وكيل ذكاء اصطناعي يجد 21 ثغرة يوم-صفر في FFmpeg بتكلفة 1000 دولار — أقدم خطأ مختبئ منذ 2003

FFmpeg هي مكتبة الوسائط التي تعالج الفيديو في كل سياق مهم تقريباً: المتصفحات، منصات البث، محررات الفيديو، برامج المؤتمرات، تطبيقات الهاتف المحمول. كما تم تأكيد هذا الأسبوع أنها تحتوي على 21 ثغرة أمنية غير معروفة سابقاً، جميعها اكتشفها وكيل ذكاء اصطناعي ذاتي تديره شركة ناشئة أمنية تسمى depthfirst. بلغت تكلفة الحوسبة للعثور عليها حوالي 1000 دولار.

نشرت depthfirst نتائجها في 6 يونيو، بما في ذلك مستودع GitHub يحتوي على إدخالات proof-of-concept لجميع الـ 21 ثغرة. تم تعيين تسعة منها معرفات CVE حتى الآن، من CVE-2026-39210 إلى CVE-2026-39218. تم تصحيح الباقي في المنبع لكن لم يتم ترقيمها بعد. جميعها تم إصلاحها في الإصدار الحالي من FFmpeg.

ما هي الثغرات وأين تختبئ

معظم الثغرات الـ 21 هي تجاوزات في الكومة أو المكدس مركزة في محللات ومفككات تعدد FFmpeg — المكونات المسؤولة عن قراءة وتفسير بنية ملفات الوسائط قبل بدء فك التشفير. المكونات المتأثرة تشمل مفكك تعدد TS (الذي يعالج تدفقات النقل MPEG المستخدمة في التلفزيون البثي والبث) ومفكك تشفير VP9 (كودك الفيديو من Google المستخدم على نطاق واسع على الويب). تصف depthfirst بعضها بأنها قابلة للوصول عبر ملفات وسائط مصنوعة خصيصاً، مما يعني أن المهاجم يمكنه تفعيلها عن طريق جعل الهدف يفتح فيديو خبيث.

عمر الثغرات هو ما يجعل الاكتشاف ملحوظاً. عدة ثغرات كانت كامنة لمدة 15 إلى 20 عاماً. أقدمها، وهو تجاوز في المكدس في محلل جدول وصف الخدمة، يعود إلى عام 2003 وظل غير ممسوس في قاعدة الكود لمدة 23 عاماً. هذه ليست مسارات حالات هامشية غامضة — إنها في مكونات تتعامل مع تنسيقات قيد الاستخدام النشط في جميع أنحاء الصناعة.

اقتصاديات بحث الثغرات المدعوم بالذكاء الاصطناعي

رقم 1000 دولار مهم لأنه يمثل تكلفة الحوسبة لجولة بحثية ذاتية واحدة، وليس التكلفة الإجمالية لفريق أمني يقوم بمراجعة يدوية للكود لعدة أشهر. للمقارنة، يكلف باحث أمني ماهر مئات الآلاف من الدولارات سنوياً كراتب، وعمليات التدقيق اليدوي لقاعدة كود بحجم FFmpeg تصل عادةً إلى ستة أرقام. depthfirst ليست وحدها في هذا المجال: وكيل Big Sleep من Google أبلغ سابقاً عن ثغرات في FFmpeg، ونموذج Mythos من Anthropic وجد ثغرة عمرها 16 عاماً في H.264 وثغرات أخرى في FFmpeg بتكاليف مماثلة.

الاستنتاج ليس أن الذكاء الاصطناعي يحل محل الباحثين الأمنيين — لا تزال النتائج تحتاج إلى فرز بشري، وتعيين CVE، والإفصاح المنسق، والتحقق من التصحيحات. لكن اقتصاديات مرحلة الاكتشاف تتغير بشكل كبير. جولة حوسبة بتكلفة 1000 دولار تكشف عن 21 ثغرة يوم-صفر مؤكدة مع PoCs قابلة للتكرار أكثر كفاءة من حيث التكلفة بمراتب مقارنة بالجهد البشري المكافئ.

نفس الأسبوع: Chrome يصحح رقماً قياسياً بـ 429 ثغرة

تم إفصاح FFmpeg في نفس الأسبوع الذي أصدرت فيه Google Chrome 149 مع تصحيحات لـ 429 ثغرة أمنية، وهو أكبر عدد في إصدار واحد من Chrome. أكثر من 100 منها مصنفة كحرجة أو عالية الشدة. الأسوأ، CVE-2026-10881 (CVSS 9.6)، هو قراءة/كتابة خارج الحدود في محرك ANGLE الرسومي يسمح لصفحة ويب مصنوعة خصيصاً بالهروب من sandbox الخاص بـ Chrome وتنفيذ كود عشوائي على النظام المضيف. دفعت Google 97,000 دولار للباحث الذي أبلغ عنها.

إصدار Chrome غير مرتبط مباشرة بالثغرات التي اكتشفها الذكاء الاصطناعي — لم تنسب Google الحجم القياسي لوكلاء الذكاء الاصطناعي. الارتباط غير مباشر أكثر: قامت Google في أبريل بإصلاح برنامج مكافآت الثغرات الخاص بها تحديداً لأن التقارير المولدة بالذكاء الاصطناعي غمرت قائمة التقديم، مما تطلب إرشادات جديدة تعطي الأولوية لـ "مُعيدي الإنتاج" المختصرين على التقارير الطويلة التي تميل أدوات الذكاء الاصطناعي لإنتاجها. ضغط الحجم حقيقي بغض النظر عما إذا كان الذكاء الاصطناعي يقوم بالعثور أو إحداث ضوضاء في خط أنابيب الإبلاغ.

ما يعنيه هذا للمدافعين

الأولوية العملية لفرق الأمن و DevOps واضحة: قم بتحديث FFmpeg إلى الإصدار الحالي إذا لم تكن قد فعلت ذلك بالفعل، وتابع CVE-2026-39210 إلى CVE-2026-39218 لجرد الأصول الداخلي. إذا كانت مؤسستك تستخدم FFmpeg في خطوط أنابيب معالجة الوسائط — خاصة للمحتوى المقدم من المستخدم — فإن مكوني مفكك تعدد TS ومفكك تشفير VP9 يستحقان اهتماماً خاصاً حتى يتم ترقيم جميع الـ 21 CVE وتأكيد تصحيحها في إصدارك.

الاستنتاج الأوسع أصعب في التصرف بناءً عليه: وكلاء الذكاء الاصطناعي الآن يجدون ثغرات في مكتبات مفتوحة المصدر رئيسية أسرع مما يستطيع النظام البيئي ترقيمها ونشرها. الفجوة بين وقت وجود ثغرة ووقت اكتشافها ووقت تصحيحها يتم ضغطها من جانب الاكتشاف. لم تواكب البنية التحتية للتصحيح.