TLDR;

Mythos é mencionado como uma ferramenta paga (cerca de $20.000), mas o vídeo mostra que os pesquisadores conseguiram achar 21 zero‑days em FFmpeg usando outras técnicas de IA e fuzzing, sem precisar dela. Eles usaram IA combinada com fuzzing e análise de formatos (por exemplo manipulando pacotes RTSP/RTP e OBUs AV1) para automatizar a descoberta de overflows e outros bugs em um grande código C como o FFmpeg. A conclusão prática é que bases C amplamente usadas continuam vulneráveis e, com a IA baixando a barreira para encontrar exploits, organizações devem aplicar correções, monitoramento e estratégias de defesa (como zero‑trust) para mitigar o risco.

Resumo

Pesquisadores descobriram 21 vulnerabilidades zero‑day no FFmpeg usando técnicas de IA (não Mythos). FFmpeg é uma biblioteca multimídia onipresente para conversão, reprodução e streaming (YouTube, TikTok, Twitch etc.), predominantemente escrita em C, o que a torna muito performática, mas sujeita a erros de memória à medida que cresce. A maioria das falhas são estouros (stack/heap/integer) típicos de parsers que processam campos de formatos de arquivo sem validação. Algumas falhas surgiram em 2023, mas uma falha de 2003 ficou latente por 23 anos e escapou de ferramentas como OSS‑Fuzz e projetos de fuzzing apoiados por Google. Um exemplo crítico envolve AV1 OBUs em fluxos RTSP/RTP: ao processar um delimitador temporal o código avança o cursor sem chamar av_grow_packet, permitindo que um overflow de heap escreva 67 bytes além do buffer. Com groom apropriado do heap, um atacante pode obter leituras/escritas arbitrárias e corromper ponteiros de função (controle de fluxo). O caso ilustra como IA acelera a descoberta de bugs em códigos C complexos e por que organizações devem adotar proteções como modelos zero‑trust e controle de aplicações. Além disso, mostra a importância de revisão de código, testes dirigidos e respostas a patches para mitigar riscos crescentes trazidos pela automação em segurança.