Depthfirst 자율 AI 에이전트가 FFmpeg에서 약 $1,000으로 21개의 제로데이 발견 — 발견-해결 간격 확대

보안 스타트업 depthfirst는 6월 6일에 발표한 연구에서 자율 AI 보안 에이전트가 FFmpeg의 150만 줄 C 코드를 스캔하여 약 $1,000의 계산 비용으로 21개의 확인된 제로데이 취약점을 발견했으며, 각각 재현 가능한 개념 증명을 갖추고 있다고 보고했습니다. 여러 버그는 15~23년 동안 잠복되어 있었습니다. 9개는 CVE (CVE-2026-39210부터 CVE-2026-39218까지)가 할당되었으며, 나머지는 수정되었지만 아직 번호가 매겨지지 않았습니다. 잘못된 형식의 RTSP 스트림을 통한 RCE 원시 프로토타입의 개념 증명이 공개적으로 공개되었습니다. 같은 주에 Google은 기록적인 429개의 취약점 패치가 포함된 Chrome 149를 출시했으며, 그 양은 부분적으로 버그 바운티 프로그램에 쏟아지는 AI 생성 제출로 인한 것입니다.

Google BigSleep과 Anthropic Mythos가 모두 스캔한 프로젝트에서 21개의 제로데이에 $1,000의 비용이 드는 것은 AI 지원 취약점 발견이 연구 참신함에서 접근 가능한 상용 능력으로 이동했음을 보여줍니다. Chrome 429 패치 릴리스와 이 FFmpeg 공개는 버그 분류 및 패치 배포 파이프라인이 이미 AI 생성 취약점 보고서의 속도를 따라잡기 위해 고심하고 있음을 나타냅니다 — 더 많은 회사가 자율 스캔 에이전트를 배포함에 따라 이 패턴은 심화될 것입니다.

보안 및 인프라 팀은 다음을 수행해야 합니다: (1) 공개 PoC RCE 원시 프로토타입이 주어진 FFmpeg를 우선 패치 대상으로 취급; (2)출시 전 코드 검토에서 내부 사용을 위한 자율 스캔 에이전트 평가; (3) 기존 패치 SLA 및 분류 용량이 AI 생성 량을 흡수할 수 있는지 평가하고, 그렇지 않으면 AI 지원 분류 도구 구축 시작.