Agente de IA descubre 21 vulnerabilidades Zero-Day en FFmpeg y Chrome corrige la cifra récord de 429 errores

Esta semana se produjeron dos acontecimientos con pocos días de diferencia. Una startup de seguridad informó de 21 vulnerabilidades hasta entonces desconocidas en FFmpeg, la biblioteca multimedia presente en prácticamente todos los productos relacionados con el vídeo. Todas ellas fueron descubiertas por un agente de IA autónomo.

Esa misma semana, Google lanzó Chrome 149 con parches para 429 fallos de seguridad, la mayor cantidad jamás registrada en una sola versión.

Solo los fallos de FFmpeg fueron detectados por IA. El récord de Chrome se produjo después de que Google renovara su programa de recompensas para gestionar la avalancha de informes generados por IA. Los mecanismos difieren, pero la presión es la misma: la IA está poniendo más vulnerabilidades al alcance de quienes deben solucionarlas, y a mayor velocidad que antes.

Los hallazgos sobre FFmpeg provienen de DepthFirst, cuyo agente de seguridad autónomo analizó las aproximadamente 1,5 millones de líneas de código C del proyecto y produjo 21 vulnerabilidades de día cero confirmadas, cada una con una prueba de concepto reproducible.

La empresa estima que el coste de la prueba fue de unos 1.000 dólares. Varios de los errores habían permanecido latentes durante 15 a 20 años; un desbordamiento de pila en el código de la tabla de descripción de servicios data de 2003 y permaneció sin corregir durante 23 años.

La mayoría son desbordamientos de pila o de montón en analizadores y demultiplexores, que abarcan componentes desde el demultiplexor TS hasta el decodificador VP9. DepthFirst afirma que algunos ya tienen identificadores CVE; su informe enumera nueve, del CVE-2026-39210 al CVE-2026-39218, y señala que el resto están corregidos pero aún no numerados. También publicó una prueba de concepto.

Por otro lado, Chrome 149 corrige 429 vulnerabilidades, un récord para una sola versión. Más de 100 son críticas o de alta gravedad, principalmente de uso de memoria liberada y validación de entrada insuficiente.

La peor, CVE-2026-10881 (CVSS 9.6), es una vulnerabilidad de lectura y escritura fuera de límites en el motor gráfico ANGLE que permite que una página manipulada escape del entorno aislado y ejecute código en el host. Google pagó 97.000 dólares por ella.

Los errores de mayor gravedad fueron en su mayoría hallazgos internos: de aproximadamente 90 errores de alta gravedad, solo 10 provenían de investigadores externos, y 19 de los 22 críticos fueron descubiertos por la propia Google. La conexión con la IA se relaciona más con el volumen que con la autoría.

Google no ha vinculado el error 429 con la IA; la señal oficial es la revisión del programa de recompensas que realizó en abril, motivada por una avalancha de informes generados por IA, y que ahora solicita un método de reproducción conciso en lugar de los extensos informes que produce la IA.

El agente Big Sleep de Google reportó una serie de errores en FFmpeg el año pasado, ahora visibles en la página de seguridad del proyecto, etiquetada como BIGSLEEP. El modelo Mythos de Anthropic extrajo una vulnerabilidad de H.264 de 16 años de antigüedad y otras de FFmpeg por aproximadamente $10.000, tres de las cuales se incluyeron en FFmpeg 8.1, según su propio informe.

Para actualizar FFmpeg, descargue la compilación corregida del proyecto original o la actualización de seguridad de su distribución tan pronto como esté disponible, y priorice cualquier cosa que consuma RTSP no confiable o AV1-over-RTP. FFmpeg se incluye ampliamente en pipelines multimedia, paquetes Python, imágenes de contenedores y dispositivos, así que no se limite a los paquetes del sistema; esas copias integradas también necesitan parches.

Encontrar estos errores se ha vuelto económico; clasificar los informes, distribuir las correcciones e instalarlas no lo ha sido, y gran parte de ese trabajo aún recae en voluntarios y un pequeño grupo de personas que ahora deben seguir el ritmo de las máquinas.

Fuente: THN

Suscríbete a nuestro Boletín