Un agente de IA encontró 21 días cero en FFmpeg por 1.000 dólares. Chrome acaba de corregir un error récord 429.
TL; DR
El agente de IA de Depthfirst encontró 21 FFmpeg de día cero por 1.000 dólares. Chrome 149 corrigió un récord de 429 errores. La IA está inundando a los defensores con más errores de los que pueden manejar.
El agente autónomo de IA de una startup de seguridad ha encontrado 21 vulnerabilidades previamente desconocidas en FFmpeg, la biblioteca multimedia de código abierto integrada en casi todo lo relacionado con el vídeo. La startup, DepthFirst, dice que el costo de ejecución es de aproximadamente $1,000 en computación. Algunos errores estuvieron ocultos en el código base durante más de 20 años.
Días después, Google envió Chrome 149 con parches para 429 errores de seguridad, la mayor cantidad en una sola versión de navegador. Más de 100 de gravedad grave o alta. Los dos eventos se produjeron de forma independiente, pero apuntan en la misma dirección: la IA está encontrando vulnerabilidades más rápido de lo que los humanos pueden solucionarlas.
El agente de Depthfirst escaneó casi 1,5 millones de líneas C de FFmpeg y generó una prueba de concepto reproducible para cada uno de los 21 días cero. Principalmente desbordamiento de pila o montón en analizadores y demuxers, que abarcan elementos desde demuxers TS hasta decodificadores VP9. Un desbordamiento de pila en el código de la tabla de descripción de servicios se remonta a 2003.
Nueve ya llevan identificadores CVE (CVE-2026-39210 a CVE-2026-39218). El resto está arreglado en sentido ascendente pero aún no está numerado. Depth lanzó por primera vez el código de prueba de concepto.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
FFmpeg no es nuevo en la búsqueda de errores impulsada por IA. Big Sleep Agent de Google informó una serie de errores de FFmpeg el año pasado. El modelo Mythos de Anthropic eliminó el defecto H.264 de 16 años y otros de FFmpeg por alrededor de $10,000. DepthFirst afirma haber realizado un trabajo comparable a una décima parte del coste.
La colección de discos de Chrome 149 es una historia diferente. Google no tuvo en cuenta 429 vulnerabilidades en IA. Pero la compañía renovó su programa de recompensas por errores en abril después de una avalancha de envíos generados por IA, y ahora pide a los investigadores reescrituras breves en lugar de textos largos creados por IA.
El peor error, CVE-2026-10881, obtiene una puntuación de 9,6 en la escala CVSS. Se trata de una lectura y escritura fuera de límites en el motor de gráficos ANGLE que permite que una página generada salga del entorno limitado de Chrome y ejecute código en el host. Google pagó 97.000 dólares por el informe. De los 22 errores críticos, 19 se encontraron internamente.
El patrón se sigue repitiendo. Una herramienta autónoma encontró recientemente una falla de ejecución remota de código autenticado en Redis que había pasado desapercibida durante más de dos años. Un estudio de febrero encontró que un agente de IA podría reproducir más de la mitad de los exploits de 100 errores reales del kernel de Linux, superando la ofuscación tradicional.
El problema difícil es el cambio. Encontrar estos errores se ha vuelto barato. Clasificación de informes, envío de correcciones y no instalación de ellas. Gran parte de ese trabajo todavía recae en los voluntarios, y ahora se espera que una fina capa de selección humana se mantenga al día con las máquinas. Mozilla parchó 271 vulnerabilidades de Firefox encontradas por Mythos en una sola pasada. Ya no es una cuestión de si la IA puede encontrar errores. Se trata de si alguien puede solucionarlos lo suficientemente rápido.
