### AIが脆弱性ランドスケープを再構築 数日のうちに、2つの重要なサイバーセキュリティイベントが、脆弱性の発見とパッチ管理における人工知能のエスカレートする影響を浮き彫りにしました。あるセキュリティスタートアップは、遍在するメディアライブラリである**FFmpeg**において、自律型AIエージェントによって特定された21件の未知の脆弱性を報告しました。同時に、**Google**は前例のない429件のセキュリティバグ修正を特徴とする**Chrome 149**をリリースしました。 **FFmpeg**のバグのみがAIによって直接発見されたわけではありませんが、**Chrome**の記録的なパッチ数は、AI生成の提出物の急増によって促された**Google**のバグバウンティプログラムの最近の再編成に続いています。メカニズムは異なりますが、根本的な圧力は一貫しています。AIは、デジタル資産の保護を担う人々に提示される脆弱性の量と速度を急速に増加させています。 ### FFmpegの精査：AIによって発見された21件のゼロデイ **FFmpeg**の発見は、自律型セキュリティエージェントが**FFmpeg**のCコード約150万行をスキャンしたセキュリティ企業**depthfirst**に由来します。このスキャンにより、再現可能な概念実証入力が添付された21件の確認済みゼロデイ脆弱性が得られました。 **depthfirst**は、この自動化された脆弱性発見の実行コストを約1,000ドルと見積もっています。驚くべきことに、これらのバグのいくつかは、15年から20年間コードベース内に潜んでいました。サービス記述テーブルコード内の特定のスタックオーバーフローは2003年に遡り、23年間検出されずにいました。 特定されたほとんどの欠陥は、パーサーとデミュクサーにあるヒープまたはスタックオーバーフローであり、TSデミュクサーからVP9デコーダーまでのコンポーネントに影響を与えます。**depthfirst**は、これらのバグの一部にすでに**CVE**識別子が割り当てられていることを確認しており、**CVE-2026-39210**から**CVE-2026-39218**までをリストしています。残りの脆弱性は修正されていますが、まだ公開されていません。概念実証（PoC）も公開されています。 ### Chrome 149：記録破りのパッチリリース 別個ではあるが同様に影響力のあるニュースとして、**Chrome 149**は429件の脆弱性に対処しており、単一リリースでの修正数としては最高を記録しました。これらのうち100件以上はクリティカルまたは高リスクとして分類されており、主に解放後使用（use-after-free）の問題と不十分な入力検証の欠陥で構成されています。 最も深刻な脆弱性である**CVE-2026-10881**（CVSS 9.6）は、**ANGLE**グラフィックスエンジン内の境界外読み書きバグです。このクリティカルな欠陥により、特別に細工されたWebページがブラウザのサンドボックスをエスケープし、ホストシステム上で任意のコードを実行できるようになる可能性があります。**Google**はこの発見に対して97,000ドルの多額の報奨金を支払いました。 興味深いことに、最も深刻なバグは主に**Google**自身のチームによって内部的に発見されました。約90件の高リスクバグのうち、外部の研究者によって報告されたのはわずか10件で、22件のクリティカルな脆弱性のうち19件は内部での発見でした。**Chrome**にとって、AIとの関連性は、これらの特定のクリティカルバグの直接的な作成者というよりも、提出物の量に起因しているようです。 ### より広範なトレンド：AIの拡大する範囲 **Google**は429件の**Chrome**修正を直接AIに起因させていませんが、同社が4月にバグバウンティプログラムを再編成したのは、AI生成の提出物の急増によって推進され、AI時代のために明確に意図されたものです。この新しいプログラムは現在、長文のAI生成の書き込みよりも、簡潔な脆弱性再現手順を優先しています。 このトレンドは**Chrome**にとどまりません。**GoogleのBig Sleepエージェント**は以前にも**FFmpeg**のバグを報告しており、これは現在プロジェクトのセキュリティページで確認できます。同様に、**Anthropic**の**Mythosモデル**は、推定10,000ドルのコストで、16年前のH.264の欠陥や**FFmpeg**のその他の問題を特定することに成功し、そのうち3件が**FFmpeg 8.1**に含まれました。 わずか数日前、別の自律型ツールが、2年以上バージョン7.2.0以降で検出されずに存在していた**Redis**における認証済みリモートコード実行（RCE）脆弱性を発見しました。さらなる研究はこの軌道を裏付けています。2月の研究では、AIエージェントが100件の実際の**Linuxカーネル**Nデイバグの半数以上に対して動作するPoCを再現できることを示しており、従来のファジング手法を上回っています。 ### 緊急対応が必要：パッチ適用ガイダンス **FFmpeg**ユーザーにとって、修正されたアップストリームビルドまたはディストリビューションのセキュリティアップデートが利用可能になり次第、速やかに取得することが重要です。信頼できないRTSPまたはAV1-over-RTPストリームを取り込む可能性のあるものは、パッチ適用を優先してください。**FFmpeg**はメディアパイプライン、Pythonホイール、コンテナイメージ、およびさまざまなアプライアンスに広く統合されていることを考慮すると、パッチ適用はシステムパッケージにとどまるべきではありません。組み込みコピーも即時の注意が必要です。 **Chrome**ユーザーは、Linuxではバージョン149.0.7827.53、WindowsおよびmacOSでは149.0.7827.53/54に更新する必要があります。自動更新メカニズムが最新のパッチを正常に適用したことを確認してください。 ### セキュリティの未来：人間と機械の挑戦 サイバーセキュリティの対応は、この加速されたペースに適応する必要があります。短いパッチサイクル、普遍的な自動更新メカニズム、および**CVE**修正を伴う依存関係の更新は、単なるルーチンメンテナンスではなく、クリティカルなセキュリティ作業として扱われる必要があります。 最も重要な課題はこのシフトにあります。AIのおかげでこれらのバグの発見は驚くほど安価になりましたが、レポートのトリアージ、修正の開発と出荷、およびそれらのインストールの保証といった後続のプロセスは、依然として複雑でコストがかかります。この不可欠な作業の多くは、依然として人間のボランティアと、現在マシンに追いつくことが期待されている少数の人間のトリアージャーに委ねられています。この格差は、脆弱性管理ライフサイクルにおける増大するボトルネックを浮き彫りにし、AI主導の発見と人間主導の修復との間のギャップを埋めるための革新的なソリューションを要求しています。