Kas būtų, jei pasakyčiau, kad kodo eilutė, parašyta 2003 metais, visą tą laiką turėjo spragą, kurios niekas nematė — ir ją rado ne žmogus, o programa, kainavusi maždaug tūkstantį dolerių? Būtent tai įvyko birželio pirmosiomis dienomis, kai saugumo startuolis „depthfirst" paskelbė radęs 21 anksčiau nežinomą pažeidžiamumą FFmpeg bibliotekoje. Tą pačią savaitę „Google" išleido „Chrome 149" su 429 pataisymais — daugiausiai per visą naršyklės istoriją. Ir nors tik FFmpeg spragas rado dirbtinis intelektas, šie du įvykiai rodo tą patį: dirbtinis intelektas tempą keičia abiejose barikadų pusėse.

FFmpeg yra ta biblioteka, kurią naudoja beveik viskas, kas liečia vaizdo įrašus — nuo naršyklių iki vaizdo redagavimo programų, nuo išmaniųjų telefonų iki serverių, transliuojančių tiesioginius sporto renginius. Jei kada nors žiūrėjote vaizdo įrašą internete, beveik neabejotinai naudojote FFmpeg. „depthfirst" autonominis saugumo agentas peržiūrėjo maždaug 1,5 milijono C kalbos kodo eilučių ir pateikė 21 patvirtintą pažeidžiamumą, kiekvieną su atkuriamu įrodymu. Kai kurios spragos buvo paslėptos 15–20 metų. Viena jų — dėklo perpildymas paslaugų aprašymo lentelės kode — datuojama 2003 metais ir išbuvo nepastebėta 23 metus.

Ką tiksliai rado agentas

Didžioji dalis pažeidžiamumų yra krūvos arba dėklo perpildymai įvairiuose analizatoriuose ir demultiplekseriuose — nuo TS demultiplekserio iki VP9 dekoderio. Devyni iš jų jau gavo CVE identifikatorius: CVE-2026-39210 iki CVE-2026-39218. Kiti yra pataisyti, bet dar nesunumeruoti.

// reklamaČia gali būti jūsų reklamaSusisiekite →

„depthfirst" teigia, kad patikrinimas kainavo apie 1000 dolerių. Tai reiškia, kad už sumą, kurią didelė kompanija išleidžia vienam programuotojui per savaitę, autonominis agentas gali per kelias valandas rasti tai, ko žmonės nematė du dešimtmečius.

Tai ne pirmas kartas. Pernai „Google Big Sleep" agentas taip pat rado FFmpeg spragų, o „Anthropic" modelis „Mythos" ištraukė 16 metų senumo H.264 klaidą ir keletą kitų už maždaug 10 000 dolerių. Trys iš jų pateko į FFmpeg 8.1 versiją. Visai neseniai kitas autonominis įrankis rado autentifikuotą nuotolinio kodo vykdymo spragą „Redis", buvusią nuo 7.2.0 versijos — daugiau nei dvejus metus.

Kareivių kaita abejose pusėse

Saugumo bendruomenėje jau kurį laiką kirba tas pats klausimas: kai dirbtinio intelekto agentai pradės sistemingai ieškoti pažeidžiamumų, ar atsiras kas juos taisyti? „Google" patirtis su „Chrome 149" dalinai atsako — ne, bet kompanija prisitaiko kitaip.

„Chrome 149" pataiso 429 saugumo spragas. Daugiau nei šimtas jų yra kritinės arba aukštos svarbos, daugiausia „use-after-free" ir nepakankamo įvesties tikrinimo klaidos. Pavojingiausia — CVE-2026-10881 su CVSS balu 9,6 iš 10. Tai yra skaitymo ir rašymo už ribų klaida ANGLE grafikos variklyje, leidžianti specialiai sukurtam puslapiui ištrūkti iš smėlio dėžės ir vykdyti kodą kompiuteryje. „Google" už šią spragą sumokėjo 97 000 dolerių.

Visgi didžiąją dalį kritinių spragų rado pati „Google" — iš maždaug 90 aukštos svarbos klaidų tik 10 atėjo iš išorės tyrėjų, o iš 22 kritinių — 19 buvo vidiniai atradimai. Dirbtinio intelekto ryšys čia yra ne tiesioginis autorinis, o kiekybinis. „Google" balandį atnaujino savo premijų programą būtent dėl dirbtinio intelekto sukurtų pranešimų antplūdžio — dabar prašoma glaustų atkuriamų pavyzdžių, o ne ilgų aprašymų, kuriuos generuoja modeliai.

Vasario mėnesio tyrimas taip pat parodė, kad agentas sugebėjo atkurti veikiančius įrodymus daugiau nei pusei iš 100 realių Linux branduolio pažeidžiamumų, aplenkdamas tradicinius fuzzing metodus. Kitaip tariant, gynybinė pusė ne tik gauna daugiau klaidų — ji gauna jas su paruoštais atakų scenarijais.

Ką tai reiškia Lietuvos įmonėms

Lietuvos technologijų sektoriui ši tendencija turi dvi puses. Viena vertus, tokios kompanijos kaip „NordVPN", „Hostinger" ir „Tesonet", valdančios didelius serverių ūkius, privalo užtikrinti, kad jų naudojamos bibliotekos — įskaitant FFmpeg, jei jos apdoroja vartotojų įkeltą vaizdo turinį — būtų atnaujintos per kelias valandas nuo pataisymo paskelbimo.

Kita vertus, dirbtinio intelekto saugumo įrankiai tampa prieinami ir mažesnėms įmonėms. Vilniuje ir Kaune veikiančios kibernetinio saugumo įmonės, tokios kaip „CUJO AI", jau dabar naudoja mašininio mokymosi metodus grėsmių aptikimui. Autonominiai pažeidžiamumų medžiotojai, kainuojantys kavos puodelio biudžetą per nuskaitymą, gali tapti standartiniu įrankiu ir joms.

FFmpeg naudotojams rekomenduojama kuo skubiau atnaujinti biblioteką iš oficialių šaltinių arba distribucijos saugumo atnaujinimų. Ypatingą dėmesį skirti tiems, kurie priima nepatikimus RTSP ar AV1 srautus — būtent šie keliai dažniausiai išnaudojami. „Chrome" naudotojams atnaujinimas turėtų ateiti automatiškai, tačiau verta pasitikrinti, ar naršyklė jau veikia 149 ar naujesnėje versijoje.

Dažnai užduodami klausimai

Ar mano kompiuteryje yra FFmpeg?
Labai tikėtina. FFmpeg naudoja naršyklės, vaizdo grotuvai, redagavimo programos ir daugelis serverių. Jei kompiuteryje veikia bent viena programa, kuri atidaro vaizdo failus, tikėtina, kad ji naudoja FFmpeg tiesiogiai arba per kitą biblioteką.
Ar šios spragos jau išnaudojamos?
Kol kas nėra žinoma apie aktyvų išnaudojimą. Tačiau dabar, kai informacija vieša ir pateikti atkuriami pavyzdžiai, išnaudojimo bandymų padaugės. Atnaujinimas yra skubus.
Ką „Chrome" naudotojai turi daryti?
Atidarykite naršyklės meniu, eikite į „Apie Google Chrome" ir leiskite atnaujinimui įvykti. Versija turi būti 149 arba naujesnė.

Šaltiniai

  1. AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 BugsThehackernews · 2026
  2. depthfirst FFmpeg tyrimo ataskaitaDepthfirst · 2026
  3. Chrome 149 leidimo pastabosChromereleases · 2026
  4. Anthropic Mythos FFmpeg radiniaiAnthropic · 2026