KI-Agent findet 21 FFmpeg-Zero-Days für 1.000 Dollar – Chrome 149 patcht Rekord-429-Bugs

Ein KI-Agent hat in einer Woche geschafft, wofür ein erfahrener Sicherheitsforscher Monate gebraucht hätte – und es kostete 1.000 Dollar.

Das Security-Startup depthfirst ließ einen autonomen KI-Agenten auf FFmpeg los, die Medienverarbeitungsbibliothek, die in praktisch jeder Video-Call-Plattform, jedem Streaming-Dienst und jedem Aufnahme-Tool steckt. Der Agent scannte 1,5 Millionen Zeilen C-Code und fand 21 bestätigte Zero-Days, jede mit einem funktionierenden Proof of Concept. Der älteste Bug datiert auf 2003 – 23 Jahre lang unentdeckt.

Die schwerwiegendste Entdeckung: Ein einzelnes 183-Byte-Netzwerkpaket erreicht vollständige Remote-Code-Execution über einen Heap-Overflow im AV1-Decoder. Keine Authentifizierung erforderlich. Neun CVEs wurden vergeben (CVE-2026-39210 bis CVE-2026-39218).

In derselben Woche lieferte Chrome 149 Fixes für 429 Schwachstellen – das größte Einzel-Release-Patch in Chromes Geschichte. 23 davon sind kritisch, 8 als aktiv ausgenutzt bestätigt.

Aktualisieren Sie FFmpeg sofort auf die gepatchte Version. Aktualisieren Sie Chrome auf Version 149. Bewerten Sie, welche Ihrer internen Anwendungen FFmpeg für Medienverarbeitung nutzen – besonders solche, die nicht vertrauenswürdige Nutzereingaben verarbeiten. Die Frage ist nicht mehr, ob KI Security-Research transformiert. Sie tut es bereits.