На прошлой неделе случились два события, которые хорошо показывают текущее состояние индустриальной безопасности.
Стартап по кибербезопасности запустил автономного ИИ-агента на поиск уязвимостей в FFmpeg — библиотеке, которая вшита буквально во всё, что умеет воспроизводить видео. Результат: 21 previously unknown vulnerability (zero-day). Без участия человека на этапе обнаружения.
Почти одновременно Google выкатил Chrome 149 с патчами для 429 багов. Это абсолютный рекорд для одного релиза. И да, эти нашли уже люди.
Почему это важно.
FFmpeg — не какой-то редкий софт. Он внутри VLC, OBS, Android, iOS, десктопных плееров, стриминговых платформ. Если бы эти дыры нашли не белые хакеры, а кто-то другой, цепочка атак могла бы быть массовой. Видеофайл — идеальный вектор: его легко замаскировать, сложно проверить на лету.
Про Chrome. 429 багов за один раз — это не про то, что Chrome стал хуже. Это про то, что процесс поиска и отчётности стал прозрачнее. Google платит баунти, исследователи активничают, баги фиксят пачками. Раньше их просто не декларировали в таком объёме.
Контекст.
ИИ в security — уже не хайп. Агенты, которые сами ищут уязвимости, без датасетов и ручного ревью, — это новый этап. Пока что они работают в рамках узких задач (один продукт, один тип анализа), но тренд очевиден.
Для пользователя: обновляйте Chrome и не качайте подозрительные MP4 с торрентов. FFmpeg патчи уже вышли, но встроен он глубоко — ждите обновлений от вендоров ваших плееров и ОС.
Мой взгляд: утечек и атак через мультимедиа станет больше. Искать их вручную уже не успевают. ИИ-агенты — не замена, а единственный адекватный ответ.
