Haavoittuvuustulva: Tekoäly löytää bugeja nopeammin kuin pystymme korjaamaan

Näistä 22 luokiteltiin kriittisiksi ja yli 100 saavutti kriittisen tai korkean vakavuusasteen . Vaarallisin oli CVE-2026-10881, muistialueen ylitysluku- ja kirjoitusvirhe ANGLE-grafiikkakerroksessa, joka sai CVSS-arvosanaksi 9,6 ja saattoi mahdollistaa hiekkalaatikosta poistumisen huolellisesti muokatun HTML-sivun avulla . Monet kriittisistä vioista olivat use-after-free-tyyppisiä ongelmia, jotka ovat toistuva muistiturvallisuuteen liittyvä ongelma selaimissa .

Googlen insinöörit havaitsivat arviolta 371 virhettä sisäisesti; riippumattomat tutkijat raportoivat loput, ja yhtiö maksoi 209 000 dollaria bugipalkkioita . SecurityWeek huomautti Chrome-virheiden määrän kasvun johtuvan todennäköisesti tekoälyn lisääntyneestä käytöstä haavoittuvuusmetsästyksessä, mikä sai Googlen laskemaan Chrome-bugipalkkioitaan huhtikuussa 2026 .

Googlen mukaan yhtäkään haavoittuvuuksista ei tiedetty hyväksikäytetyn aktiivisesti paljastushetkellä . Korjauksen valtava mittakaava kuitenkin alleviivaa vakavaa toiminnallista kysymystä: pystyvätkö parhaiten resursoidutkaan insinööritiimit pysymään perässä, kun tekoälypohjainen löytäminen tulvii heidän bugiseurantajärjestelmänsä?

21 nollapäivähaavoittuvuutta FFmpegistä 1 000 dollarilla

Juuri kun Chrome 149 oli laskeutumassa, tietoturvastartup depthfirst julkaisi tuotantokäytössä olevan tekoälyagenttinsa tulokset, jotka se oli ajanut FFmpegiä vastaan. FFmpeg on avoimen lähdekoodin multimediakirjasto, joka on videoita käsittelevien sovellusten ja laitteiden perusta lukemattomissa paikoissa .

Agentti skannasi noin 1,5 miljoonaa riviä C-koodia ja palautti 21 aiemmin tuntematonta nollapäivähaavoittuvuutta – virheitä, joita ei ollut koskaan julkistettu, ja jotka useissa tapauksissa olivat olleet huomaamatta 15–20 vuotta . Valtaosa oli keko- ja puskuriylivuoto-ongelmia eri komponenteissa TS-demultiplekserista (demuxer) VP9-dekooderiin .

Ratkaisevaa on, että depthfirstin järjestelmä teki enemmän kuin vain liputti epäilyttävää koodia. Se tuotti konkreettisia, toistettavia proof-of-concept-syötteitä jokaiselle virheelle vahvistaen löydöksensä . Ajon laskennallinen kokonaiskustannus: noin 1 000 dollaria .

Vertailun vuoksi Anthropicin Mythos-malli oli aiemmin poiminut FFmpegista 16 vuotta vanhan H.264-virheen noin 10 000 dollarilla . Depthfirst esitti tuloksensa osoituksena siitä, että se saavutti vastaavia tuloksia kymmenesosan kustannuksista . Vaikutukset ovat tyrmistyttäviä: kehittyneestä nollapäivälöydöksestä, joka oli aiemmin hyvin resursoitujen tutkimuslaboratorioiden ja valtiollisten toimijoiden etuoikeus, on tulossa kuka tahansa maksettavissa olevan pilvilaskun hintainen.

Laajempi trendi: Löytäminen ohittaa korjaamisen

Chrome- ja FFmpeg-tarinat eivät ole yksittäistapauksia. Ne ovat osa suurempaa kuviota, joka on kiihtynyt vuosien 2025 ja 2026 aikana.

Löytömäärät räjähtävät

Googlen Project Zero Big Sleep -agentti löysi marraskuussa 2024 ensimmäisen tunnetun tekoälyn löytämän tuotannossa olevan nollapäivähaavoittuvuuden – pinopuskurin alivuodon SQLitessä . Sen jälkeen tahti on kiihtynyt. ZeroPathin tekoälyavusteinen staattinen analyysi löysi seitsemän FFmpeg-virhettä vuoden 2025 lopulla . Anthropicin Mythos-malli paljasti myöhemmin haavoittuvuuksia OpenBSD:stä, FreeBSD:stä, Linuxista, Firefoxista ja kryptografisista kirjastoista, joista monet olivat olleet koodissa 16–27 vuotta . Huhtikuuhun 2026 mennessä Mythos oli onnistunut hyväksikäyttökoodin kirjoittamisessa Firefoxia vastaan 181 kertaa, mikä on 90-kertainen parannus edellisen sukupolven malleihin verrattuna .

Itse Chrome 149 -korjaus oli suora heijastus tästä uudesta vauhdista. Kesäkuussa 2026 julkistetut 429 korjausta ylittivät jo koko vuoden 2025 aikana toimitetut Chrome-tietoturvakorjaukset, SecurityWeek raportoi .

Korjaaminen on pullonkaula

Vikojen löytäminen on nopeaa. Niiden korjaaminen on edelleen inhimillinen prosessi. Chrome 149 todistaa, että jopa Google valtavine insinööriresursseineen ja kypsine haavoittuvuudenhallintaohjelmineen voi kohdata valtavan korjausvelan . Pienemmille avoimen lähdekoodin ylläpitäjille tilanne on tukalampi. FFmpegin pienen ydintiimin on nyt seulottava, validoitava ja kehitettävä korjauksia haavoittuvuuksiin, joita useat tekoälytyökalut – ei vain depthfirst, vaan myös Googlen Big Sleep, Anthropicin Mythos ja muut – toimittavat joukoittain . FFmpeg-projekti on jo torjunut osan mielestään heikkolaatuisista tekoälyn tuottamista virheraporteista ja leimannut joitain Googlen tekoälylähetyksiä "CVE-suluiksi" (CVE slop), kun löydökset koskivat 30 vuotta vanhojen videopelien esoteerista koodia .

Taloudelliset realiteetit suosivat hyökkääjiä

Hyvin resursoitu puolustaja voi nyt ajaa useita tekoälymalleja omaa koodikantaansa vastaan ennen julkaisua, ja monet tekevätkin niin. Mutta sama talouslogiikka pätee kehen tahansa. UIUC:n tutkimus arvioi tekoälyavusteisen hyväksikäytön keskimääräiseksi hinnaksi 8,80 dollaria haavoittuvuutta kohden GPT-4:ää käyttäen, kun taas taitavan ihmistutkijan kustannus oli arviolta 25 dollaria haavoittuvuutta kohden . Depthfirstin 1 000 dollarin FFmpeg-ajo toi nollapäiväkohtaisen kustannuksen alas noin 48 dollariin – ja myöhemmät laitteisto- ja malliparannukset todennäköisesti painavat sitä edelleen alaspäin .

Puolustajat kohtaavat yhä manuaalisen, aikaa vievän korjaus- ja käyttöönottoprosessin. Epäsymmetria kasvaa.

Mitä organisaatioiden tulisi tehdä nyt

Tekoälypohjaisen haavoittuvuuksien löytämisen nopea arkipäiväistyminen vaatii käytännöllistä vastausta paniikin sijaan. Tietoturvatiimien tulisi olettaa, että uhkatoimijat – niin valtiolliset kuin muutkin – ajavat jo näitä malleja heidän organisaationsa käyttämiä ohjelmistoja vastaan.

Käytännön toimenpiteisiin kuuluu tekoälyn tietoturva-agenttien ajaminen ensin omaa koodikantaa vastaan, sillä paras puolustus on löytää ja korjata vakavat viat ennen hyökkääjiä. Korjausviiveen lyhentäminen on yhtä lailla kriittistä – julkisen paljastuksen ja korjauksen käyttöönoton välinen aika on muuttunut vaarallisimmaksi ikkunaksi tekoälyn aikakaudella – joten priorisoi ohjelmistotoimitusketjusi skannaus ja päivitysten soveltaminen heti niiden julkaisupäivänä. Haavoittuvuuspaljastusten käsitteleminen ylikuormitusongelmana on myös olennaista: useimmilta tiimeiltä puuttuu kapasiteetti seuloa äkillistä tekoälyn tuottamien raporttien tulvaa, mikä tarkoittaa, että automaattisten validointiputkistojen rakentamisesta tai käyttöönotosta tulee pian edellytys turvallisten ohjelmistojen ylläpitämiselle.

Pysyvä muutos

Chrome 149:n megakorjaus ja depthfirstin 1 000 dollarin FFmpeg-kampanja eivät ole poikkeamia. Ne ovat tienviittoja. Tekoälymallit löytävät nyt bugeja, jotka selvisivät vuosikymmenten ihmistarkastuksesta ja miljoonista automaattisista fuzz-testeistä – halvalla ja mittakaavassa. Kuten Cloud Security Alliance -tutkimuslaitoksen raportissa todettiin, jopa huippuluokan alapuolella olevat tekoälymallit voivat nyt löytää nollapäivähaavoittuvuuksia .

Pullonkaula ei ole enää löytäminen. Se on kaikki mitä sen jälkeen tulee. Kunnes yhtälön korjauspuoli saavuttaa löytämisen – paremman automaation, nopeampien käyttöönottoputkien tai uusien ohjelmistoturvallisuuden arkkitehtonisten lähestymistapojen avulla – jokainen ennätyksiä rikkova korjaus ja jokainen erittäin halpa löytöajo on varoitus, jota teollisuudenalalla ei ole varaa sivuuttaa.