- Команда FFmpeg призвала Google финансировать проект или прекратить отправлять отчёты об уязвимостях, обнаруженные ИИ.
- Google Project Zero публикует данные об уязвимостях вне зависимости от наличия исправлений, что создаёт нагрузку на добровольцев FFmpeg.
- Отсутствие финансирования критически ослабляет поддержку важного проекта с открытым исходным кодом, используемого в популярных платформах.
Команда разработчиков проекта FFmpeg, широко используемого для обработки видео в таких популярных продуктах, как Google Chrome, Firefox и YouTube, публично обратилась к корпорации Google с требованием либо начать финансировать проект, либо прекратить направлять добровольцам из команды множество отчётов об уязвимостях, выявленных с помощью искусственного интеллекта Google. Основной причиной обращения стал рост нагрузки, связанный с политикой Google Project Zero, которая с июля 2025 года требует публично раскрывать информацию о любых найденных уязвимостях в течение недели, запуская 90-дневный отсчёт до полного раскрытия независимо от наличия исправлений.
Разработчики FFmpeg отмечают, что многие баги, выявленные ИИ, к примеру, в устаревших кодеках, не представляют реальной угрозы безопасности, но всё равно требуют ресурсов на их реагирование и исправление. Так, одним из примеров стала уязвимость в декодировании кадров старой игры 1995 года, которую Google квалифицировала как среднюю по важности, тогда как команда проекта оценивает её как незначительную. FFmpeg — сложный проект, главным образом написанный на ассемблере, являющийся фундаментом для множества медиаплееров и платёжных платформ. Однако он остаётся в значительной степени поддерживаемым добровольцами, без серьёзного финансирования от крупных компаний, зависящих от него.
Представители FFmpeg подчёркивают несправедливость использования ИИ Google для интенсивного поиска уязвимостей в «любительском» коде сообщества без предоставления ресурсов для устранения обнаруженных дефектов. При этом крупные корпорации, приносящие триллионные обороты, активно эксплуатируют результаты проекта, перекладывая бремя исправления проблем на добровольцев. Аналогичная ситуация сложилась и в других open source проектах, например, у разработчика libxml2, отказавшегося от поддержки из-за слишком большой нагрузки по устранению veiligheids reportов, присланных третьими лицами, что созвучно с позицией FFmpeg.
Сфера программного обеспечения с открытым исходным кодом стоит на пороге серьёзных изменений, вызванных активным применением ИИ для обнаружения багов и уязвимостей, что может привести к значительной перегрузке команд добровольцев и даже прекращению поддержки критических компонентов инфраструктуры Интернета без должной корпоративной поддержки. В этом контексте эксперты подчёркивают необходимость ответственного подхода к раскрытию уязвимостей и отметили, что при разумной поддержке ИИ может стать мощным инструментом повышения безопасности. Аналогичные вызовы уже сталкивают и другие проекты, например runc и Fedora, где было принято регулирование использования ИИ в процессе разработки.
Таким образом, конфликт FFmpeg и Google демонстрирует сложный баланс между инновационными методами обеспечения безопасности, которыми пользуются крупные корпорации, и возможностями сообществ, в которых за бесплатное обеспечение работоспособности и безопасности программ отвечают добровольцы. Без дополнительного финансирования и поддержки такая модель становится трудноустойчивой, что сулит проблемы для всей экосистемы открытого кода.
