Dos cosas aterrizaron con unos días de diferencia esta semana. Una startup de seguridad informó de 21 vulnerabilidades previamente desconocidas en FFmpeg, la biblioteca multimedia que se encuentra dentro de casi todo lo relacionado con el vídeo, todas ellas encontradas por un agente autónomo de IA.
La misma semana, Google envió Chrome 149 con parches para 429 errores de seguridad, la mayor cantidad jamás realizada en una sola versión.
La IA solo encontró los errores de FFmpeg. El récord de Chrome llegó después de que Google revisara su programa de recompensas para hacer frente a una avalancha de informes generados por IA. Los mecanismos difieren, pero la presión es la misma: la IA está poniendo más vulnerabilidades ante las personas que tienen que lidiar con ellas, y más rápido que antes.
Los hallazgos de FFmpeg provienen de Depthfirst, cuyo agente de seguridad autónomo escaneó aproximadamente 1,5 millones de líneas de C del proyecto y produjo 21 días cero confirmados, cada uno con una entrada de prueba de concepto reproducible.
La empresa calcula el coste de la ejecución en unos 1.000 dólares. Varios de los errores habían estado latentes durante 15 a 20 años; un desbordamiento de pila en el código de la tabla de descripción de servicios data de 2003 y permaneció intacto durante 23 años.
La mayoría son desbordamientos de pila o montón en analizadores y demuxers, que abarcan componentes desde el demuxer TS hasta el decodificador VP9. Depthfirst dice que algunos ya llevan identificadores CVE; su informe enumera nueve, CVE-2026-39210 a CVE-2026-39218, y señala que el resto están arreglados pero aún no numerados. También publicó una prueba de concepto.
En noticias separadas, Chrome 149 corrige 429 vulnerabilidades, un récord para una sola versión. Más de 100 son críticos o de alta gravedad, en su mayoría de uso después de la liberación y validación de entrada insuficiente.
Lo peor, CVE-2026-10881 (CVSS 9.6), es una lectura y escritura fuera de límites en el motor gráfico ANGLE que permite que una página diseñada escape del entorno limitado y ejecute código en el host. Google pagó 97.000 dólares por él.
Los errores de mayor gravedad fueron en su mayoría hallazgos internos: de aproximadamente 90 errores de alta gravedad, sólo 10 provinieron de investigadores externos y 19 de los 22 críticos fueron del propio Google. La conexión con la IA tiene más que ver con el volumen que con la autoría.
Google no ha vinculado el 429 a la IA; la señal registrada es la revisión de recompensas que realizó en abril, impulsada por una avalancha de presentaciones generadas por IA y que ahora pide un reproductor conciso de los largos informes que produce la IA.
El agente Big Sleep de Google informó una serie de errores de FFmpeg el año pasado, ahora visibles en la página de seguridad del proyecto etiquetada como BIGSLEEP, y el modelo Mythos de Anthropic eliminó una falla H.264 de 16 años y otras de FFmpeg por alrededor de $10,000, tres de los cuales se enviaron en FFmpeg 8.1, según su propio artículo.
Hace días, otra herramienta autónoma encontró un RCE autenticado en Redis que había estado presente desde la versión 7.2.0, desapercibido durante más de dos años. La investigación apunta en la misma dirección: en un estudio de febrero, un agente reprodujo PoC en funcionamiento para más de la mitad de 100 errores reales del kernel de Linux de N días, superando la confusión.
Para FFmpeg, extraiga la compilación ascendente fija o la actualización de seguridad de su distribución tan pronto como llegue, y priorice cualquier cosa que ingiera RTSP o AV1-over-RTP que no sea de confianza. FFmpeg se incluye ampliamente en canalizaciones de medios, ruedas de Python, imágenes de contenedores y dispositivos, por lo que no se detenga en los paquetes del sistema; esas copias incrustadas también necesitan parches.
Para Chrome, actualice a 149.0.7827.53 en Linux o 149.0.7827.53/54 en Windows y macOS, o confirme que se haya ejecutado la actualización automática.
La respuesta tiene que adaptarse al nuevo ritmo: ciclos de parches más cortos, actualización automática dondequiera que exista y aumentos de dependencia que conllevan correcciones CVE tratadas como trabajo de seguridad, no como mantenimiento de rutina.
Sin embargo, lo difícil es cambiar. Encontrar estos errores se ha vuelto barato; clasificar los informes, enviar las correcciones e instalarlas no lo ha hecho, y gran parte de ese trabajo aún recae en voluntarios y una delgada capa de evaluadores humanos que ahora se espera que sigan el ritmo de las máquinas.