AI 에이전트, FFmpeg에서 21개 제로데이 발견; Chrome, 사상 최대 429개 버그 수정
Source: The Hacker News
Swati KhandelwalJun 06, 2026Vulnerability / Endpoint Security
이번 주에 며칠 차이로 두 가지 사건이 발생했습니다. 한 보안 스타트업이 거의 모든 비디오 관련 소프트웨어에 포함된 미디어 라이브러리인 FFmpeg에서 21개의 이전에 알려지지 않은 취약점을 보고했으며, 이 모든 취약점은 자율 AI 에이전트에 의해 발견되었습니다.
같은 주에 구글은 Chrome 149를 출시했으며, 이번 릴리스에는 429개의 보안 버그가 포함된 패치가 적용되었습니다. 이는 한 번에 수정된 보안 버그 수 사상 최대치입니다.
AI에 의해 발견된 것은 FFmpeg 취약점뿐이었습니다. Chrome의 기록은 구글이 AI가 생성한 보고서가 급증함에 따라 현상금 프로그램을 전면 개편한 뒤에 나온 결과입니다. 메커니즘은 다르지만 압력은 동일합니다. AI가 더 많은 취약점을 담당자 앞에 빠르게 내놓고 있기 때문입니다.
FFmpeg 취약점은 depthfirst의 자율 보안 에이전트가 프로젝트의 약 150만 줄의 C 코드를 스캔해 21개의 확인된 제로데이(재현 가능한 PoC 입력 포함)를 찾아냈습니다.
이 작업 비용은 약 1,000달러 수준이라고 회사는 밝혔습니다. 몇몇 버그는 15~20년 동안 잠복해 있었으며, 서비스 설명 테이블 코드에서 발생한 스택 오버플로는 2003년부터 존재했으며 23년 동안 방치되었습니다.
대부분은 파서와 디멀티플렉서에서 발생하는 힙 또는 스택 오버플로이며, TS 디멀티플렉서부터 VP9 디코더까지 다양한 구성 요소에 걸쳐 있습니다. depthfirst는 이미 일부에 CVE 식별자를 부여했으며, 보고서에는 CVE‑2026‑39210부터 CVE‑2026‑39218까지 아홉 개가 나열되어 있고, 나머지는 수정됐지만 아직 번호가 매겨지지 않았다고 밝혔습니다. 또한 PoC를 공개했습니다.
별도 소식으로, Chrome 149는 429개의 취약점을 수정했으며 이는 단일 릴리스 사상 최대 기록입니다. 그 중 100개 이상가 심각하거나 높은 위험도이며, 대부분은 use‑after‑free와 입력 검증 부족 문제입니다.
가장 위험한 CVE‑2026‑10881(CVSS 9.6)은 ANGLE 그래픽 엔진에서 발생하는 경계 초과 읽기·쓰기 버그로, 조작된 페이지가 샌드박스를 탈출해 호스트에서 코드를 실행할 수 있게 합니다. 구글은 이 버그에 대해 97,000달러를 지급했습니다.
가장 높은 위험도의 버그는 대부분 내부에서 발견되었습니다. 약 90개의 고위험 버그 중 외부 연구원으로부터 온 것은 10개에 불과했으며, 22개의 치명적인 버그 중 19개는 구글 자체에서 발견되었습니다. AI와의 연관성은 저자보다는 양에 더 초점이 맞춰져 있습니다.
구글은 429개의 버그가 AI와 직접 연관됐다고 밝히지는 않았습니다. 공식적인 신호는 4월에 발표한 현상금 프로그램 개편이며, 이는 AI가 생성한 대량 제출물에 대응하기 위해 도입된 조치로, 이제 AI가 만든 장문의 보고서 대신 간결한 재현 코드를 요구하고 있습니다.
구글의 Big Sleep 에이전트는 작년에 FFmpeg 버그를 발견했으며, 현재 프로젝트의 보안 페이지에서 BIGSLEEP 태그로 확인할 수 있습니다. 또한 Anthropic의 Mythos 모델은 16년 된 H.264 결함과 기타 여러 취약점을 약 10,000달러에 찾아냈으며, 그 중 세 가지는 FFmpeg 8.1에 포함되었습니다. 자세한 내용은 자체 보고서를 참고하세요.
며칠 전, 또 다른 자율 도구가 Redis에서 인증된 원격 코드 실행(RCE)을 발견했으며, 이는 버전 7.2.0부터 존재했지만