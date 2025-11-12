ソフトウェア

GoogleによるAIを用いた大量バグ報告にFFmpegが「ボランティアに仕事を押し付けている」「検出＆報告の実績を作りたいだけ」と苦言


GoogleはAIを用いてセキュリティの脆弱(ぜいじゃく)性を見つけるシステム「Big Sleep」の運用で、これまでに様々な脆弱性やバグを見つけてきました。しかし、多くの報告が送られてくることから、オープンソースプロジェクトでは大きな負担となっています。有能な開発者が「他の作業ができない」として離脱する事態も発生していることから、マルチメディアフレームワークのFFmpegが「高給取りのエンジニアを抱える企業がボランティアに仕事を押し付けている」「本当にリスクを防ぎたいならGoogleがパッチを書いて送ってくるべき」「本気でバグをつぶしたいわけではなく検出＆報告の実績を作りたいだけ」と苦言を呈しています。

FFmpeg to Google: Fund Us or Stop Sending Bugs - The New Stack
https://thenewstack.io/ffmpeg-to-google-fund-us-or-stop-sending-bugs/

以下はBig Sleepによって2025年8月に発見された「Subversionを利用して注意深く作られたアニメーションにより、FFmpegでSANMファイルのデコード時にメモリ解放後に書き込みをすることが可能になる」というバグです。

Medium impact issue in ffmpeg: use-after-free write in SANM process_ftch [440183164] - Issue Tracker
https://issuetracker.google.com/issues/440183164

FFmpegは「これまでに作られたすべての動画ファイルを再生することを目指している」ということで、このバグもきっちり対応しましたが、「SANMファイル」というのは1982年から2013年まで活動していたゲーム会社「LucasArts」が使用していた動画フォーマットの1つで、作られたパッチは「1995年発売のゲーム『Rebel Assault 2』の最初の10-20フレームのデコード」時に特化したものだったとのこと。


FFmpegは「セキュリティの問題はとても真剣に受け止めている」としつつも、「時価総額数兆ドル(数百兆円)規模の企業が、AIを駆使して個人的な趣味のコードからセキュリティ問題を掘り起こし、ボランティアに修正を依頼するのが本当に公平と言えるのでしょうか」と疑問を呈しています。


FFmpegがこのような投稿を行った背景には優秀な開発者のプロジェクト離脱があります。実際に、XMLライブラリ・libxml2などのメンテナーで「最も優れたエンジニアだった」というニック・ウェルンホーファー氏がGoogleなどの大量のバグ報告への対応に追われてプロジェクトを離脱しています。


ウェルンホーファー氏はlibxml2のGitlabページに「第三者から報告されたセキュリティ問題への対処に毎週数時間を費やしています。それほど重要なものではありませんが多くの作業が必要で、長期的には私のような無給のボランティアには持続不可能です」「オープンソースソフトウェアのメンテナーに、補償なしに要求を課すことは、長期的に見て有害です」「お金で買える最高のホワイトハットセキュリティ研究者であるGoogle Project Zeroがボランティアの首を絞めている現状では、(辞任したプロジェクトのメンテナーに戻ることは)なおさらありえない話です」と投稿しています。Google Project Zeroは、脆弱性が見つかってからパッチが当てられるまでの間を狙う「ゼロデイ攻撃」を専門として対処するチームです。

Triaging security issues reported by third parties (#913) · Issue · GNOME/libxml2
https://gitlab.gnome.org/GNOME/libxml2/-/issues/913

FFmpegは、セキュリティ専門家のロバート・グラハム氏との対話の中で「Googleがもし本気でハッカー対策に関心があるなら、パッチを送ってくるか、資金を提供するでしょう。現実として、GoogleはCVEバッジを集めたい(脆弱性を報告したという実績を示したい)だけです」と述べました。


グラハム氏は一側面としてFFmpegの主張を認めつつ、「脆弱性が存在するのはGoogleの責任ではなく、ハッカーが見つけるより早く見つけているだけで、そこは直視しなければいけない現実」と指摘しています。


議論は広がっていて全体像が見えにくくなっていますが、FFmpeg側の立場を支持する開発者は一定数いて、「react-google-maps/api」の開発者でメンテナーだというアレクセイ・リャホフ氏は「毎週ほぼ100万ダウンロードされ、数十万ものプロジェクトで利用されていますが、Googleは2回コンサルティング依頼をしてきたものの、個人への支援をしてくれたことはありません。もしオープンソースコミュニティに対してGoogleがこのような態度を続けるのであれば、『パッケージを商用ライセンスで再ライセンスする』か『パッケージを完全に削除してGoogleを切り捨てる』かも検討します」と言及しました。


なおGoogle Project Zeroは、2025年7月から「脆弱性は発見から1週間以内に報告し、パッチの提供有無は問わず、90日で開示する」というで新たな報告透明性ポリシーの試験運用を始めていて、開発者の大きな負担となっています。

The New Stackは、セキュリティ問題は明らかされるべきであるという専門家側の意見は認めつつも、オープンソースプロジェクト側には対応するだけの人的リソースも資金も足りていない点を指摘。たとえばウェルンホーファー氏が2025年12月末でのメンテナンス終了を表明しているlibxml2は、すべてのウェブブラウザやウェブサーバー、LibreOffice、多くのLinuxパッケージに不可欠なライブラリであり、重大なセキュリティ侵害が発生する前に支援が必要だと主張しました。

