Un agente di Intelligenza Artificiale sviluppato dalla società Depth First ha individuato 21 vulnerabilità sconosciute all’interno di FFmpeg, una delle librerie multimediali più utilizzate al mondo.
Il sistema ha analizzato oltre 1,5 milioni di righe di codice senza intervento umano diretto, producendo per ciascuna falla un Proof of Concept riproducibile. Il costo stimato dell’intera operazione si aggira intorno ai 1.000 dollari, una cifra irrisoria rispetto ai tradizionali programmi di ricerca manuale. La notizia arriva mentre Google ha rilasciato Chrome 149 correggendo un numero record di 429 vulnerabilità.
Come l’IA ha scoperto bug vecchi di anni
L’aspetto più significativo non è il numero delle vulnerabilità individuate, ma la capacità del sistema di scovare difetti rimasti nascosti per oltre un decennio, non rilevati da audit precedenti, strumenti di fuzzing o controlli automatici convenzionali.
I dettagli tecnici completi non sono stati divulgati pubblicamente, ma le informazioni disponibili indicano errori tipici delle applicazioni scritte in linguaggio C: accessi fuori dai limiti della memoria, errori nella gestione dei buffer e condizioni che possono causare crash durante la decodifica di file multimediali appositamente costruiti. Uno degli esempi citati riguarda un difetto storico nel decoder H.264, dove una verifica incompleta dei confini di memoria può generare una scrittura fuori area.
