GoogleはAIを用いてセキュリティの脆弱(ぜいじゃく)性を見つけるシステム「Big Sleep」の運用で、これまでに様々な脆弱性やバグを見つけてきました。しかし、多くの報告が送られてくることから、オープンソースプロジェクトでは大きな負担となっています。有能な開発者が「他の作業ができない」として離脱する事態も発生していることから、マルチメディアフレームワークのFFmpegが「高給取りのエンジニアを抱える企業がボランティアに仕事を押し付けている」「本当にリスクを防ぎたいならGoogleがパッチを書いて送ってくるべき」「本気でバグをつぶしたいわけではなく検出&報告の実績を作りたいだけ」と苦言を呈しています。
FFmpeg to Google: Fund Us or Stop Sending Bugs – The New Stack
https://thenewstack.io/ffmpeg-to-google-fund-us-or-stop-sending-bugs/
以下はBig Sleepによって2025年8月に発見された「Subversionを利用して注意深く作られたアニメーションにより、FFmpegでSANMファイルのデコード時にメモリ解放後に書き込みをすることが可能になる」というバグです。
Medium impact issue in ffmpeg: use-after-free write in SANM process_ftch [440183164] – Issue Tracker
https://issuetracker.google.com/issues/440183164
FFmpegは「これまでに作られたすべての動画ファイルを再生することを目指している」ということで、このバグもきっちり対応しましたが、「SANMファイル」というのは1982年から2013年まで活動していたゲーム会社「LucasArts」が使用していた動画フォーマットの1つで、作られたパッチは「1995年発売のゲーム『Rebel Assault 2』の最初の10-20フレームのデコード」時に特化したものだったとのこと。
Patch to fix an issue with decoding LucasArts Smush codec, specifically the first 10-20 frames of Rebel Assault 2, a game from 1995.
FFmpeg aims to play every video file ever made. pic.twitter.com/9WryDgDpER
— FFmpeg (@FFmpeg) October 30, 2025
FFmpegは「セキュリティの問題はとても真剣に受け止めている」としつつも、「時価総額数兆ドル(数百兆円)規模の企業が、AIを駆使して個人的な趣味のコードからセキュリティ問題を掘り起こし、ボランティアに修正を依頼するのが本当に公平と言えるのでしょうか」と疑問を呈しています。
Here’s an example of Google’s AI reporting security vulnerabilities in this codec:https://t.co/CvGemnoUk9
We take security very seriously but at the same time is it really fair that trillion dollar corporations run AI to find security issues on people’s hobby code? Then expect… https://t.co/RxOeoVphN0
— FFmpeg (@FFmpeg) October 31, 2025
FFmpegがこのような投稿を行った背景には優秀な開発者のプロジェクト離脱があります。実際に、XMLライブラリ・libxml2などのメンテナーで「最も優れたエンジニアだった」というニック・ウェルンホーファー氏がGoogleなどの大量のバグ報告への対応に追われてプロジェクトを離脱しています。
Arguably the most brilliant engineer in FFmpeg left because of this. He reverse engineered dozens of codecs by hand as a volunteer.
Then security “researchers” and corporate employees came along repeatedly insisted “critical” security issues were fixed immediately waving their… https://t.co/H1g5poCucF
— FFmpeg (@FFmpeg) October 16, 2025
ウェルンホーファー氏はlibxml2のGitlabページに「第三者から報告されたセキュリティ問題への対処に毎週数時間を費やしています。それほど重要なものではありませんが多くの作業が必要で、長期的には私のような無給のボランティアには持続不可能です」「オープンソースソフトウェアのメンテナーに、補償なしに要求を課すことは、長期的に見て有害です」「お金で買える最高のホワイトハットセキュリティ研究者であるGoogle Project Zeroがボランティアの首を絞めている現状では、(辞任したプロジェクトのメンテナーに戻ることは)なおさらありえない話です」と投稿しています。Google Project Zeroは、脆弱性が見つかってからパッチが当てられるまでの間を狙う「ゼロデイ攻撃」を専門として対処するチームです。
Triaging security issues reported by third parties (#913) · Issue · GNOME/libxml2
https://gitlab.gnome.org/GNOME/libxml2/-/issues/913
FFmpegは、セキュリティ専門家のロバート・グラハム氏との対話の中で「Googleがもし本気でハッカー対策に関心があるなら、パッチを送ってくるか、資金を提供するでしょう。現実として、GoogleはCVEバッジを集めたい(脆弱性を報告したという実績を示したい)だけです」と述べました。
If Google was interested in actually improving the situation against hackers, they’d send or fund patches.
In reality they want to collect CVE scout badges.
— FFmpeg (@FFmpeg) November 3, 2025
グラハム氏は一側面としてFFmpegの主張を認めつつ、「脆弱性が存在するのはGoogleの責任ではなく、ハッカーが見つけるより早く見つけているだけで、そこは直視しなければいけない現実」と指摘しています。
This is the core tweet of the Google-vs-FFmpeg debate.
FFmpeg is justifiably upset, Google is swamping it with vulns that the FFmpeg project doesn’t have the resources to fix. This is especially a big deal since such projects struggle to attract necessary talent in writing… https://t.co/MymvBzJOTu
— Robert Graham (@ErrataRob) November 3, 2025
議論は広がっていて全体像が見えにくくなっていますが、FFmpeg側の立場を支持する開発者は一定数いて、「react-google-maps/api」の開発者でメンテナーだというアレクセイ・リャホフ氏は「毎週ほぼ100万ダウンロードされ、数十万ものプロジェクトで利用されていますが、Googleは2回コンサルティング依頼をしてきたものの、個人への支援をしてくれたことはありません。もしオープンソースコミュニティに対してGoogleがこのような態度を続けるのであれば、『パッケージを商用ライセンスで再ライセンスする』か『パッケージを完全に削除してGoogleを切り捨てる』かも検討します」と言及しました。
I’m an author and maintainer of react-google-maps/api package which is used my hundreds of thousands of projects and almost a million downloads weekly.
Google has contacted me 2 times for consulting, but never even once has supported me personally.
If Google going to continue…— Alexey Lyakhov (@justfly1984) November 4, 2025
なおGoogle Project Zeroは、2025年7月から「脆弱性は発見から1週間以内に報告し、パッチの提供有無は問わず、90日で開示する」というで新たな報告透明性ポリシーの試験運用を始めていて、開発者の大きな負担となっています。
The New Stackは、セキュリティ問題は明らかされるべきであるという専門家側の意見は認めつつも、オープンソースプロジェクト側には対応するだけの人的リソースも資金も足りていない点を指摘。たとえばウェルンホーファー氏が2025年12月末でのメンテナンス終了を表明しているlibxml2は、すべてのウェブブラウザやウェブサーバー、LibreOffice、多くのLinuxパッケージに不可欠なライブラリであり、重大なセキュリティ侵害が発生する前に支援が必要だと主張しました。
この記事のタイトルとURLをコピーする
この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。