一句话看懂:安全研究公司 depthfirst 的自动化安全代理在 FFmpeg 中发现了 21 个零日漏洞,其中 8 个已获得 CVE 编号。这些漏洞跨越了 15 到 20 年未被发现,并且该公司已经为其中一项漏洞开发了远程代码执行(RCE)利用概念验证。
事件核心:发生了什么
安全公司 depthfirst 宣布,其自主开发的自动化安全代理在广泛使用的多媒体处理库 FFmpeg 中发现了 21 个零日漏洞。该代理系统在约 150 万行高度优化的 C 语言代码中进行了深度扫描,并生成了可复现的概念验证(PoC)输入来确认漏洞。整个发现过程耗费约 1,000 美元,仅为 Anthropic 使用 Mythos 模型进行类似扫描成本的十分之一。在这 21 个漏洞中,已有 8 个被分配了 CVE 编号,涵盖了从 TS 解复用器到 VP9 解码器等组件,包括堆缓冲区溢出、整数溢出和栈溢出等类型。其中一些漏洞(如栈缓冲区溢出)自 2003 年项目引入 SDT 实现以来就一直存在。
为什么重要
FFmpeg 是全球部署最广泛的软件之一,从浏览器到大型流媒体平台都依赖它处理复杂的非可信媒体数据,使其成为零点击攻击的主要目标。此前,Google 的 Big Sleep 团队披露了 13 个漏洞,Anthropic 也用 Mythos 模型发现了一些问题。depthfirst 的成果表明,即便没有顶级专用模型,通过构建专门的安全代理系统,也能在高度加固的代码库中发现大量关键漏洞。这不仅证明了自动化安全代理在深度代码审计上的可行性,还以极低的成本展示了其高效性——总成本仅 1,000 美元,远低于 Anthropic 的约 10,000 美元。这对软件供应链安全,尤其是对开源基础设施的维护者,提出了一个紧迫的警示:传统的模糊测试和人工审计可能无法覆盖所有长期潜藏的缺陷。
对用户/开发者/创作者的影响
对于普通用户和内容创作者,由于 FFmpeg 是众多播放器、转码工具和在线视频平台的核心组件,这些漏洞可能被用于构造恶意媒体文件,实现零点击攻击(即无需用户交互即可触发)。开发者需要密切关注 FFmpeg 的后续安全更新,尤其是在自己的应用中集成了 FFmpeg 库的项目,应立即评估是否需要修补。对于使用 FFmpeg 处理用户上传媒体内容的平台,这些漏洞意味着潜在的安全风险——攻击者可通过构造特定格式的媒体文件可能实现远程代码执行。建议相关开发者和运维人员关注已分配的 CVE 编号,并尽快将 FFmpeg 更新至修复版本。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
第一,FFmpeg 官方是否会在短期内发布补丁来修复这 21 个漏洞,以及修复进度如何。第二,depthfirst 的自动化安全代理是否会开源其方法或工具,以及是否会被其他安全研究团队复现或改进。第三,此次发现是否将推动更多开源项目(尤其是处理复杂输入格式的库)采用类似的人工智能驱动的安全审计流程,以替代或补充传统的模糊测试与人工代码审查。
