An ninh mạng

AI tự động tìm ra 21 lỗ hổng zero-day trong FFmpeg; Chrome phát hành bản vá kỷ lục cho 429 lỗi

Sự trỗi dậy của các tác nhân AI trong việc phát hiện lỗ hổng đang tạo áp lực lớn lên quy trình bảo mật. Trong tuần qua, 21 lỗ hổng zero-day đã được tìm thấy trong FFmpeg bởi AI, trong khi Google...

Nguyen Hung
6 Tháng 6, 2026 3 Min Read
2 0

Tuần qua ghi nhận một cột mốc đáng chú ý trong lĩnh vực an ninh mạng, khi tốc độ phát hiện lỗ hổng được đẩy nhanh nhờ sự hỗ trợ của trí tuệ nhân tạo (AI). Một startup bảo mật đã công bố việc tìm thấy 21 lỗ hổng zero-day trong FFmpeg—thư viện xử lý đa phương tiện phổ biến—thông qua một tác nhân AI tự động.

Table Of Content

Cùng thời điểm, Google đã phát hành phiên bản Chrome 149, bao gồm các bản vá cho 429 lỗi bảo mật, con số cao nhất từ trước đến nay trong một bản cập nhật duy nhất.

AI thay đổi cuộc chơi trong việc tìm kiếm lỗ hổng

Đơn vị nghiên cứu depthfirst đã sử dụng tác nhân bảo mật tự động để quét khoảng 1,5 triệu dòng mã nguồn C của FFmpeg. Kết quả là 21 lỗ hổng zero-day đã được xác nhận, kèm theo các bằng chứng khai thác (PoC) có thể tái lập. Đáng chú ý, nhiều lỗ hổng trong số này đã tồn tại từ 15 đến 20 năm, thậm chí có lỗi stack overflow trong mã service-description-table đã tồn tại từ năm 2003.

Phần lớn các lỗ hổng này là lỗi heap hoặc stack overflow nằm trong các trình phân tích cú pháp (parser) và demuxer. Một số đã được gán mã CVE (từ CVE-2026-39210 đến CVE-2026-39218), trong khi các lỗ hổng còn lại đã được khắc phục nhưng chưa có mã định danh chính thức.

Chrome 149: Bản vá kỷ lục

Trong khi các lỗi FFmpeg được tìm thấy bởi AI, con số 429 lỗi được vá trong Chrome phản ánh sự thay đổi trong cách Google quản lý chương trình bounty (tiền thưởng tìm lỗi). Google đã phải cải tổ quy trình tiếp nhận báo cáo do sự gia tăng đột biến của các báo cáo được tạo ra bởi AI.

Trong số 429 lỗi này, có hơn 100 lỗi được xếp hạng nghiêm trọng hoặc cao, chủ yếu là các lỗi use-after-free và xác thực đầu vào không đầy đủ. Lỗ hổng nghiêm trọng nhất, CVE-2026-10881 (điểm CVSS 9.6), là một lỗi out-of-bounds read/write trong engine đồ họa ANGLE, cho phép kẻ tấn công thoát khỏi sandbox để thực thi mã trên máy chủ.

Khuyến nghị cho quản trị viên

Trước tình hình này, các chuyên gia khuyến cáo:

  • Đối với FFmpeg: Cần cập nhật ngay bản build upstream mới nhất hoặc các bản vá từ nhà phân phối hệ điều hành. Lưu ý rằng FFmpeg thường được nhúng trong nhiều thành phần như Python wheels, container images và các thiết bị phần cứng, do đó việc cập nhật không nên chỉ dừng lại ở các gói hệ thống.
  • Đối với Chrome: Người dùng cần cập nhật lên phiên bản 149.0.7827.53 (Linux) hoặc 149.0.7827.53/54 (Windows và macOS).

Sự xuất hiện của AI trong việc tìm kiếm lỗ hổng đang buộc các tổ chức phải thay đổi quy trình: rút ngắn chu kỳ vá lỗi, ưu tiên tự động hóa cập nhật và coi việc xử lý các lỗ hổng trong phụ thuộc (dependency) là nhiệm vụ bảo mật ưu tiên thay vì chỉ là bảo trì định kỳ.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept