近日，Google Project Zero 因使用其 AI 工具 “Big Sleep” 批量發現 FFmpeg 等項目中的安全漏洞，引發了與 FFmpeg 開源社區的激烈爭論。

今年 7 月，Google 推出新的“報告透明度”流程：漏洞發現後一週內告知上游項目，但仍維持 90 天公開披露期限。8 月，AI 工具 Big Sleep 在 FFmpeg 中檢測出約 20 個安全漏洞。Google 隨即向項目通報問題，但並未提供修復補丁。

這讓由志願者維護的 FFmpeg 社區強烈不滿，認為 Google 等大型公司使用自動化工具大量生成漏洞報告，卻將修補壓力完全推給開源志願者，既不公平，也加劇了維護負擔。FFmpeg 開發者直言：“巨型科技公司用 AI 找漏洞，卻要志願者來修，這合理嗎？”

FFmpeg 社區稱他們由志願者維護，而非商業供應商，不應被迫承擔由 Google 用 AI 工具發現漏洞所帶來的“緊迫責任”。

Google 與安全研究人員則強調，FFmpeg 廣泛嵌入瀏覽器、操作系統與應用中，是關鍵基礎設施，必須及時處理安全問題。