Nowhere Is Safe这个标题让我想起FFmpeg代码库里那些永无止境的边界检查。去年我们修复了第114个CVE，涉及AVI解析器的整数溢出——具体是什么触发条件？有数据吗？从某种角度看，每个demuxer都是潜在的攻击面。

开源的透明性常被误读为安全性。en principe，代码可见意味着可审计，但FFmpeg支持超过100种容器格式，实际审计覆盖率值得商榷。其实当QEMU的virtio设备或TinyCC的即时编译遇到恶意构造的输入，"信任但验证"就显露出其模糊性。

我们是否需要更激进的沙箱机制，还是继续打补丁？这个问题没有简单答案。代码的拓扑复杂性提示我们：安全不是静态属性，而是动态博弈。