- 22,459
- 46
- 8 Ноя 2022
Искусственный интеллект Google нашёл баг 1995 года — и открыл спор о справедливости open source.
Один из важнейших проектов открытого ПО — FFmpeg — оказался в центре спора о том, кто несёт ответственность за безопасность ключевых компонентов интернета. Дискуссия разгорелась после того, как искусственный интеллект Google нашёл уязвимость в FFmpeg — в кодеке LucasArts Smush, отвечающем за первые кадры игры Rebel Assault 2 (1995 года). Ошибка была исправлена, но проект заявил: исправления выполняются добровольцами, а не корпорациями, которые на нём зарабатывают.
FFmpeg — это мощный мультимедийный фреймворк, обеспечивающий обработку аудио и видео для VLC, Kodi , Plex , браузеров Google Chrome и Firefox, а также видеосервисов вроде <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>. Его библиотеки libavcodec и libavformat лежат в основе почти всей современной медиаплатформенной экосистемы. При этом разработка ведётся почти исключительно силами добровольцев.
Поводом для конфликта стало сообщение FFmpeg в X *: «Безопасность для нас крайне важна, но исправления пишут волонтёры». После этого последовала волна комментариев о том, что гиганты вроде Google и Amazon активно используют FFmpeg, но не поддерживают его напрямую.
Эксперт по open source Марк Этвуд напомнил , что проекты вроде FFmpeg не являются подрядчиками, у них нет NDA и «они могут одним письмом остановить три продуктовые линии корпорации». По его словам, даже убедить руководителей Amazon финансировать таких разработчиков оказалось невозможно.
Ситуацию усугубила новая политика Google Project Zero , которая с июля 2025 года публикует уведомления о найденных уязвимостях в течение недели после их обнаружения, даже если исправление ещё не готово. Для волонтёров, у которых нет ресурсов и зарплаты, 90-дневный срок исправления выглядит как давление со стороны корпорации.
FFmpeg заявил , что считает несправедливым использование ИИ для поиска ошибок в «хобби-коде» с последующим требованием всё исправить. Компания Google, в свою очередь, ссылается на то, что таким образом защищает общие цифровые интересы и даже предлагает Patch Rewards Program . Однако, как отметили разработчики FFmpeg, программа слишком ограничена и не покрывает реальные объёмы работы.
Руководитель Chainguard Дэн Лоренц заявил , что «поиск и публикация уязвимостей — тоже вклад в общее благо», а Google делает для open source больше, чем почти любая другая организация. Но представители сообщества видят в этом другое: корпорации с триллионными доходами перекладывают трудовую нагрузку на добровольцев.
Аналогичные проблемы испытывают и другие ключевые проекты, включая libxml2 , поддержкой которого занимался Ник Велльнхофер. Он заявил о прекращении работы , пояснив, что еженедельные разборы «неприоритетных уязвимостей» занимают часы без какой-либо компенсации.
Без дополнительной поддержки со стороны корпораций, которые получают прибыль от открытого кода, многие критически важные проекты, основанные на работе добровольцев, могут остаться без поддержки и перестать развиваться вовсе.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
Один из важнейших проектов открытого ПО — FFmpeg — оказался в центре спора о том, кто несёт ответственность за безопасность ключевых компонентов интернета. Дискуссия разгорелась после того, как искусственный интеллект Google нашёл уязвимость в FFmpeg — в кодеке LucasArts Smush, отвечающем за первые кадры игры Rebel Assault 2 (1995 года). Ошибка была исправлена, но проект заявил: исправления выполняются добровольцами, а не корпорациями, которые на нём зарабатывают.
FFmpeg — это мощный мультимедийный фреймворк, обеспечивающий обработку аудио и видео для VLC, Kodi , Plex , браузеров Google Chrome и Firefox, а также видеосервисов вроде <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">YouTube</span>. Его библиотеки libavcodec и libavformat лежат в основе почти всей современной медиаплатформенной экосистемы. При этом разработка ведётся почти исключительно силами добровольцев.
Поводом для конфликта стало сообщение FFmpeg в X *: «Безопасность для нас крайне важна, но исправления пишут волонтёры». После этого последовала волна комментариев о том, что гиганты вроде Google и Amazon активно используют FFmpeg, но не поддерживают его напрямую.
Эксперт по open source Марк Этвуд напомнил , что проекты вроде FFmpeg не являются подрядчиками, у них нет NDA и «они могут одним письмом остановить три продуктовые линии корпорации». По его словам, даже убедить руководителей Amazon финансировать таких разработчиков оказалось невозможно.
Ситуацию усугубила новая политика Google Project Zero , которая с июля 2025 года публикует уведомления о найденных уязвимостях в течение недели после их обнаружения, даже если исправление ещё не готово. Для волонтёров, у которых нет ресурсов и зарплаты, 90-дневный срок исправления выглядит как давление со стороны корпорации.
FFmpeg заявил , что считает несправедливым использование ИИ для поиска ошибок в «хобби-коде» с последующим требованием всё исправить. Компания Google, в свою очередь, ссылается на то, что таким образом защищает общие цифровые интересы и даже предлагает Patch Rewards Program . Однако, как отметили разработчики FFmpeg, программа слишком ограничена и не покрывает реальные объёмы работы.
Руководитель Chainguard Дэн Лоренц заявил , что «поиск и публикация уязвимостей — тоже вклад в общее благо», а Google делает для open source больше, чем почти любая другая организация. Но представители сообщества видят в этом другое: корпорации с триллионными доходами перекладывают трудовую нагрузку на добровольцев.
Аналогичные проблемы испытывают и другие ключевые проекты, включая libxml2 , поддержкой которого занимался Ник Велльнхофер. Он заявил о прекращении работы , пояснив, что еженедельные разборы «неприоритетных уязвимостей» занимают часы без какой-либо компенсации.
Без дополнительной поддержки со стороны корпораций, которые получают прибыль от открытого кода, многие критически важные проекты, основанные на работе добровольцев, могут остаться без поддержки и перестать развиваться вовсе.
<span style="font-size: 8pt;">* Социальная сеть запрещена на территории Российской Федерации.</span>
- Источник новости
- www.securitylab.ru
