GoogleによるAIを用いた大量バグ報告にFFmpegが「ボランティアに仕事を押し付けている」「検出&報告の実績を作りたいだけ」と苦言
GoogleはAIを用いてセキュリティの脆弱(ぜいじゃく)性を見つけるシステム「Big Sleep」の運用で、これまでに様々な脆弱性やバグを見つけてきました。しかし、多くの報告が送られてくることから、オープンソースプロジェクトでは大きな負担となっています。有能な開発者が「他の作業ができない」として離脱する事態も発生していることから、マルチメディアフレームワークのFFmpegが「高給取りのエンジニアを抱える企業がボランティアに仕事を押し付けている」「本当にリスクを防ぎたいならGoogleがパッチを書いて送ってくるべき」「本気でバグをつぶしたいわけではなく検出&報告の実績を作りたいだけ」と苦言を呈しています。
FFmpeg to Google: Fund Us or Stop Sending Bugs - The New Stack
https://thenewstack.io/ffmpeg-to-google-fund-us-or-stop-sending-bugs/
以下はBig Sleepによって2025年8月に発見された「Subversionを利用して注意深く作られたアニメーションにより、FFmpegでSANMファイルのデコード時にメモリ解放後に書き込みをすることが可能になる」というバグです。
Medium impact issue in ffmpeg: use-after-free write in SANM process_ftch [440183164] - Issue Tracker
https://issuetracker.google.com/issues/440183164
FFmpegは「これまでに作られたすべての動画ファイルを再生することを目指している」ということで、このバグもきっちり対応しましたが、「SANMファイル」というのは1982年から2013年まで活動していたゲーム会社「LucasArts」が使用していた動画フォーマットの1つで、作られたパッチは「1995年発売のゲーム『Rebel Assault 2』の最初の10-20フレームのデコード」時に特化したものだったとのこと。
Patch to fix an issue with decoding LucasArts Smush codec, specifically the first 10-20 frames of Rebel Assault 2, a game from 1995.
— FFmpeg (@FFmpeg) October 30, 2025
FFmpeg aims to play every video file ever made. pic.twitter.com/9WryDgDpER
FFmpegは「セキュリティの問題はとても真剣に受け止めている」としつつも、「時価総額数兆ドル(数百兆円)規模の企業が、AIを駆使して個人的な趣味のコードからセキュリティ問題を掘り起こし、ボランティアに修正を依頼するのが本当に公平と言えるのでしょうか」と疑問を呈しています。
Here's an example of Google's AI reporting security vulnerabilities in this codec:https://t.co/CvGemnoUk9
— FFmpeg (@FFmpeg) October 31, 2025
We take security very seriously but at the same time is it really fair that trillion dollar corporations run AI to find security issues on people's hobby code? Then expect… https://t.co/RxOeoVphN0
FFmpegがこのような投稿を行った背景には優秀な開発者のプロジェクト離脱があります。実際に、XMLライブラリ・libxml2などのメンテナーで「最も優れたエンジニアだった」というニック・ウェルンホーファー氏がGoogleなどの大量のバグ報告への対応に追われてプロジェクトを離脱しています。
Arguably the most brilliant engineer in FFmpeg left because of this. He reverse engineered dozens of codecs by hand as a volunteer.
— FFmpeg (@FFmpeg) October 16, 2025
Then security "researchers" and corporate employees came along repeatedly insisted "critical" security issues were fixed immediately waving their… https://t.co/H1g5poCucF
ウェルンホーファー氏はlibxml2のGitlabページに「第三者から報告されたセキュリティ問題への対処に毎週数時間を費やしています。それほど重要なものではありませんが多くの作業が必要で、長期的には私のような無給のボランティアには持続不可能です」「オープンソースソフトウェアのメンテナーに、補償なしに要求を課すことは、長期的に見て有害です」「お金で買える最高のホワイトハットセキュリティ研究者であるGoogle Project Zeroがボランティアの首を絞めている現状では、(辞任したプロジェクトのメンテナーに戻ることは)なおさらありえない話です」と投稿しています。Google Project Zeroは、脆弱性が見つかってからパッチが当てられるまでの間を狙う「ゼロデイ攻撃」を専門として対処するチームです。
Triaging security issues reported by third parties (#913) · Issue · GNOME/libxml2
https://gitlab.gnome.org/GNOME/libxml2/-/issues/913
FFmpegは、セキュリティ専門家のロバート・グラハム氏との対話の中で「Googleがもし本気でハッカー対策に関心があるなら、パッチを送ってくるか、資金を提供するでしょう。現実として、GoogleはCVEバッジを集めたい(脆弱性を報告したという実績を示したい)だけです」と述べました。
If Google was interested in actually improving the situation against hackers, they'd send or fund patches.
— FFmpeg (@FFmpeg) November 3, 2025
In reality they want to collect CVE scout badges.
グラハム氏は一側面としてFFmpegの主張を認めつつ、「脆弱性が存在するのはGoogleの責任ではなく、ハッカーが見つけるより早く見つけているだけで、そこは直視しなければいけない現実」と指摘しています。
This is the core tweet of the Google-vs-FFmpeg debate.
— Robert Graham (@ErrataRob) November 3, 2025
FFmpeg is justifiably upset, Google is swamping it with vulns that the FFmpeg project doesn't have the resources to fix. This is especially a big deal since such projects struggle to attract necessary talent in writing… https://t.co/MymvBzJOTu
議論は広がっていて全体像が見えにくくなっていますが、FFmpeg側の立場を支持する開発者は一定数いて、「react-google-maps/api」の開発者でメンテナーだというアレクセイ・リャホフ氏は「毎週ほぼ100万ダウンロードされ、数十万ものプロジェクトで利用されていますが、Googleは2回コンサルティング依頼をしてきたものの、個人への支援をしてくれたことはありません。もしオープンソースコミュニティに対してGoogleがこのような態度を続けるのであれば、『パッケージを商用ライセンスで再ライセンスする』か『パッケージを完全に削除してGoogleを切り捨てる』かも検討します」と言及しました。
I’m an author and maintainer of react-google-maps/api package which is used my hundreds of thousands of projects and almost a million downloads weekly.
— Alexey Lyakhov (@justfly1984) November 4, 2025
Google has contacted me 2 times for consulting, but never even once has supported me personally.
If Google going to continue…
なおGoogle Project Zeroは、2025年7月から「脆弱性は発見から1週間以内に報告し、パッチの提供有無は問わず、90日で開示する」というで新たな報告透明性ポリシーの試験運用を始めていて、開発者の大きな負担となっています。
The New Stackは、セキュリティ問題は明らかされるべきであるという専門家側の意見は認めつつも、オープンソースプロジェクト側には対応するだけの人的リソースも資金も足りていない点を指摘。たとえばウェルンホーファー氏が2025年12月末でのメンテナンス終了を表明しているlibxml2は、すべてのウェブブラウザやウェブサーバー、LibreOffice、多くのLinuxパッケージに不可欠なライブラリであり、重大なセキュリティ侵害が発生する前に支援が必要だと主張しました。
・関連記事
FFmpeg 8.0「Huffman」リリース、文字起こしAI「Whisper」やVulkanベースのコーデックへの正式対応など過去最大級のメジャーアップデート - GIGAZINE
Googleがコードの脆弱性をAIで見つけ出す「Big Sleep」で未知のバグを発見したと報告 - GIGAZINE
Googleの超優秀バグハンターやハッカーの神童が集結したドリームチーム「Project Zero」とは? - GIGAZINE
・関連コンテンツ
in ソフトウェア, セキュリティ, Posted by logc_nt
You can read the machine translated English article FFmpeg criticizes Google for using AI to….