Apa yang terjadi
Startup keamanan depthfirst menerbitkan penelitian pada 6 Juni melaporkan bahwa agen keamanan AI otonominya memindai 1,5 juta baris kode C FFmpeg dan menghasilkan 21 kerentanan zero-day yang terkonfirmasi — masing-masing dengan proof-of-concept yang dapat direproduksi — dengan biaya komputasi sekitar $1.000. Beberapa bug telah laten selama 15–23 tahun. Sembilan telah ditetapkan CVE (CVE-2026-39210 hingga CVE-2026-39218); sisanya sudah diperbaiki tetapi belum diberi nomor. Primitif RCE proof-of-concept melalui aliran RTSP yang salah bentuk diungkapkan secara publik. Minggu yang sama, Google mengirimkan Chrome 149 dengan rekor 429 patch kerentanan, dengan volume sebagian disebabkan oleh pengajuan yang dihasilkan AI membanjiri program bug bounty.
Mengapa penting
Biaya $1.000 untuk 21 zero-days dalam proyek yang telah dipindai oleh Google BigSleep dan Anthropic Mythos menunjukkan bahwa penemuan kerentanan berbantuan AI telah bergerak dari novel penelitian menjadi kemampuan komersial yang dapat diakses. Rilis Chrome 429-patch bersama pengungkapan FFmpeg ini menandakan bahwa pipeline triase bug dan penyebaran patch sudah berjuang untuk mengikuti laporan kerentanan yang dihasilkan AI — pola yang akan intensif karena lebih banyak perusahaan menyebarkan agen pemindaian otonomi.
Cakupan penerapan
Tim keamanan dan infrastruktur harus: (1) memperlakukan FFmpeg sebagai target patch prioritas mengingat primitif RCE PoC publik; (2) mengevaluasi agen pemindaian otonomi untuk penggunaan internal dalam tinjauan kode pra-rilis; (3) menilai apakah SLA patch yang ada dan kapasitas triase dapat menyerap volume yang dihasilkan AI, dan mulai membangun alat triase berbantuan AI jika tidak.