«Платите или прекращайте искать баги». Разработчики FFmpeg выдвинули ультиматум Google и другим корпорациям

Один из важнейших проектов открытого ПО — FFmpeg — оказался в центре спора о том, кто несёт ответственность за безопасность ключевых компонентов интернета. Дискуссия разгорелась после того, как искусственный интеллект Google нашёл уязвимость в FFmpeg — в кодеке LucasArts Smush, отвечающем за первые кадры игры Rebel Assault 2 (1995 года). Ошибка была исправлена, но проект заявил: исправления выполняются добровольцами, а не корпорациями, которые на нём зарабатывают.

FFmpeg — это мощный мультимедийный фреймворк, обеспечивающий обработку аудио и видео для VLC, Kodi, Plex, браузеров Google Chrome и Firefox, а также видеосервисов вроде YouTube. Его библиотеки libavcodec и libavformat лежат в основе почти всей современной медиаплатформенной экосистемы. При этом разработка ведётся почти исключительно силами добровольцев.

Поводом для конфликта стало сообщение FFmpeg в X*: «Безопасность для нас крайне важна, но исправления пишут волонтёры». После этого последовала волна комментариев о том, что гиганты вроде Google и Amazon активно используют FFmpeg, но не поддерживают его напрямую.

Эксперт по open source Марк Этвуд напомнил, что проекты вроде FFmpeg не являются подрядчиками, у них нет NDA и «они могут одним письмом остановить три продуктовые линии корпорации». По его словам, даже убедить руководителей Amazon финансировать таких разработчиков оказалось невозможно.

Ситуацию усугубила новая политика Google Project Zero, которая с июля 2025 года публикует уведомления о найденных уязвимостях в течение недели после их обнаружения, даже если исправление ещё не готово. Для волонтёров, у которых нет ресурсов и зарплаты, 90-дневный срок исправления выглядит как давление со стороны корпорации.

FFmpeg заявил, что считает несправедливым использование ИИ для поиска ошибок в «хобби-коде» с последующим требованием всё исправить. Компания Google, в свою очередь, ссылается на то, что таким образом защищает общие цифровые интересы и даже предлагает Patch Rewards Program. Однако, как отметили разработчики FFmpeg, программа слишком ограничена и не покрывает реальные объёмы работы.

Руководитель Chainguard Дэн Лоренц заявил, что «поиск и публикация уязвимостей — тоже вклад в общее благо», а Google делает для open source больше, чем почти любая другая организация. Но представители сообщества видят в этом другое: корпорации с триллионными доходами перекладывают трудовую нагрузку на добровольцев.

Аналогичные проблемы испытывают и другие ключевые проекты, включая libxml2, поддержкой которого занимался Ник Велльнхофер. Он заявил о прекращении работы, пояснив, что еженедельные разборы «неприоритетных уязвимостей» занимают часы без какой-либо компенсации.

Без дополнительной поддержки со стороны корпораций, которые получают прибыль от открытого кода, многие критически важные проекты, основанные на работе добровольцев, могут остаться без поддержки и перестать развиваться вовсе.

* Социальная сеть запрещена на территории Российской Федерации.