### IA Remodela o Cenário de Vulnerabilidades Em dias de diferença, dois eventos significativos de cibersegurança destacaram o impacto crescente da inteligência artificial na descoberta de vulnerabilidades e no gerenciamento de patches. Uma startup de segurança relatou 21 vulnerabilidades previamente desconhecidas no **FFmpeg**, a biblioteca de mídia ubíqua, todas identificadas por um agente de IA autônomo. Concomitantemente, o **Google** lançou o **Chrome 149**, apresentando um número sem precedentes de 429 correções de bugs de segurança. Embora apenas os bugs do **FFmpeg** tenham sido diretamente encontrados por IA, o volume recorde de patches do **Chrome** segue a recente reformulação do programa de recompensa por bugs do **Google**, impulsionada por um fluxo de submissões geradas por IA. Os mecanismos diferem, mas a pressão subjacente é consistente: a IA está aumentando rapidamente o volume e a velocidade das vulnerabilidades apresentadas àqueles encarregados de proteger ativos digitais. ### FFmpeg Sob Escrutínio: 21 Zero-Days Descobertas por IA As descobertas do **FFmpeg** originam-se da **depthfirst**, uma empresa de segurança cujo agente de segurança autônomo escaneou aproximadamente 1,5 milhão de linhas do código C do **FFmpeg**. Essa varredura resultou em 21 vulnerabilidades zero-day confirmadas, cada uma acompanhada por um proof-of-concept de entrada reproduzível. A **depthfirst** estima o custo dessa execução automatizada de descoberta de vulnerabilidades em cerca de US$ 1.000. Notavelmente, vários desses bugs estavam latentes no codebase há 15 a 20 anos. Um stack overflow específico no código service-description-table remonta a 2003, permanecendo indetectado por 23 anos. A maioria das falhas identificadas são overflows de heap ou stack localizados em parsers e demuxers, afetando componentes que vão desde o demuxer TS até o decodificador VP9. A **depthfirst** confirmou que alguns desses bugs já possuem identificadores **CVE** atribuídos, listando **CVE-2026-39210** a **CVE-2026-39218**. As vulnerabilidades restantes foram corrigidas, mas ainda não foram numeradas publicamente. Um proof-of-concept (PoC) também foi compartilhado publicamente. ### Chrome 149: Um Lançamento de Patches Recordista Em notícias separadas, mas igualmente impactantes, o **Chrome 149** aborda 429 vulnerabilidades, marcando o maior número de correções em um único lançamento. Mais de 100 delas são classificadas como de severidade crítica ou alta, compreendendo predominantemente problemas de use-after-free e falhas de validação de entrada insuficiente. A vulnerabilidade mais severa, **CVE-2026-10881** (CVSS 9.6), é um bug de leitura e escrita out-of-bounds no motor gráfico **ANGLE**. Essa falha crítica poderia permitir que uma página web especialmente elaborada escapasse do sandbox do navegador e executasse código arbitrário no sistema hospedeiro. O **Google** pagou uma recompensa substancial de US$ 97.000 por sua descoberta. Interessantemente, os bugs de maior severidade foram predominantemente descobertos internamente pelas próprias equipes do **Google**. De aproximadamente 90 bugs de alta severidade, apenas 10 foram relatados por pesquisadores externos, e 19 das 22 vulnerabilidades críticas foram descobertas internamente. Para o **Chrome**, a conexão com a IA parece ser mais sobre o volume bruto de submissões do que sobre a autoria direta desses bugs críticos específicos. ### Uma Tendência Mais Ampla: O Alcance Expandido da IA Embora o **Google** não tenha atribuído diretamente as 429 correções do **Chrome** à IA, a reformulação do programa de recompensas da empresa em abril foi explicitamente feita para a era da IA, impulsionada por um aumento de submissões geradas por IA. Este novo programa agora prioriza etapas concisas de reprodutibilidade de vulnerabilidades em vez de longos relatórios gerados por IA. Essa tendência se estende além do **Chrome**. O agente **Big Sleep** do **Google** relatou anteriormente bugs no **FFmpeg**, agora visíveis na página de segurança do projeto. Da mesma forma, o modelo **Mythos** da **Anthropic** identificou com sucesso uma falha de H.264 de 16 anos e outros problemas no **FFmpeg** por um custo estimado de US$ 10.000, três dos quais foram incluídos no **FFmpeg 8.1**. Há poucos dias, outra ferramenta autônoma descobriu uma vulnerabilidade de Remote Code Execution (RCE) autenticada no **Redis** que permaneceu despercebida desde a versão 7.2.0 por mais de dois anos. Pesquisas adicionais reforçam essa trajetória: um estudo de fevereiro demonstrou um agente de IA reproduzindo PoCs funcionais para mais da metade de 100 bugs N-day reais do **kernel Linux**, superando métodos de fuzzing tradicionais. ### Ação Urgente Necessária: Orientações de Patching Para usuários do **FFmpeg**, é crucial obter a versão corrigida upstream ou a atualização de segurança de sua distribuição assim que estiver disponível. Priorize a aplicação de patches em qualquer coisa que ingira streams RTSP ou AV1-over-RTP não confiáveis. Dada a ampla integração do **FFmpeg** em pipelines de mídia, wheels Python, imagens de contêineres e vários appliances, o patching não deve parar nos pacotes do sistema; cópias embarcadas também requerem atenção imediata. Usuários do **Chrome** devem atualizar para a versão 149.0.7827.53 no Linux ou 149.0.7827.53/54 no Windows e macOS. Confirme se o seu mecanismo de atualização automática aplicou os patches mais recentes com sucesso. ### O Futuro da Segurança: Um Desafio Humano-Máquina A resposta de cibersegurança deve se adaptar a esse ritmo acelerado: ciclos de patch mais curtos, mecanismos de atualização automática ubíquos e atualizações de dependência que carregam correções de **CVE** devem ser tratados como trabalho de segurança crítico, não apenas manutenção de rotina. O desafio mais significativo reside nessa mudança. Embora encontrar esses bugs tenha se tornado notavelmente barato graças à IA, os processos subsequentes de triagem de relatórios, desenvolvimento e envio de correções, e garantia de sua instalação permanecem complexos e caros. Grande parte desse trabalho essencial ainda recai sobre voluntários humanos e uma fina camada de triadores humanos que agora se espera que acompanhem as máquinas. Essa disparidade destaca um gargalo crescente no ciclo de vida do gerenciamento de vulnerabilidades, exigindo soluções inovadoras para preencher a lacuna entre a descoberta impulsionada por IA e a remediação liderada por humanos.