AI-agent fant 21 nulldager i FFmpeg

En autonom sikkerhetsagent skal ha funnet 21 tidligere ukjente sårbarheter i FFmpeg, det åpne mediebiblioteket som ligger under store deler av video- og lydstakken på nettet.

Funnene kommer fra sikkerhetsselskapet depthfirst. Selskapet sier agenten analyserte rundt 1,5 millioner linjer C-kode i FFmpeg og leverte reproduserbare testfiler for hvert funn. Prisen for kjøringen oppgis til rundt 1.000 dollar.

Det gjør saken viktigere enn en vanlig CVE-runde. FFmpeg er ikke et nisjeverktøy. Det brukes i nettlesere, strømmetjenester, videokonvertering, mobilapper, overvåkingssystemer, redigeringsverktøy og interne medieprosesser i virksomheter. Når sårbarheter dukker opp der, blir eksponeringen bred.

Depthfirst beskriver funnene som konkrete nulldager, ikke bare teoretiske svakheter. Flere skal være heap- og stack-overflows i parsere og demuxere, altså kode som håndterer komplekse og ofte ubetrodde mediefiler. Selskapet oppgir at enkelte av feilene har ligget i kodebasen i 15 til 20 år. Ett eksempel skal gå tilbake til 2003.

The Hacker News omtaler samme funn og peker på at flere av sårbarhetene allerede har fått CVE-identifikatorer. Tenable har blant annet listet CVE-2026-39210, med beskrivelse av en heap buffer overflow i TS-demuxeren. Det gir ekstern støtte til at dette ikke bare er et markedsføringsnotat fra en leverandør.

Køen flytter seg fra funn til håndtering

Poenget er ikke at en AI-agent fant bugs. Det har vi sett flere ganger det siste året. Poenget er at kostnaden for å finne dem ser ut til å falle raskt, mens kostnaden for å verifisere, prioritere, patche og distribuere fortsatt ligger hos mennesker og driftsteam.

Det er en ubehagelig asymmetri for CISO-er og plattformeierne. Hvis autonome agenter kan produsere reproduserbare sårbarhetsfunn i store, herdede kodebaser for noen få tusenlapper, vil volumet av seriøse rapporter øke. Samtidig vil volumet av dårlige rapporter også øke.

FFmpeg-siden viser allerede spenningen. Prosjektets sikkerhetsside advarer om en økning i AI-genererte falske positiver og sier at automatiserte innsendinger ikke aksepteres. De ber om menneskelig verifisering, enkel testcase, stack trace, kildecommit og eventuell patch.

Det er et godt bilde på neste fase av AI-sikkerhet. Agentene blir bedre til å grave. Mottakerapparatet må bli bedre til å sortere.

Hvorfor dette treffer norske virksomheter

For norske ledere er dette en leverandør- og programvareforsyningssak, ikke bare en utviklernyhet.

FFmpeg er typisk programvare man ikke alltid vet at man bruker. Det kan ligge i en transkodingsjobb i skyen, i et kundesenteropptak, i et CMS, i et overvåkingskamera, i en mobilapp, i et produkt med videoopplasting eller i en tredjeparts SaaS. Det betyr at sårbarhetsresponsen ikke bare handler om egne servere.

CIO og CISO bør stille tre raske spørsmål:

• Hvor bruker vi FFmpeg direkte eller indirekte?
• Hvilke leverandører prosesserer mediefiler på våre vegne?
• Har vi en måte å få slike funn inn i SBOM, patching og risikoregister uten manuell jakt i Slack og e-post?

Det siste punktet er ofte svakest. Mange virksomheter har sårbarhetsstyring for operativsystemer, containere og standardpakker. Færre har god oversikt over medie- og parserbiblioteker som ligger inne i produkter og datarør.

AI-agentene gjør ikke den svakheten mindre viktig. De gjør den mer synlig.

Dette er også et signal til sikkerhetsmarkedet

Depthfirst selger en sikkerhetsplattform. Det må leses med normal kildekritikk. Samtidig er retningen plausibel og nå delvis verifiserbar gjennom omtale, CVE-lister og FFmpegs egen respons på AI-genererte sikkerhetsrapporter.

Markedet beveger seg fra «AI som hjelper en pentester» til «AI som kontinuerlig kjører målrettet analyse mot store kodebaser». Det vil påvirke både offensive og defensive team.

For leverandører betyr det at flere gamle feil blir funnet. For kunder betyr det at sikkerhetsevalueringer må handle mindre om fine policy-dokumenter og mer om faktisk responskapasitet:

• Hvor raskt kan leverandøren bekrefte om de er berørt?
• Har de oversikt over transitive avhengigheter?
• Kan de skille en reell AI-generert rapport fra støy?
• Har de patchvinduer som tåler økt volum?
• Kan de forklare risikoen uten å vente på full CVSS-modning?

Dette blir ekstra viktig i agentbaserte miljøer. En virksomhet som lar AI-agenter hente filer, lese vedlegg, analysere video eller prosessere multimodale data, utvider angrepsflaten. Parserfeil i grunnbiblioteker blir da en del av agentrisikoen.

Ikke kjøp automatikken blindt

Den operative lærdommen er ikke å slippe en tilfeldig agent løs på kodebasen og tro at problemet er løst. FFmpeg-prosjektets advarsel om falske positiver er verdt å merke seg. Sikkerhetsmiljøer drukner allerede i rapporter som mangler reproduksjon, reachability og praktisk konsekvens.

Den modne bruken av slike verktøy bør være smalere:

• prioriter kritiske parserflater, filopplasting og kode som håndterer ubetrodd input
• krev reproduserbar proof-of-concept før funn går inn i patchkøen
• logg hvilke modeller og verktøy som har kjørt analysen
• hold menneskelig review på sikkerhetsfunn med høy konsekvens
• koble funnene mot SBOM og leverandørstyring, ikke bare GitHub-issues

Det er her styringsverdien ligger. AI-agenten kan øke funnraten. Den kan ikke alene avgjøre forretningens eksponering, nedetid, kundevarsel eller juridisk risiko.

En tidlig test på ny patchøkonomi

Hvis depthfirsts tall står seg, er dette et tidlig eksempel på ny patchøkonomi: billigere funn, dyrere prioritering.

For styret betyr det at «vi scanner kode» ikke lenger er et tilfredsstillende svar. Det relevante spørsmålet er hvor raskt virksomheten kan gå fra funn til lukket risiko, og hvor mye av verdikjeden som faktisk er synlig.

For CISO betyr det at sårbarhetsstyring må håndtere to køer samtidig. Den ene er reelle funn som bør patches raskt. Den andre er AI-generert støy som må avvises uten å sluke teamet.

For CIO betyr det at teknisk gjeld i avhengigheter blir mer målbar. Gamle parserbiblioteker og uoversiktlige medieprosesser er ikke bare «biblioteker nede i stacken». De er innganger for automatisert sikkerhetsanalyse, både fra forsvarere og angripere.

FFmpeg-saken er derfor ikke bare interessant fordi en agent fant 21 feil. Den er interessant fordi den viser hvor sikkerhetsarbeidet er på vei: mot langt mer maskindrevet oppdagelse, og langt hardere krav til menneskelig prioritering.

Kilder og medier

Primærkilde: depthfirst, «21 Zero-Days in FFmpeg», https://depthfirst.com/research/21-zero-days-in-ffmpeg

Ekstern omtale: The Hacker News, «AI Agent Uncovers 21 Zero-Days in FFmpeg», https://thehackernews.com/2026/06/ai-agent-uncovers-21-zero-days-in.html

Prosjektkilde: FFmpeg Security, https://www.ffmpeg.org/security.html

CVE-referanse: Tenable, CVE-2026-39210, https://www.tenable.com/cve/CVE-2026-39210

Thumbnail: OpenAI Image 2 / hogby.ai