top of page
Tìm kiếm

AI tăng tốc săn lỗ hổng: FFmpeg dính 21 zero-day, Chrome vá lỗi kỷ lục

Thế giới an toàn thông tin vừa trải qua một tuần đầy biến động với hai sự kiện lớn diễn ra gần như cùng lúc. Đầu tiên, một công ty bảo mật công nghệ đã tìm ra 21 lỗ hổng nghiêm trọng chưa từng được biết đến trong FFmpeg – thư viện xử lý hình ảnh và video cốt lõi của hầu hết các nền tảng hiện nay. Điều đáng nói là toàn bộ các lỗi này đều do một trợ lý trí tuệ nhân tạo (AI agent) tự động quét và phát hiện.

Ngay sau đó, Google cũng gây bất ngờ khi phát hành phiên bản Chrome 149, đi kèm gói vá lỗi lên tới 429 lỗ hổng bảo mật - con số kỷ lục lớn nhất từ trước đến nay trong một lần cập nhật.

Trí tuệ nhân tạo vạch lá tìm sâu trong thư viện video FFmpeg

Lỗ hổng được phát hiện lần này nằm trong FFmpeg, công cụ xử lý đa phương tiện nền tảng được tích hợp trong gần như mọi phần mềm hoặc hệ thống có xem và truyền tải video. Công ty khởi nghiệp bảo mật depthfirst đã cho một AI agent tự động rà soát khoảng 1,5 triệu dòng mã nguồn C của dự án này.

Kết quả trả về vô cùng ấn tượng: AI đã tìm ra 21 lỗ hổng zero-day (những lỗi nghiêm trọng chưa từng được công bố công khai) và đều đi kèm tài liệu chứng minh lỗ hổng có thể bị khai thác trên thực tế (Proof-of-Concept - PoC). Đáng chú ý, chi phí vận hành cho đợt quét bằng AI này chỉ vỏn vẹn khoảng 1.000 USD.

AI tìm ra tới 21 lỗ hổng zero-day trong thư viện video FFmpeg
AI tìm ra tới 21 lỗ hổng zero-day trong thư viện video FFmpeg

Nghiên cứu cho thấy nhiều lỗi trong số này đã "ẩn mình" suốt hàng thập kỷ mà các phương pháp kiểm tra thông thường của con người bỏ sót:

  • Nhiều lỗi đã tồn tại âm thầm từ 15 đến 20 năm.

  • Đặc biệt, có một lỗi nghiêm trọng liên quan đến bộ nhớ (tràn ngăn xếp) trong phần mã xử lý bảng mô tả dịch vụ đã tồn tại từ năm 2003, tức là "nằm vùng" suốt 23 năm mà không ai hay biết.

Về mặt kỹ thuật, phần lớn các lỗi này thuộc nhóm lỗi xử lý bộ nhớ (tràn bộ nhớ heap hoặc tràn ngăn xếp), phân bổ rải rác từ bộ phân tích dữ liệu hệ thống (TS demuxer) cho đến bộ giải mã video VP9. Hiện tại, một số lỗi đã được cấp mã định danh quốc tế (từ CVE-2026-39210 đến CVE-2026-39218), số còn lại đã được đội ngũ phát triển sửa chữa kịp thời dù chưa kịp gắn mã.

Chrome 149 và đợt vá lỗi lớn chưa từng có trong lịch sử

Cùng thời điểm đó, Google đã tung ra phiên bản Chrome 149 để xử lý dứt điểm 429 lỗi bảo mật. Trong số này, có hơn 100 lỗi được xếp vào nhóm nguy hiểm và đặc biệt nghiêm trọng, chủ yếu là lỗi sử dụng bộ nhớ sai cách sau khi giải phóng (use-after-free) và lỗi kiểm soát dữ liệu đầu vào không nghiêm ngặt.

  • Lỗ hổng nguy hiểm nhất: Mã số CVE-2026-10881 với điểm số nguy hiểm suýt soát tuyệt đối là 9.6. Đây là lỗi đọc/ghi dữ liệu vượt quá phạm vi vùng nhớ cho phép trong công cụ đồ họa ANGLE. Nếu tin tặc lợi dụng lỗi này bằng một trang web độc hại, chúng có thể phá vỡ cơ chế phòng vệ an toàn (sandbox) của Chrome để trực tiếp can thiệp và chạy mã độc trên máy tính của người dùng. Google đã phải chi tới 97.000 USD để phần thưởng cho người phát hiện ra lỗi này.

  • Ai đã tìm ra các lỗi này? Khác với FFmpeg, phần lớn các lỗi nghiêm trọng của Chrome đều do chính đội ngũ nội bộ của Google tự rà soát và phát hiện (chiếm 19 trên 22 lỗi đặc biệt nguy hiểm, và các chuyên gia bên ngoài chỉ đóng góp 10 lỗi trong tổng số khoảng 90 lỗi ở mức độ cao).

Dù Google không trực tiếp tuyên bố con số kỷ lục 429 lỗi này có sự can thiệp từ AI hay không, nhưng giới chuyên gia đã nhìn thấy mối liên hệ rõ ràng. Vào tháng Tư trước đó, Google đã phải cải tổ lại toàn bộ chương trình săn lỗi nhận thưởng của mình để đối phó với làn sóng báo cáo lỗi hàng loạt do AI tạo ra. Quy định mới buộc người báo cáo phải đưa ra các bước tái hiện lỗi ngắn gọn, súc tích, thay vì những bài mô tả dài dòng, rập khuôn mà AI dễ dàng tạo ra hàng loạt.

Xu hướng AI hóa trong việc tìm kiếm lỗ hổng bảo mật

Việc AI tham gia vào cuộc đua bảo mật không còn là chuyện tương lai mà đang diễn ra vô cùng mạnh mẽ thông qua hàng loạt minh chứng:

  • Trước đây, công cụ AI mang tên Big Sleep của Google cũng từng chỉ ra hàng loạt lỗi trong FFmpeg (được đánh dấu nhãn BIGSLEEP trên trang bảo mật của dự án).

  • Mô hình trí tuệ nhân tạo Mythos của Anthropic cũng từng tìm ra lỗi bảo mật có tuổi đời 16 năm trong bộ giải mã H.264 cùng một số lỗi khác của FFmpeg với chi phí vận hành khoảng 10.000 USD (3 trong số đó đã được vá trong bản FFmpeg 8.1).

  • Mới đây, một công cụ tự động khác cũng quét ra lỗi thực thi mã từ xa (RCE) có xác thực trong hệ thống cơ sở dữ liệu Redis, một lỗi đã tồn tại từ phiên bản 7.2.0 và ẩn nấp hơn hai năm qua.

AI đang ngày càng tham gia mạnh mẽ vào cuộc đua bảo mật
AI đang ngày càng tham gia mạnh mẽ vào cuộc đua bảo mật

Một nghiên cứu được công bố vào tháng Hai cho thấy sức mạnh đáng nể của công nghệ mới: Một AI agent có thể tự thiết lập cách thức khai thác thành công cho hơn một nửa trong số 100 lỗi bảo mật thực tế của hệ điều hành Linux (Linux kernel N-day), đạt hiệu suất vượt trội so với các phương pháp kiểm tra tự động truyền thống (fuzzing).

Người dùng và quản trị viên hệ thống cần làm gì?

Trước làn sóng phát hiện lỗi với tốc độ chóng mặt này, người dùng lẫn các kỹ sư hệ thống cần chủ động thực hiện ngay các biện pháp bảo vệ:

  • Đối với FFmpeg: Cần cập nhật ngay lập tức lên bản dựng mới nhất đã được sửa lỗi từ nguồn cấp chính thức hoặc từ bản phân phối hệ điều hành đang dùng. Các hệ thống thường xuyên xử lý luồng dữ liệu truyền tải không đáng tin cậy như RTSP hoặc AV1-over-RTP cần được ưu tiên xử lý trước. Hãy lưu ý rằng FFmpeg thường ẩn nấp rất kỹ trong các gói thư viện Python (Python wheel), các gói ảo hóa (container image) hoặc các thiết bị phần cứng chuyên dụng, do đó cần rà soát và vá lỗi toàn diện thay vì chỉ cập nhật các gói phần mềm trên hệ điều hành.

  • Đối với Google Chrome: Tiến hành cập nhật lên phiên bản 149.0.7827.53 (dành cho Linux) hoặc 149.0.7827.53/54 (dành cho Windows và macOS). Người dùng nên kiểm tra lại để chắc chắn rằng tính năng tự động cập nhật của trình duyệt đang hoạt động bình thường.

  • Thay đổi tư duy quản trị: Quy trình ứng phó cần phải tăng tốc để bắt kịp thời đại. Chu kỳ vá lỗi cần rút ngắn lại, tăng cường tự động cập nhật và các đợt nâng cấp hệ thống có liên quan đến vá lỗi bảo mật (CVE) cần được ưu tiên xem như một nhiệm vụ an ninh trọng yếu, chứ không đơn thuần là công tác bảo trì định kỳ.

Công nghệ AI đang giúp việc tìm kiếm các kẽ hở bảo mật trở nên dễ dàng và tiết kiệm chi phí hơn bao giờ hết. Tuy nhiên, điều này lại đẩy phần khó khăn nhất về phía con người. Việc sàng lọc thông tin báo cáo lỗi, xây dựng giải pháp vá lỗi và phân phối các bản cập nhật đó đến tay người dùng cuối vẫn phụ thuộc lớn vào các kỹ sư, các tình nguyện viên công nghệ. Một lực lượng nhân sự mỏng đang phải gồng mình để xử lý khối lượng công việc khổng lồ với tốc độ vận hành của máy móc.

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page