O projeto open source FFmpeg criticou a ferramenta de detecção de vulnerabilidades por IA do Google, Big Sleep, por encontrar um bug no código de decodificação do codec Smush da LucasArts, afetando os primeiros 10 a 20 quadros do jogo Rebel Assault II de 1995.
A Big Sleep, desenvolvida pelas divisões Project Zero e DeepMind do Google, é uma ferramenta de IA destinada a encontrar falhas de segurança em softwares antes que atacantes possam explorá-las.
O problema surgiu devido à política de “Transparência no Relatório” do Google, que exige que qualquer vulnerabilidade encontrada seja divulgada publicamente dentro de uma semana, iniciando um “relógio de divulgação” de 90 dias, independentemente de um patch estar disponível ou não.
Essa abordagem tem causado frustração na comunidade do FFmpeg, que, apesar de ter corrigido o bug, questiona a justiça de grandes corporações como o Google usarem IA para encontrar falhas em códigos mantidos por voluntários e, em seguida, esperar que esses mesmos voluntários resolvam o problema.
O FFmpeg é um projeto vital, utilizado em plataformas como Google Chrome, Firefox, YouTube, VLC, Kodi e muitos outros, sendo escrito quase que exclusivamente por voluntários. Grande parte de seu código é em linguagem assembly, tornando seu trabalho particularmente difícil.
Por isso, a comunidade do FFmpeg considera as descobertas da Big Sleep como “CVE slop”, uma crítica ao fato de o Google utilizar sua ferramenta de IA para identificar falhas que, embora possam ser técnicas, são de pouca relevância prática, como o bug no Rebel Assault II.
A situação destaca o crescente problema de como as grandes empresas de tecnologia, que dependem de software open source como o FFmpeg, não fornecem o suporte financeiro necessário para que os desenvolvedores voluntários possam lidar com a carga de trabalho que essas falhas geram.
O debate sobre a responsabilidade das grandes empresas em financiar projetos open source tomou corpo nas redes sociais, com vários participantes, incluindo o CEO da Chainguard, Dan Lorenc, questionando a abordagem do Google.
O núcleo da discussão gira em torno de como as vulnerabilidades devem ser reportadas, quem deve corrigir os problemas e os desafios que surgem quando IA é utilizada para gerar uma enxurrada de possíveis vulnerabilidades, muitas das quais podem não ter impacto real.
Para o FFmpeg, a questão fundamental é a falta de financiamento e suporte para corrigir falhas de segurança em um software essencial, mas sobfinanciado. A crítica do FFmpeg é clara: ou o Google começa a fornecer patches para as falhas que encontra ou começa a apoiar diretamente a manutenção do projeto.
O caso também coloca em evidência o problema mais amplo enfrentado por projetos open source, como o libxml2, que recentemente perdeu seu mantenedor devido à sobrecarga de trabalho com falhas de segurança não compensadas.
Isso ilustra um dilema crescente no mundo do software livre: como garantir que projetos essenciais, mas subfinanciados, possam ser mantidos e atualizados sem que sobrecarreguem voluntários, especialmente quando empresas bilionárias se beneficiam desses projetos sem oferecer suporte financeiro adequado.
Em resposta, o Google defendeu suas práticas, apontando que a divulgação pública de vulnerabilidades é uma contribuição positiva para a segurança digital, ajudando a proteger os usuários antes que atacantes possam explorar as falhas.
No entanto, a realidade é que, sem mais apoio financeiro para esses projetos, muitos deles, como o FFmpeg, podem acabar sendo abandonados, comprometendo a segurança e a estabilidade de muitos serviços digitais essenciais.
O debate continua, mas uma coisa está clara: a manutenção de software open source crítico precisa de mais apoio de empresas que lucram com seu uso.