近日，Google Project Zero 因使用其 AI 工具 “Big Sleep” 批量发现 FFmpeg 等项目中的安全漏洞，引发了与 FFmpeg 开源社区的激烈争论。

今年 7 月，Google 推出新的“报告透明度”流程：漏洞发现后一周内告知上游项目，但仍维持 90 天公开披露期限。8 月，AI 工具 Big Sleep 在 FFmpeg 中检测出约 20 个安全漏洞。Google 随即向项目通报问题，但并未提供修复补丁。

这让由志愿者维护的 FFmpeg 社区强烈不满，认为 Google 等大型公司使用自动化工具大量生成漏洞报告，却将修补压力完全推给开源志愿者，既不公平，也加剧了维护负担。FFmpeg 开发者直言：“巨型科技公司用 AI 找漏洞，却要志愿者来修，这合理吗？”

FFmpeg 社区称他们由志愿者维护，而非商业供应商，不应被迫承担由 Google 用 AI 工具发现漏洞所带来的“紧迫责任”。

Google 与安全研究人员则强调，FFmpeg 广泛嵌入浏览器、操作系统与应用中，是关键基础设施，必须及时处理安全问题。