De acordo com pt.wedoany.com-Uma startup de segurança chamada depthfirst utilizou um agente de IA autônomo para escanear aproximadamente 1,5 milhão de linhas de código C da biblioteca de mídia de código aberto FFmpeg, descobrindo 21 vulnerabilidades zero-day anteriormente desconhecidas, cada uma com uma prova de conceito (PoC) reproduzível. A empresa afirma que o custo da execução foi de cerca de 1.000 dólares. Algumas dessas vulnerabilidades estavam latentes há 15 a 20 anos; um problema de estouro de pilha no código da tabela de descrição de serviço remonta a 2003, existindo há 23 anos.

Essas vulnerabilidades concentram-se principalmente em analisadores e demultiplexadores, envolvendo componentes como o demultiplexador TS e o decodificador VP9, sendo a maioria estouros de heap ou pilha. O relatório da depthfirst lista 9 identificadores CVE (CVE-2026-39210 a CVE-2026-39218) e indica que as demais vulnerabilidades foram corrigidas, mas ainda não receberam numeração. A empresa também publicou uma PoC.

Na mesma semana, o Google lançou a versão 149 do Chrome, corrigindo 429 vulnerabilidades de segurança, um recorde para um único lançamento. Mais de 100 delas são de gravidade crítica ou alta, sendo os principais problemas o uso após liberação e validação de entrada insuficiente. A vulnerabilidade mais grave é a CVE-2026-10881 (CVSS 9,6), uma falha de leitura e gravação fora dos limites no mecanismo gráfico ANGLE, pela qual o Google pagou 97.000 dólares. A maioria das vulnerabilidades corrigidas foi descoberta internamente pelo Google: apenas 10 das cerca de 90 vulnerabilidades de alta gravidade vieram de pesquisadores externos, e 19 das 22 vulnerabilidades de gravidade crítica foram identificadas por suas equipes internas. No entanto, o Google não associou diretamente as 429 vulnerabilidades à IA.

Anteriormente, em abril, o Google reformulou seu programa de recompensas por bugs para lidar com o grande volume de relatórios gerados por IA, agora exigindo que os remetentes forneçam etapas de reprodução concisas. O agente Big Sleep do Google relatou uma série de vulnerabilidades no FFmpeg no ano passado, agora marcadas como BIGSLEEP na página de segurança do projeto; o modelo Mythos da Anthropic descobriu uma vulnerabilidade H.264 de 16 anos e outras no FFmpeg, com um custo de cerca de 10.000 dólares, sendo que três delas foram corrigidas no FFmpeg 8.1. Além disso, outra ferramenta autônoma encontrou uma vulnerabilidade de execução remota de código autenticada no Redis, que existia desde a versão 7.2.0 por mais de dois anos. Pesquisas também mostram que, em fevereiro, um estudo fez com que um agente reproduzisse mais da metade das PoCs válidas de 100 vulnerabilidades N-day reais do kernel Linux, superando o fuzzing.

Para usuários do FFmpeg, é recomendável obter o mais rápido possível as versões corrigidas upstream ou as atualizações de segurança das distribuições, priorizando qualquer componente que processe RTSP ou AV1-over-RTP não confiáveis. O FFmpeg é amplamente integrado em pipelines de mídia, wheels Python, imagens de contêiner e dispositivos; cópias incorporadas também precisam ser corrigidas. Para usuários do Chrome, é necessário atualizar para a versão 149.0.7827.53 no Linux, ou para a versão 149.0.7827.53/54 no Windows e macOS, ou confirmar que a atualização automática foi executada.

Descobrir vulnerabilidades tornou-se barato, mas a triagem de relatórios, a publicação de correções e a promoção da instalação dessas correções pelos usuários ainda dependem principalmente de voluntários e de uma pequena equipe de triagem manual, e essa parte do trabalho precisa acompanhar a velocidade das descobertas impulsionadas pela IA.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com