Команда проекта FFmpeg обратилась к Google: финансируйте нас или прекратите отправлять баги (CVE-slop) с помощью ИИ

Команда FFmpeg (открытого фреймворка для обработки видео в Google Chrome, Firefox, YouTube и других основных платформах) призвала Google либо профинансировать проект, либо прекратить обременять своих добровольцев-методистов уязвимостями безопасности, обнаруженными с помощью инструментов искусственного интеллекта компании. Разработчики исправили некоторые ошибки, обнаруженные ИИ-агентом Google, но назвали найденные таким способом уязвимости «CVE-slop» (CVE-шлак\отстой, так как, например, ИИ-система нашла баг в системе декодированием кодека LucasArts Smush, в частности первых 10–20 кадров Rebel Assault 2, игры 1995 года, и назвала эту проблему средней важности в ffmpeg, хотя это не так, по сути).

Инструментарий FFmpeg доступен для Linux, Windows и macOS. Проект распространяется под лицензиями GNU LGPL или GNU GPL. В состав FFmpeg входят: библиотека libavcodec — для кодирования и декодирования аудио и видео, библиотека libavformat — для мультиплексирования и демультиплексирования в медиаконтейнер, а также консольные утилиты ffmpeg и ffprobe, медиаплеер ffplay. Ранее в него входил потоковый сервер ffserver. Проект поддерживает большое количество аудио и видео кодеков, а также контейнеров.

Конфронтация разгорелась из-за политики Google Project Zero, объявленной в июле 2025 года, которая предусматривает публичное раскрытие информации об уязвимостях в течение недели и запуск 90-дневного отсчёта до полного раскрытия информации независимо от наличия исправления. FFmpeg, написанный преимущественно на языке ассемблера, обеспечивает преобразование форматов и потоковую передачу для VLC, Kodi и Plex, но работает без достаточного финансирования со стороны компаний, которые от него зависят.

«Мы очень серьёзно относимся к безопасности,