2026 年 6 月,安全初创公司 depthfirst 发布了一项引发业界广泛关注的研究成果:其自主安全代理在 FFmpeg 多媒体框架中发现了 21 个零日漏洞,其中 9 个已获得 CVE 编号(CVE-2026-39210 至 CVE-2026-39218)。更令人震惊的是,整个审计过程仅花费约 1,000 美元,而最古老的漏洞竟可追溯至 2003 年,在代码库中潜伏了整整 23 年之久。
FFmpeg 作为全球部署最广泛的多媒体处理库之一,拥有约 150 万行高度优化的 C 代码,支撑着从浏览器到流媒体平台的各类应用。如此重要的基础设施组件,在经历了 Google、Anthropic 等顶尖团队的 AI 安全扫描以及长达二十余年的传统 fuzzing 和人工审计后,仍能被发现大量零日漏洞,这深刻揭示了大型 C 代码库安全审计的复杂性与传统方法的局限性。
漏洞模式分类与分布特征
对这 21 个漏洞进行系统分析后,可以归纳为以下几类典型模式:
堆缓冲区溢出(Heap Buffer Overflow) 占比最高,涉及 TS 解复用器、YUV4MPEG 编码器、DASH 解复用器等多个组件。以 CVE-2026-39210 为例,该漏洞存在于 TS 解复用器中,由于在读取两个字节前未进行长度边界检查,导致攻击者可构造恶意媒体文件触发堆溢出。类似地,CVE-2026-39213 在 YUV4MPEG 原始视频输入路径中未验证尺寸与数据包大小的匹配关系,同样造成堆溢出风险。
栈缓冲区溢出(Stack Buffer Overflow) 虽然数量较少但危害严重。CVE-2026-39212 是一个 2025 年 7 月引入的回归缺陷,在 ffmpeg_opt.c 中,预设文件可触发无深度限制的递归选项解析。而 CVE-2026-39214 则是一个 "化石级" 漏洞,自 2003 年 SDT(服务描述表)实现时引入,在写入服务条目时未跟踪剩余空间,导致栈缓冲区溢出。
整数溢出与下溢(Integer Overflow/Underflow) 构成了另一类高危模式。CVE-2026-39211 源于 2010 年 swscale 重构期间引入的尺寸因子公式,该公式未设置上限,允许用户控制参数触发任意大尺寸缩放计算。DFVULN-120 则展示了整数下溢的危害:在 AVI 解复用器中,ff_read_riff_info() 函数执行 size - 4 操作时未验证 size >= 4,当 LIST 块大小为 0 时,下溢产生约 4GB 的虚假大小值,可触发约 2GB 的内存分配,形成拒绝服务攻击向量。
逻辑错误导致的越界访问 同样值得关注。DFVULN-127 是 AV1 RTP 解包器中的典型案例:当跳过 Temporal Delimiter OBU 时,代码将输出写入位置 pktpos 前进了 obu_size,但未分配相应内存,导致后续 OBU 被写入缓冲区边界之外。这种 "幽灵前进" 模式的漏洞具有极强的隐蔽性,传统静态分析工具难以捕捉。
安全审计方法论:从威胁建模到 PoC 生成
depthfirst 的安全代理与传统编码代理存在本质区别。编码代理以交互方式响应人类指令,目标是生成可用代码;而安全代理的核心目标是发现可利用的安全问题,其工作流程呈现以下特征:
威胁建模驱动的攻击面识别 是审计的起点。代理首先分析代码库架构,识别暴露的解析器和协议处理器,绘制攻击者可控输入进入系统的路径图。这种基于数据流的分析方法,相比将代码库视为扁平文件集合的传统方式,能够更精准地定位高风险区域。
假设验证与路径可达性分析 是避免误报的关键。代理并行测试多种假设,追踪执行路径,验证攻击者是否控制正确的输入,以及数据流是否实际到达脆弱点。这种 "验证优先" 的审计哲学,确保每个报告的问题都具备实际可利用性,而非停留在理论层面。
自动化 PoC 生成 是 depthfirst 方法论的突出特点。以 DFVULN-127 为例,代理不仅定位了 AV1 RTP 解包器中的堆溢出漏洞,还构造了仅需 183 字节的 RCE 利用原语。该 PoC 利用 FFmpeg 的内存分配特性 ——av_buffer_alloc 会按 64 字节对齐分配数据缓冲区、AVBuffer 结构体和 AVBufferRef—— 通过精确计算溢出偏移量(目标 AVBuffer.free 函数指针位于数据缓冲区起始偏移 152 字节处),实现了指令指针控制。
这种 "发现即验证" 的审计模式,将漏洞研究的成本从传统的人工分析(通常需要数万美元)降低至约 1,000 美元,同时保持了高可信度。
Fuzzing 策略优化:从盲目变异到定向智能
FFmpeg 的 21 个零日漏洞发现事件,对传统 fuzzing 策略提出了深刻反思。尽管 FFmpeg 已持续接受 fuzzing 超过二十年,但仍有大量漏洞长期潜伏,这揭示了传统方法的几个根本性局限:
覆盖率导向的盲目性 是传统 fuzzing 的核心问题。现有工具如 AFL、libFuzzer 主要依赖代码覆盖率反馈指导变异,但对于需要特定上下文条件才能触发的漏洞(如 DFVULN-127 中需要特定 OBU 类型组合才能触发的 "幽灵前进"),随机变异难以构造有效的测试用例。
语义感知的缺失 限制了 fuzzer 的深度探索能力。多媒体格式具有复杂的层次结构和状态机特性,传统 fuzzer 缺乏对格式语义的感知,难以生成语法有效但语义异常的输入。相比之下,AI 代理能够理解 AV1 RTP 的 OBU 结构、Temporal Delimiter 的语义角色,从而构造出既符合协议规范又能触发漏洞的精确输入。
漏洞利用链的构建 是 AI 辅助 fuzzing 的另一优势。以 DFVULN-127 的 RCE 利用为例,需要协调三个关键环节:通过 Temporal Delimiter 跳过污染写入指针、构造伪造 OBU 控制溢出内容、触发 av_buffer_realloc 释放被污染的缓冲区。这种多步骤的利用链构建,超出了传统 fuzzer 的能力范围。
针对这些局限,可落地的 fuzzing 策略优化方向包括:
- 结构化变异:基于格式规范(如 RTP/AV1 的 OBU 结构)设计变异策略,而非字节级随机变异
- 状态机引导:针对协议状态机设计测试序列,覆盖状态转换边界
- 污点分析集成:结合静态污点分析识别关键数据流,指导 fuzzer 聚焦高风险路径
- 内存布局感知:利用目标分配器的内存布局特性(如 FFmpeg 的 64 字节对齐),提高利用原语的构造效率
可落地的防御参数与监控清单
面对 AI 驱动的漏洞发现能力,防御方需要建立系统性的响应机制:
版本管理与补丁策略
- 建立 FFmpeg 版本清单,覆盖所有部署场景(包括嵌入式使用和容器镜像)
- 监控 CVE-2026-39210 至 CVE-2026-39218 及相关补丁状态
- 优先升级网络暴露的 FFmpeg 实例(RTSP/RTP 解析器、DASH/TS 解复用器)
输入验证与沙箱隔离
- 对媒体处理管道实施输入验证,限制文件大小、分辨率、帧率等参数
- 在容器或 seccomp 沙箱中运行 FFmpeg,限制系统调用面
- 对网络来源的媒体流(RTSP、RTP)实施额外的身份验证和来源验证
运行时监控与异常检测
- 启用安全日志记录,监控异常输入、畸形流和崩溃信号
- 监控媒体作业失败率和容器重启频率的异常波动,可能表明探测或利用尝试
- 配置内存安全检测工具(如 AddressSanitizer)在测试环境中运行
供应链安全
- 审查依赖 FFmpeg 的第三方组件和容器镜像
- 使用 SCA(软件成分分析)工具识别易受攻击的 FFmpeg 版本
- 建立漏洞响应流程,确保在 CVE 发布后 72 小时内评估影响
结语
FFmpeg 21 个零日漏洞的发现,标志着 AI 驱动安全审计进入新阶段。当 1,000 美元的成本就能发现 21 个潜伏数十年的漏洞时,传统漏洞研究的经济学正在被重写。对于防御者而言,这意味着需要建立更敏捷的漏洞响应能力、更严格的输入验证机制,以及更深度的运行时监控。对于安全社区而言,这也提出了新的挑战:当 AI 能够以低成本大规模生成漏洞 PoC 时,现有的 CVE 编号系统和披露流程是否具备相应的处理能力?
资料来源
- depthfirst: "21 Zero-Days in FFmpeg" (2026-06-02)
- OffSeq Threat Radar: "depthfirst's AI agent found 21 FFmpeg zero-days" (2026-06-07)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。