สรุปสั้น
สัปดาห์เดียวมีเหตุการณ์สำคัญสองเรื่องเกิดขึ้นพร้อมกัน บริษัทด้านความปลอดภัย depthfirst รายงานช่องโหว่ที่ไม่เคยถูกเปิดเผยมาก่อน 21 รายการใน FFmpeg ไลบรารีจัดการสื่อที่ฝังอยู่ในแทบทุกอุปกรณ์ที่เกี่ยวข้องกับวิดีโอ ทั้งหมดถูกค้นพบโดย AI agent อัตโนมัติ
ในสัปดาห์เดียวกัน Google ปล่อย Chrome 149 ที่แพตช์ช่องโหว่ถึง 429 รายการ มากที่สุดในการอัปเดตครั้งเดียวเท่าที่เคยมีมา แม้เฉพาะ FFmpeg เท่านั้นที่ค้นพบด้วย AI แต่สถิติของ Chrome ก็มาหลังจาก Google ปรับโครงสร้างโปรแกรม bug bounty เพื่อรับมือกับรายงานที่ AI สร้างขึ้นจำนวนมหาศาล
แรงกดดันร่วมกันคือ AI กำลังป้อนช่องโหว่จำนวนมากให้กับคนที่ต้องรับมือ และเร็วกว่าที่เคยเป็นมา จุดที่ยากกลับไม่ใช่การหาช่องโหว่ซึ่งตอนนี้ราคาถูกลงมาก แต่เป็นการ triage รายงาน การออกแพตช์ และการทำให้ผู้ใช้ติดตั้งแพตช์ ซึ่งส่วนใหญ่ยังคงตกอยู่บนบ่าของอาสาสมัครและทีมงานมนุษย์ที่มีจำกัด
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 6 มิถุนายน พ.ศ. 2569 ว่า depthfirst ได้เผยแพร่ผลการใช้ security agent อัตโนมัติสแกนโปรเจกต์ FFmpeg ที่มีซอร์สโค้ดภาษา C ราว 1.5 ล้านบรรทัด และพบ zero-day ที่ได้รับการยืนยันแล้ว 21 รายการ โดยแต่ละช่องโหว่มาพร้อม proof-of-concept ที่ทำซ้ำได้ บริษัทระบุว่าต้นทุนการรันครั้งนี้อยู่ที่ราว 1,000 ดอลลาร์เท่านั้น
หลายช่องโหว่ฝังตัวอยู่นาน 15 ถึง 20 ปี โดยมีช่องโหว่ stack overflow หนึ่งรายการในโค้ด service-description-table ที่ย้อนไปถึงปี 2003 และอยู่โดยไม่ถูกแตะต้องนานถึง 23 ปี ช่องโหว่ส่วนใหญ่เป็น heap หรือ stack overflow ในส่วน parser และ demuxer ครอบคลุมตั้งแต่ TS demuxer ไปจนถึง VP9 decoder depthfirst ระบุว่าบางช่องโหว่มีหมายเลข CVE แล้ว โดยลิสต์ไว้ 9 รายการคือ CVE-2026-39210 ถึง CVE-2026-39218 และยังเผยแพร่ PoC ออกมาด้วย
ในข่าวแยกอีกเรื่อง Chrome 149 แก้ช่องโหว่ 429 รายการ ซึ่งเป็นสถิติสูงสุดสำหรับการอัปเดตครั้งเดียว โดยมากกว่า 100 รายการเป็นระดับ critical หรือ high ส่วนใหญ่เป็น use-after-free และการตรวจสอบ input ไม่เพียงพอ ช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-10881 (CVSS 9.6) ซึ่งเป็น out-of-bounds read/write ใน ANGLE graphics engine ที่เปิดทางให้หน้าเว็บที่สร้างขึ้นพิเศษหลุดออกจาก sandbox และรันโค้ดบนเครื่องโฮสต์ได้ โดย Google จ่ายรางวัล 97,000 ดอลลาร์ให้ผู้ค้นพบ
รายละเอียดช่องโหว่
ทิศทางของงานวิจัยล้วนชี้ไปทางเดียวกันว่า AI กำลังเปลี่ยนเศรษฐศาสตร์ของการค้นหาช่องโหว่ Google เคยใช้ agent ชื่อ Big Sleep รายงานชุดช่องโหว่ FFmpeg เมื่อปีก่อน และโมเดล Mythos ของ Anthropic ก็เคยดึงช่องโหว่ H.264 ที่ฝังนาน 16 ปีพร้อมรายการอื่นออกจาก FFmpeg ด้วยต้นทุนราว 10,000 ดอลลาร์ ขณะที่เมื่อไม่กี่วันก่อนเครื่องมืออัตโนมัติอีกตัวพบ authenticated RCE ใน Redis ที่ฝังตัวมาตั้งแต่เวอร์ชัน 7.2.0 โดยไม่มีใครสังเกตนานกว่า 2 ปี และงานวิจัยในเดือนกุมภาพันธ์ยังให้ agent ทำ PoC สำหรับช่องโหว่ N-day ใน Linux kernel ได้สำเร็จเกินครึ่งจาก 100 ตัวอย่าง ซึ่งทำได้ดีกว่าวิธี fuzzing แบบเดิม สำหรับ Chrome นั้น Google ยังไม่ผูกตัวเลข 429 เข้ากับ AI โดยตรง แต่สัญญาณที่ชัดเจนคือการปรับโครงสร้าง bug bounty ในเดือนเมษายนเพื่อรับมือกับรายงานที่ AI สร้างขึ้นจำนวนมาก โดยขอให้ส่ง reproducer ที่กระชับแทนรายงานยาวๆ
ผลกระทบต่อไทย
FFmpeg ถูกฝังอยู่ในซอฟต์แวร์และระบบจำนวนมากที่ใช้ในไทย ทั้ง media pipeline, Python wheel, container image และ appliance ต่างๆ รวมถึงระบบกล้องวงจรปิด ระบบสตรีมมิง และแอปพลิเคชันประมวลผลวิดีโอ การที่ช่องโหว่ฝังตัวในส่วน parser/demuxer หมายความว่าเพียงแค่ประมวลผลไฟล์สื่อหรือสตรีมที่ไม่น่าเชื่อถือก็อาจถูกโจมตีได้ องค์กรไทยจำนวนมากมักลืมว่ามีสำเนา FFmpeg ฝังอยู่ในระบบลึกๆ และไม่ได้อัปเดตตาม ส่วน Chrome เป็นเบราว์เซอร์ที่ครองส่วนแบ่งสูงสุดในไทย ช่องโหว่ที่หลุด sandbox ได้อย่าง CVE-2026-10881 จึงเป็นความเสี่ยงโดยตรงต่อผู้ใช้ทั่วไปและเครื่องในองค์กร
คำแนะนำ
สำหรับ FFmpeg ให้ดึง build ต้นทางที่แก้ไขแล้วหรืออัปเดตความปลอดภัยจาก distribution ของท่านทันทีที่ออก และให้ความสำคัญเป็นพิเศษกับระบบที่รับ RTSP หรือ AV1-over-RTP ที่ไม่น่าเชื่อถือ อย่าหยุดแค่ system package เพราะสำเนา FFmpeg ที่ฝังใน container image และ dependency ต่างๆ ก็ต้องแพตช์ด้วย สำหรับ Chrome ให้อัปเดตเป็นเวอร์ชัน 149.0.7827.53 บน Linux หรือ 149.0.7827.53/54 บน Windows และ macOS หรือยืนยันว่า auto-update ทำงานแล้ว โดยรวมองค์กรควรปรับให้รอบการแพตช์สั้นลง เปิด auto-update ทุกที่ที่ทำได้ และถือว่าการอัปเดต dependency ที่มี CVE fix เป็นงานด้านความปลอดภัย ไม่ใช่งาน maintenance ทั่วไป
