FFmpeg: agente AI scopre 21 vulnerabilità zero-day

Un agente di Intelligenza Artificiale sviluppato dalla società Depth First ha individuato 21 vulnerabilità sconosciute all’interno di FFmpeg, una delle librerie multimediali più utilizzate al mondo.

Il sistema ha analizzato oltre 1,5 milioni di righe di codice senza intervento umano diretto, producendo per ciascuna falla un Proof of Concept riproducibile. Il costo stimato dell’intera operazione si aggira intorno ai 1.000 dollari, una cifra irrisoria rispetto ai tradizionali programmi di ricerca manuale. La notizia arriva mentre Google ha rilasciato Chrome 149 correggendo un numero record di 429 vulnerabilità.

Come l’IA ha scoperto bug vecchi di anni

L’aspetto più significativo non è il numero delle vulnerabilità individuate, ma la capacità del sistema di scovare difetti rimasti nascosti per oltre un decennio, non rilevati da audit precedenti, strumenti di fuzzing o controlli automatici convenzionali.

I dettagli tecnici completi non sono stati divulgati pubblicamente, ma le informazioni disponibili indicano errori tipici delle applicazioni scritte in linguaggio C: accessi fuori dai limiti della memoria, errori nella gestione dei buffer e condizioni che possono causare crash durante la decodifica di file multimediali appositamente costruiti. Uno degli esempi citati riguarda un difetto storico nel decoder H.264, dove una verifica incompleta dei confini di memoria può generare una scrittura fuori area.

FFmpeg è un componente fondamentale per l’elaborazione audio e video utilizzato da applicazioni desktop, piattaforme di streaming, software di editing e infrastrutture enterprise. Proprio questa diffusione capillare rende particolarmente rilevante qualsiasi problema di sicurezza al suo interno.

L’AI accelera la scoperta dei bug, ma anche gli attacchi

La scoperta in FFmpeg evidenzia una trasformazione profonda nel settore della sicurezza informatica.

Per anni le organizzazioni hanno potuto contare su una finestra temporale relativamente ampia tra la scoperta di una vulnerabilità e la sua trasformazione in attacco. Modelli avanzati sono ormai capaci non solo di identificare difetti nel codice, ma anche di costruire exploit funzionanti in tempi ridotti, comprimendo drasticamente lo spazio di manovra dei difensori.

Google stessa ha modificato il proprio programma di bug bounty per gestire un volume crescente di segnalazioni generate o assistite da modelli AI, conseguenza diretta della crescita esponenziale di vulnerabilità da analizzare e correggere. Secondo diverse analisi del settore, la ricerca automatizzata potrebbe presto produrre migliaia di nuove segnalazioni ogni anno, mettendo sotto pressione sia i progetti open source sia i grandi vendor commerciali.

Per gli sviluppatori la sfida si sposta verso pratiche più robuste: maggiore utilizzo di linguaggi con protezioni sulla memoria, analisi continue del codice e sistemi difensivi capaci di limitare gli effetti di vulnerabilità ancora sconosciute. La scoperta di 21 zero-day in un progetto ampiamente analizzato come FFmpeg suggerisce che i bug latenti nel software moderno siano molto più numerosi di quanto si stimasse fino a pochi mesi fa.