌 Big Sleep Agent 以及 Anthropic Mythos 模型也曾在 FFmpeg 中发现多个长期隐藏的漏洞,部分问题已在新版本中完成修复。
随着 AI 自动化漏洞挖掘能力提升,安全行业正在进入新的阶段。漏洞发现效率明显提高,但漏洞分类、补丁发布以及实际部署修复仍需要大量人工参与。对于企业而言,依赖库更新、镜像升级以及自动更新机制,正在逐渐成为基础安全工作的重要组成部分。
安全人员建议:
FFmpeg 用户应尽快升级至最新修复版本,重点关注涉及 RTSP、AV1-over-RTP 等媒体处理模块,同时检查容器镜像、Python 包及嵌入式固件中的旧版本组件。
Chrome 用户则建议确认浏览器已升级至 149.0.7827.53 或更高版本,并确保自动更新功能正常开启。
网站资讯
渠道合作
解决方案
更多服务
