21 cenuesh zero‑day në FFmpeg, zbuluar nga agjenti autonom i depthfirst
FFmpeg, biblioteka që përdoret në miliona pajisje dhe platforma streaming, është objekt i vëmendjes së hakerëve për shkak të natyrës së saj si parser i mediave të pa besueshme. Me rreth 1.5 milionë rreshta kodi C të optimizuar, projekti ka akumuluar dy dekada testimesh të vazhdueshme, duke e bërë të vështirë gjetjen e dobësive të reja. Së fundmi, ekipet e Google (Big Sleep) dhe Anthropic (Mythos) kanë raportuar përkatësisht 13 cenuesh në kodin e FFmpeg‑it, duke provuar se modelet e avancuara të inteligjencës artificiale mund të analizojnë kodin e ndërlikuar dhe të gjejnë dobësi.
Në këtë kontekst, grupi depthfirst ka ndërtuar një sistem agjentik që kryen skanime të thella në bazat e mëdha të kodit. Ndryshe nga një agjent programues, agjenti i sigurisë fokusohet në modelimin e kërcënimeve, identifikimin e pikave ku hyrja e kontrolluar nga sulmuesi mund të depërtojë, dhe testimin e hipotezave përmes inputeve të riprodhueshme. Kjo metodë i lejon sistemit të prodhojë prova konkrete (PoC) për çdo dobësi, duke eliminuar raportet teorike dhe duke siguruar se çdo gjetje është e arritshme dhe e përdorshme.
Rezultati i punës së ekipit është zbulimi i 21 cenuesh zero‑day në komponentë të ndryshme të FFmpeg‑it, duke përfshirë demuxer‑in TS dhe dekoderin VP9, me një kosto totale prej rreth 1 000 dollarësh – vetëm 10 % e asaj që shpenzoi Anthropic për modelin Mythos. Tetë nga këto cenuesha kanë marrë tashmë identifikues CVE, ndërsa të tjerat janë rregulluar por ende nuk kanë numër CVE. Një nga gjetjet më të rëndësishme është një overflow buffer-i në heap në depaketuesin AV1 RTP (libavformat/rtpdec_av1.c), i cili mund të shkaktojë ekzekutim të kodit të keqprapë nëpërmjet një komande të thjeshtë ffmpeg -i rtsp://attacker/stream dhe një pakete 183‑byte.
Ky rast demonstron fuqinë e agjentit të sigurisë: një sulm i thjeshtë nga rrjeti mund të drejtojë ekzekutimin e kodit, duke lejuar një primitive RCE (Remote Code Execution). Përmes analizës së rrjedhës së të dhënave dhe testimit të hyrjeve të kontrolluara, agjenti ka prodhuar një input të riprodhueshëm që konfirmon dobësinë, duke e bërë të mundur që prodhuesit e FFmpeg‑it të reagojnë shpejt dhe të përmirësojnë sigurinë e produktit.