何が起きたか
セキュリティスタートアップ depthfirst は 6 月 6 日に発表した研究で、その自律型 AI セキュリティエージェントが FFmpeg の 150 万行の C コードをスキャンし、確認済みのゼロデイ脆弱性 21 個を発見したと報告しました。それぞれ再現可能なプルーフオブコンセプトを備えており、計算コストは約 $1,000 です。複数のバグは 15~23 年間潜在していました。9 個は CVE が割り当てられており (CVE-2026-39210~CVE-2026-39218)、残りは修正されていますがまだ番号が付いていません。不正な形式の RTSP ストリーム経由の RCE プリミティブのプルーフオブコンセプトが公開されています。同じ週に、Google は Chrome 149 をリリースし、記録的な 429 個の脆弱性パッチを含めました。この量は AI によって生成された送信がバグ報奨金プログラムに殺到したことが一因とされています。
なぜ重要か
Google BigSleep と Anthropic Mythos の両方によってすでにスキャンされたプロジェクト内の 21 個のゼロデイに対する $1,000 のコストは、AI 支援脆弱性発見が研究の新奇性から アクセス可能な商用機能へと移行したことを示しています。このFFmpeg 開示と並行した Chrome 429 パッチリリースは、バグの分類とパッチ展開パイプラインが既に AI によって生成された脆弱性レポートのペースに追いつくのに苦労していることを示しています — より多くの企業が自律型スキャニングエージェントを展開するにつれて、このパターンは激化するでしょう。
適用範囲
セキュリティおよびインフラストラクチャチームは以下の対応をすべきです: (1) 公開された PoC RCE プリミティブを考慮して FFmpeg を優先パッチ対象として扱う; (2) リリース前コードレビューの内部使用のために自律型スキャニングエージェントを評価する; (3) 既存のパッチ SLA と分類容量が AI により生成されるボリュームを吸収できるかどうかを評価し、そうでない場合は AI 支援分類ツールの構築を開始する。