Eine KI für 1.000 Dollar fand 21 Zero-Day-Lücken in FFmpeg

Ein autonomer KI-Agent las rund 1,5 Millionen Zeilen des C-Quellcodes von FFmpeg und kehrte mit 21 funktionierenden Zero-Day-Schwachstellen zurück, jede mit einer reproduzierbaren Eingabe, die sie auslöst. FFmpeg ist die Maschine, die Video und Audio in Webbrowsern, Mediaplayern, Smartphones und smarten Fernsehern dekodiert. Eine Lücke darin ist deshalb eine Lücke fast überall.

Für jeden, der jemals einen Videolink geöffnet hat, ist genau das der springende Punkt. FFmpeg taucht kaum je auf dem Bildschirm auf, läuft aber unter VLC, Chrome, unzähligen Android-Apps und den Servern, die auf den größten Plattformen Uploads verarbeiten. Ein Fehler in einem seiner Parser lässt sich im Prinzip mit einer einzigen bösartigen Datei erreichen: einem Clip, einem Stream, einer Untertitelspur, gebaut, um das Programm abstürzen zu lassen oder Code auf dem dekodierenden Gerät auszuführen.

Der Agent stammt von DepthFirst AI, einem Sicherheits-Start-up, das ein System gebaut hat, um Speicherfehler aufzuspüren, ohne dass ein Mensch den Code zuvor liest. Laut dem Unternehmen kostete der komplette Durchlauf etwa 1.000 Dollar, eine Zahl, die es bewusst als rund 10 Prozent dessen darstellt, was Anthropic ausgab, als sein Modell Claude Mythos Anfang dieses Jahres wichtige Software nach Schwachstellen durchkämmte. Die eigentliche Nachricht steckt unter dem Preisschild. Echte, ausnutzbare Fehler in kritischer Infrastruktur zu finden wird billig genug, um es fast aus einer Laune heraus zu tun.

Empfohlene LektüreClaude fand 10.000 kritische Lücken in einem Monat — Patchen ist der Engpass

Die 21 Funde sind überwiegend die klassischen Wunden alten C-Codes: Heap- und Stack-Pufferüberläufe, Ganzzahlüberläufe und -unterläufe. Sie sitzen in den Teilen von FFmpeg, die nicht vertrauenswürdige Daten aufnehmen, darunter der MPEG-TS-Demuxer, der VP9-Decoder, mehrere RTP-Depacketizer, der swscale-Skalierer sowie die DASH- und AVI-Demuxer. Das sind genau die Bauteile, die eine Datei oder einen Netzwerkstrom vor allem anderen berühren.

Eine der Lücken steckte seit 2003 im Code. Ein Stack-Überlauf rund um eine Service-Description-Tabelle, jetzt als CVE-2026-39214 geführt, blieb 23 Jahre lang trotz unzähliger Code-Reviews und Audits unbemerkt. Die erste Kennungs-Serie von DepthFirst reicht von CVE-2026-39210 bis CVE-2026-39218, die übrigen Probleme sind behoben, aber noch nicht nummeriert. Dass eine Maschine in Tagen zutage förderte, was zwei Jahrzehnte menschlicher Augen übersahen, ist die unbequeme Schlagzeile für die Sicherheitsbranche.

Der FFmpeg-Fund kam in derselben Woche, in der Google Chrome 149 auslieferte, das mit 429 Schwachstellen einen Rekord für eine einzige Version behob. Über 100 galten als kritisch oder hoch, die meisten Use-after-free-Fehler und Fälle, in denen der Browser Eingaben vertraute, die er hätte prüfen müssen. Die schlimmste, CVE-2026-10881, ist ein Lese- und Schreibzugriff außerhalb der Grenzen in Chromes Grafikschicht ANGLE mit einem Schweregrad von 9,6 von 10. Eine präparierte Webseite könnte damit aus der Sandbox des Browsers ausbrechen und Code auf dem Rechner ausführen, und Google zahlte dem meldenden Forscher 97.000 Dollar.

Zwei Zahlen, 21 und 429, erzählen dieselbe Geschichte von entgegengesetzten Enden. Die Schwachstellenforschung industrialisiert sich. Ob der Finder ein KI-Agent oder ein gut finanziertes Bug-Bounty-Programm ist: Die Menge entdeckter Fehler steigt weit schneller als die Zahl der Menschen, die sie beheben können.

Diese Menge ist auch der Punkt, an dem der Hype auf die Realität trifft. KI-Fehlersuche hat ein Problem mit Fehlalarmen, denn ein Modell kann selbstbewusst eine Schwachstelle beschreiben, die gar nicht existiert, oder eine, die kein Angreifer je auslösen könnte. Als Anthropic verkündete, Claude Mythos habe Tausende Zero-Days über große Betriebssysteme und Browser hinweg gefunden, wiesen Kritiker darauf hin, dass die Schlagzeilenzahl auf einer weit kleineren Menge manuell geprüfter Fälle beruhte, und lasen die Ankündigung ebenso als Verkaufsargument wie als Forschungsergebnis. DepthFirst sagt, sein Agent sei genau dagegen gebaut, mit Leitplanken, die ihn daran hindern, die Bedingungen zu erfinden, die ein Fehler braucht, und mit der Vorgabe, dass jeder Fund mit einer Eingabe kommt, die nachweislich die Lücke erreicht. Der reproduzierbare Machbarkeitsnachweis trennt einen echten Bericht vom Rauschen.

Doch selbst geprüfte Fehler schaffen ein Problem. FFmpeg wird größtenteils von Freiwilligen gepflegt, und eine plötzliche Flut maschinell erzeugter Berichte, so genau sie auch sein mögen, verschiebt den Engpass vom Finden der Fehler hin zum Sichten und Patchen. Die Kosten der Entdeckung brechen ein, die Kosten der menschlichen Antwort nicht. Ein Werkzeug, das 21 gültige Fehler für 1.000 Dollar erzeugen kann, erzeugt sie auch schneller, als ein kleines Team sie verantwortungsvoll bewältigen kann.

Vorerst sind die FFmpeg-Lücken im Quellcode des Projekts behoben, die ausstehenden CVE-Nummern werden noch vergeben, und Chrome 149 wird in den kommenden Tagen automatisch an die Nutzer verteilt. DepthFirst hat durchblicken lassen, dass FFmpeg eine Demonstration war und kein Endpunkt, und dass weitere weit verbreitete Open-Source-Bibliotheken als Nächstes dieselbe Behandlung erhalten. Wenn das nächste Mal ein KI-Agent eine Million Zeilen Code liest, der still auf Milliarden Geräten läuft, ist die einzige echte Frage, wie schnell die Menschen auf der anderen Seite mithalten können.

Schlagwörter: Cybersicherheit

Mehr davon

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Eine KI hat einen funktionierenden Zero-Day-Exploit geschrieben — Google fing ihn ab

Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

GlassWorm nistete ein Jahr in VS-Code-Erweiterungen, bevor er abgeschaltet wurde

Wie sich Schadcode über die Lieferkette in vertrauenswürdige Software einschleicht

DeepSeek V4 ist fünfmal billiger als GPT-5 und läuft ohne Nvidia-Chips