Agen AI Temukan 21 Celah Zero-Day di FFmpeg, Biayanya Cuma Rp16 Juta

CLB.my.id - Sebuah agen keamanan otonom dari perusahaan Depthfirst berhasil menemukan 21 kerentanan zero-day di FFmpeg, software pemrosesan audio dan video open source yang dipakai jutaan aplikasi di seluruh dunia. Yang mengejutkan, seluruh proses penemuan hanya memakan biaya sekitar US$1.000 atau sekitar Rp16 juta.

Temuan ini menggarisbawahi perubahan besar dalam lanskap keamanan siber. Agen AI kini mampu menemukan celah kritis dalam kode C berukuran 1,5 juta baris dalam waktu berjam-jam, bukan berbulan-bulan seperti yang dilakukan peneliti keamanan manusia.

Detail Teknis Penemuan

Agen keamanan Depthfirst menganalisis seluruh basis kode FFmpeg dan menemukan 21 kerentanan yang sebelumnya tidak diketahui. Setiap temuan dilengkapi dengan bukti konsep (proof-of-concept) yang dapat direproduksi, bukan sekadar peringatan analisis statis yang bisa jadi false positive.

Kerentanan yang ditemukan mencakup berbagai jenis masalah keamanan memori. Ada heap buffer overflow, stack buffer overflow, integer overflow, heap underflow, jalur indeks negatif, perhitungan panjang yang tidak terbatas, dan inkonsistensi status parser. Sembilan di antaranya sudah mendapat identifikasi CVE resmi, yaitu CVE-2026-39210 hingga CVE-2026-39218.

Beberapa temuan paling kritis meliputi celah di TS demuxer yang bisa dieksploitasi melalui file MPEG-TS, integer overflow di modul swscale yang bisa dipicu oleh dimensi yang dikontrol pengguna, dan heap buffer overflow di VP9 decoder yang berpotensi terpicu melalui pemutaran video normal.

Mengapa FFmpeg Jadi Target Penting?

FFmpeg bukan sekadar software biasa. Ini adalah fondasi pemrosesan media yang dipakai di balik formulir upload, API transcoding, livestream, integrasi kamera, pipeline periklanan, browser, aplikasi desktop, dan perangkat embedded. Satu bug parsing di FFmpeg bisa menyebar ke vendor appliance, lapisan Docker, pekerjaan preprocessing machine learning, build aplikasi mobile, hingga aplikasi desktop lama.

Alasan FFmpeg terus menghasilkan bug adalah sifat parsing media yang sangat kompleks. Format media memiliki nested length-prefixed fields, aritmatika integer, dan kode kompatibilitas lama. Bahasa C memberikan performa tinggi tetapi menyerahkan manajemen batas ke developer. Kesalahan asumsi kecil bisa berujung pada korupsi memori yang kritis.

Chrome 149: Sinyal Tekanan Terpisah

Dalam minggu yang sama, Google merilis Chrome 149 dengan 429 perbaikan keamanan. Namun, penting untuk dicatat bahwa Google tidak mengklaim semua perbaikan itu ditemukan oleh AI. Kaitan dengan AI adalah soal volume dan tekanan pada maintainer, bukan klaim bahwa AI yang menemukan semuanya.

Perbedaan ini penting. Menggabungkan fakta “AI menemukan 21 zero-day FFmpeg” dengan “Chrome memperbaiki 429 bug” menjadi “AI menemukan ratusan bug browser” adalah klaim yang tidak akurat kecuali vendor secara eksplisit menyatakannya.

Respons FFmpeg dan Dampak untuk Developer

Halaman keamanan FFmpeg sekarang memperingatkan tentang lonjakan false positive yang dihasilkan AI dan menyatakan bahwa submission otomatis tidak diterima. FFmpeg meminta pelapor untuk menyediakan verifikasi manusia, testcase yang dapat direproduksi, command line, identifier sumber, stack trace dengan nomor baris, analisis, commit yang memperkenalkan bug, skrip yang menghasilkan input, dan patch yang diusulkan.

Bagi developer dan perusahaan di Indonesia yang menggunakan FFmpeg dalam produk mereka, baik itu platform streaming, aplikasi editing video, atau layanan transcoding, langkah pertama adalah menginventarisasi semua salinan FFmpeg di infrastruktur. FFmpeg sering kali hadir bukan hanya sebagai binary tunggal, tetapi juga ter-embed di dalam library, container Docker, dan dependency Python.

Era Baru Penemuan Kerentanan

Temuan Depthfirst menandai era baru di mana penemuan kerentanan menjadi jauh lebih murah dan cepat. Biaya US$1.000 untuk menemukan 21 zero-day di kode sebesar 1,5 juta baris adalah lompatan efisiensi yang luar biasa dibandingkan tim peneliti keamanan manusia yang memerlukan waktu berbulan-bulan.

Namun, penemuan hanyalah satu sisi dari persamaan. Beban operasional kini bergeser ke triase, distribusi patch, pelacakan dependensi, validasi exploitability, dan pengujian ulang. Maintainer open source membutuhkan laporan berkualitas tinggi, bukan noise yang dihasilkan AI. Perusahaan harus memperlakukan parser media sebagai komponen berisiko tinggi dan menuntut SBOM yang lebih baik, transparansi vendor, dan kontrol isolasi yang memadai.***