Autonomni AI agent otkrila 21 novu ranjivost u FFmpeg-u dok Chrome postavlja rekord sa 429 ispravki
AI agent otkrila 21 novu ranjivost u FFmpeg-u dok Chrome istovremeno postavlja rekord sa 429 sigurnosnih ispravki u jednoj verziji.
Šta se desilo?
Kompanija depthfirst je koristila autonomnog AI agenta da skenira oko 1,5 miliona linija koda FFmpeg-a i otkrila 21 dotad nepoznate kritične ranjivosti. Iste nedelje, Google je objavila Chrome 149 sa 429 ispravki bezbednosti - najvećim brojem zakrpi ikad izdatih u jednoj verziji pregledača. Oba događaja pokazuju kako AI ubrzava pronalaženje sigurnosnih propusta.
Koga pogađa?
FFmpeg ranjivosti direktno utiču na sve aplikacije i servise koji koriste ovu biblioteku za obradu videa - što obuhvata veb pregledače, medijske playere, streaming platforme, Python pakete i sisteme u oblaku. Chrome ranjivosti pogađaju sve korisnike ovog pregledača. Dodatno, pronađene ranjivosti mogu biti aktivno iskorišćavane jer su bile latentne godinama - neke čak 15 do 20 godina.
Kako se zaštititi?
- Odmah ažurirajte FFmpeg na najnoviju verziju kada bude dostupna preko oficijalnog izvora
- Proverite sve ugrađene kopije FFmpeg-a u sistemima - u Python paketima, Docker slikama i specijalizovanim uređajima
- Prioritizirajte ranjivosti koje se odnose na obrade nepouzdanih RTSP ili AV1-over-RTP tokova
- Ažurirajte Chrome na verziju 149.0.7827.53 ili noviju (Windows i macOS: 149.0.7827.54)
- Omogućite automatske ažuriranja Chrome-a kako bi sigurnosne ispravke bile primenljive bez čekanja
- Pratite bezbednosne saopštenja za sve softverske zavisnosti u vašim sistemima
Tehnički detalji
FFmpeg ranjivosti uključuju buffer overflow greške u parseru TS demuxer-a, VP9 dekodera i service-description-table kodu. Nekoliko ranjivosti je već dodeljeno CVE identifikatorima (CVE-2026-39210 do CVE-2026-39218), dok ostatak čeka numerisanje. Depthfirst izveštaj procenjuje da je pronalaženje ovih grešaka motorom AI koštalo oko 1.000 dolara. Za Chrome, kritična ranjivost CVE-2026-10881 (CVSS 9.6) predstavlja out-of-bounds čitanje i pisanje u ANGLE grafičkom motoru koja dozvoljava izlazak iz sandbox-a. Google je za ovu grešku isplatio 97.000 dolara. Od 429 ispravki Chrome-a, preko 100 je kritične ili visoke ozbiljnosti, uglavnom use-after-free i nedovoljna validacija unosa.
Preporuka Sajber Radara
Brži tempo pronalaženja sigurnosnih propusta putem AI zahteva korespondentno brži odgovor u razvoju i distribuciji ispravki. Organizacije moraju da prioritizuju otklanjanje zavisnosti koje sadrže CVE-ove kao sigurnosni posao, a ne rutinsko održavanje, jer je ažuriranje sada ključna komponenta odbrane.