Ein KI-Agent fand 21 Zero-Day-Sicherheitslücken in FFmpeg für 1.000 $ – der älteste Bug versteckte sich seit 2003

FFmpeg ist die Mediathek, die Videos in praktisch allen wichtigen Kontexten verarbeitet: Browser, Streaming-Plattformen, Videobearbeitungsprogramme, Konferenzsoftware, Mobile-Apps. Es ist zudem, seit dieser Woche bestätigt, dass sie mindestens 21 zuvor unbekannte Sicherheitslücken enthält, die alle von einem autonomen KI-Agenten entdeckt wurden, der von dem Sicherheits-Startup depthfirst betrieben wird. Die Rechenkosten für die Entdeckung beliefen sich auf etwa 1.000 $.

depthfirst veröffentlichte seine Ergebnisse am 6. Juni, darunter ein GitHub-Repository mit Proof-of-Concept-Eingaben für alle 21 Bugs. Neun haben bisher CVE-IDs erhalten, CVE-2026-39210 bis CVE-2026-39218. Die übrigen wurden upstream gepatcht, sind aber noch nicht nummeriert. Alle sind in der aktuellen FFmpeg-Version behoben.

Was die Bugs sind und wo sie sich verstecken

Die meisten der 21 Schwachstellen sind Heap- oder Stack-Overflows, die sich in FFmpegs Parsern und Demuxern konzentrieren – den Komponenten, die für das Lesen und Interpretieren der Struktur von Mediendateien vor der Dekodierung verantwortlich sind. Zu den betroffenen Komponenten gehören der TS-Demuxer (der MPEG-Transportströme verarbeitet, die in Broadcast-TV und Streaming verwendet werden) und der VP9-Decoder (Googles Videocodec, der im Web weit verbreitet ist). depthfirst beschreibt mehrere als erreichbar über präparierte Mediendateien, was bedeutet, dass ein Angreifer sie auslösen könnte, indem er ein Ziel dazu bringt, ein bösartiges Video zu öffnen.

Das Alter der Bugs ist es, was den Fund bemerkenswert macht. Mehrere waren 15 bis 20 Jahre lang latent vorhanden. Der älteste, ein Stack-Overflow im Service-Description-Table-Parser, stammt aus dem Jahr 2003 und lag 23 Jahre lang unberührt in der Codebasis. Dies sind keine obskuren Randfall-Pfade – sie befinden sich in Komponenten, die Formate verarbeiten, die in der gesamten Industrie aktiv genutzt werden.

Die Ökonomie der KI-gesteuerten Schwachstellenforschung

Die Zahl von 1.000 $ ist wichtig, weil sie die Rechenkosten einer einzigen autonomen Forschungslaufzeit darstellt, nicht die Gesamtkosten eines Sicherheitsteams, das monatelang manuelle Code-Reviews durchführt. Zum Vergleich: Ein qualifizierter Sicherheitsforscher kostet Hunderttausende Dollar pro Jahr an Gehalt, und manuelle Prüfungen für eine Codebasis von der Größe FFmpegs liegen typischerweise im sechsstelligen Bereich. depthfirst ist in diesem Bereich nicht allein: Googles Big Sleep-Agent hat bereits zuvor FFmpeg-Schwachstellen gemeldet, und Anthropics Mythos-Modell fand einen 16 Jahre alten H.264-Fehler und andere Bugs in FFmpeg zu vergleichbaren Kosten.

Die Implikation ist nicht, dass KI Sicherheitsforscher ersetzt – die Ergebnisse benötigen weiterhin menschliches Triage, CVE-Zuweisung, koordinierte Offenlegung und Patch-Validierung. Aber die Ökonomie der Entdeckungsphase verändert sich dramatisch. Eine Rechenlaufzeit von 1.000 $, die 21 bestätigte Zero-Days mit reproduzierbaren PoCs aufdeckt, ist um Größenordnungen kosteneffizienter als der entsprechende menschliche Aufwand.

In derselben Woche: Chrome patcht Rekordzahl von 429 Bugs

Die FFmpeg-Offenlegung kam in derselben Woche, in der Google Chrome 149 mit Patches für 429 Sicherheitslücken auslieferte, die meisten in einer einzigen Chrome-Version. Mehr als 100 werden als kritisch oder schwerwiegend eingestuft. Der schlimmste, CVE-2026-10881 (CVSS 9.6), ist ein Out-of-Bounds-Lese-/Schreibzugriff in der ANGLE-Grafik-Engine, der es einer präparierten Webseite ermöglicht, die Sandbox von Chrome zu verlassen und beliebigen Code auf dem Host-System auszuführen. Google zahlte 97.000 $ an den Forscher, der ihn meldete.

Die Chrome-Veröffentlichung steht nicht direkt in Verbindung mit KI-entdeckten Bugs – Google hat das Rekordvolumen nicht KI-Agenten zugeschrieben. Der Zusammenhang ist indirekter: Google überarbeitete im April sein Bug-Bounty-Programm, genau weil KI-generierte Berichte die Einreichungswarteschlange überfluteten, was neue Richtlinien erforderte, die kurze Reproduzierer gegenüber den langen Berichten priorisieren, die KI-Tools tendenziell produzieren. Der Volumendruck ist real, unabhängig davon, ob KI die Bugs findet oder Rauschen in der Meldekette erzeugt.

Was das für Verteidiger bedeutet

Die praktische Priorität für Sicherheits- und DevOps-Teams ist klar: Aktualisieren Sie FFmpeg auf die aktuelle Version, falls noch nicht geschehen, und verfolgen Sie CVE-2026-39210 bis CVE-2026-39218 für Ihr internes Asset-Inventar. Wenn Ihre Organisation FFmpeg in Medienverarbeitungspipelines einsetzt – insbesondere für benutzergenerierte Inhalte – verdienen die Komponenten TS-Demuxer und VP9-Decoder besondere Aufmerksamkeit, bis alle 21 CVEs nummeriert und in Ihrer Version als gepatcht bestätigt sind.

Die breitere Implikation ist schwerer umsetzbar: KI-Agenten finden jetzt Bugs in großen Open-Source-Bibliotheken schneller, als das Ökosystem sie nummerieren und veröffentlichen kann. Die Lücke zwischen dem Zeitpunkt, an dem eine Schwachstelle existiert, wann sie gefunden wird und wann sie gepatcht wird, wird auf der Entdeckungsseite komprimiert. Die Patch-Infrastruktur hat nicht Schritt gehalten.