Googleが2度確認しました。Anthropicも確認しました。FFmpegのオープンソースコミュニティが23年間、数十万回チェックしました。それでも誰も見つけられませんでした。

AIセキュリティエージェントが$1,000の計算コストで2日間で発見しました。21個すべてを。

3秒まとめ
AIエージェント$1K投入 1.5Mライン分析 21個のゼロデイ発見 発見コスト崩壊 パッチが新たなボトルネック

一般的な見方: AI=ハッキングツール

サイバーセキュリティのニュースを見ると、ほとんどが一方向です。AIを使ったスピアフィッシング、AIが生成したマルウェア、AIによるソーシャルエンジニアリング。2026年5月11日、GoogleのThreat Intelligence Groupは、実際のサイバー攻撃でAIが開発したゼロデイエクスプロイトが使用されたことを初めて確認しました。 AIがセキュリティ脅威の主役というフレームが定着しつつありました。

企業のセキュリティチームも同じ見方をしています。AIエージェントが内部システムに誤ってアクセスしたり、攻撃者に乗っ取られたりすることへの懸念が最大の課題の一つです。その視点自体は間違っていません。

この記事の前提

AIが攻撃ツールにも防御ツールにも使えるのが現実です。攻撃方向はすでに多く語られているので、今日は防御方向を一緒に見てみましょう。

でも数字は逆を示しています

2026年6月、セキュリティスタートアップdepthfirstが公開した結果が業界を驚かせました。自律AIエージェントをFFmpegのコードベースに投入したところ、$1,000という計算コストで21個のゼロデイを発見したのです。 FFmpegは世界で最も広く使われるメディア処理ライブラリです。YouTubeNetflix・Zoom・VLCが利用しており、動画アップロードや変換機能があるアプリならおそらく使っています。

21個
発見されたゼロデイ
$1,000
総計算コスト
23年
最古のバグの年齢
1.5M行
分析したCコード

比較すると、AnthropicがMythosモデルで同程度の範囲を研究した際のコストは約$10,000でした。depthfirstはその10分の1です。 WordPress脆弱性発見に特化したAIパイプラインは1件あたり$20程度という報告もあります。 これがAI脆弱性発見の新しい価格下限になりつつあります。

depthfirstだけではありません。GoogleのBig Sleep、AISLE、TrendAIのÆSIR — すでに複数のAIシステムがプロダクションソフトウェアでCVE級の脆弱性を独立して発見しています。 自律的な脆弱性発見が研究段階から商用能力へと移行しています。

23年間生き残った方法と、AIが見つけた方法

最も衝撃的な発見はCVE-2026-39214です。FFmpegのサービスディスクリプションテーブル(SDT)パーサーのスタックバッファオーバーフロー — 2003年にコードに導入され、23年間、無数のコードレビューとファジングテストをくぐり抜けました。

最も深刻なのはDFVULN-127です。AV1 RTPデパケタイザーのヒープバッファオーバーフローで、攻撃者は183バイトのパケット1つで認証なしにリモートコード実行(RCE)を達成できます。被害者がffmpeg -i rtsp://攻撃者サーバー/streamを実行するだけです。

AIエージェントがこれを見つけた方法も注目に値します。単純な静的解析ではなく、脅威モデリング → 攻撃面識別 → データフロー追跡 → 再現可能なPoC生成を順番に実行しました。すべての発見に漠然とした警告ではなく実際に動作するPoC入力値が付いていることが重要です。

従来のセキュリティ監査AI自律エージェント
コスト6桁ドルのコンサルティング$1,000〜$10,000
期間数ヶ月数日〜数週間
分析範囲選択的なコードパス全体1.5M+行
PoC生成任意、手動すべての発見に自動生成
並列仮説検証不可複数同時進行

本当の問題は発見よりパッチが遅いことです

ここに別の逆転があります。発見が安くなること自体は問題ではありません。防御者にとっても機会です。本当の問題は発見速度が速くなったのにパッチ適用速度が変わらないことです。

脆弱性発見が安くなれば攻撃者にとっても安くなります。6桁ドルのコンサルティングやAPTグループの1年分の時間が必要だったリサーチが、商用AIツールと週末の時間でできるようになりました。 攻撃者はAIの発見結果を数時間で武器化できますが、エンタープライズのパッチサイクルはまだ平均60日です。

CSA(Cloud Security Alliance)はこれを「逆転したボトルネック(Inverted Bottleneck)」と呼んでいます。発見はもはや制約ではありません — トリアージ、パッチ適用、デプロイ、再テストが今のボトルネックです。

危険度: ネットワークからアクセス可能なFFmpeg

外部URLを受け取ってFFmpegで処理するサービス(アップロード機能、ストリーム変換、ポッドキャスト処理など)は今すぐ影響範囲を確認してください。DFVULN-127は認証なしのリモートコード実行が可能なレベルです。

FFmpegを使うチームが今すぐすべきこと

  1. 全数調査: FFmpegはどこに隠れているか
    システムパッケージだけでなく、アプリディレクトリ、コンテナイメージ、Pythonホイール、Electronバンドルも確認してください。バージョン文字列だけでは不十分です — ビルド設定とランタイムパスも検証が必要です。
  2. リーチャビリティ確認: 外部入力が届くか
    外部URLを受け取って処理するパスが最優先です。公開アップロードサービス、RTSP/RTMPストリーム処理、ライブインジェスト、CCTVフィードが該当します。内部アセットのみ処理する場合はリスクが低くなります。
  3. サンドボックス: メディア処理ワーカーの分離
    FFmpegワーカーを非rootで実行し、読み取り専用ファイルシステム、ネットワークイグレス制限、プロトコル許可リストが適用された隔離コンテナで実行してください。シークレットをコンテナ内にハードコードしないでください。
  4. URL制御: 外部リソースの制限
    FFmpegが外部ネットワークリソースを取得する必要がある場合、プライベートIPブロック・DNSポリシー強制・リダイレクト制限・ファイルサイズ上限を適用した制御ダウンローダーを前に置いてください。
  5. パッチ購読: リリース追跡サイクルの短縮
    CVE-2026-39210〜39218はすでにアップストリームで修正されています。FFmpegの公式セキュリティチャンネルを購読し、パッチ適用サイクルを60日から2週間以下に短縮する計画が必要です。

もっと詳しく知りたい方へ

21 Zero-Days in FFmpeg depthfirst原本研究 — 21個の脆弱性全リスト、CVE番号、DFVULN追跡ID、PoC詳細 depthfirst.com

AI Agent Finds 21 FFmpeg Zero-Days, What Defenders Should Do Next 防御者向け実践ガイド — リーチャビリティトリアージ、サンドボックスアーキテクチャ、即時適用アクションプラン penligent.ai

CSA Research Note: AI Autonomous Vulnerability Discovery Economics AI脆弱性発見の経済分析 — コストベンチマーク、逆転したボトルネック概念 labs.cloudsecurityalliance.org

An AI agent found 21 zero-days in FFmpeg for $1,000 The Next Web報道 — 業界への影響、Chrome 149の429パッチとの比較 thenextweb.com

Autonomous AI Vulnerability Discovery Is No Longer a Research Demo 自律脆弱性発見の現状 — Google Big Sleep、AISLE、TrendAI ÆSIRの比較 techgines.com

AI Agent Finds 21 FFmpeg Zero-Days Including Unauthenticated RCE 技術詳細 — DFVULN-127 RCEメカニズムと脆弱性クラスの分類 dailysecurityreview.com