A inundação de bugs por IA inunda programas de recompensas por bugs enquanto as empresas lutam contra relatórios falsos

Resumidamente

* Empresas que gerem programas de recompensa por bugs relatam um aumento acentuado em submissões de baixa qualidade geradas por IA.
* HackerOne e Nextcloud ambos suspenderam programas de recompensa por bugs após ondas de relatórios falsos.
* Empresas de segurança dizem que as ferramentas de IA estão mudando a caça a bugs, tornando mais fácil enviar relatórios em grande escala.

A inteligência artificial está criando uma nova dor de cabeça para empresas que dependem de programas de recompensa por bugs para descobrir vulnerabilidades de software.
Empresas de cibersegurança e projetos de software de código aberto estão lidando com um aumento de relatórios de bugs gerados por IA, muitos dos quais são falsos ou enganosos. Isso de acordo com um relatório do Financial Times, que afirma que o número crescente de submissões de baixa qualidade está forçando algumas organizações a pausar programas de recompensa por bugs, enquanto as equipes de segurança gastam mais tempo separando vulnerabilidades reais de spam.
Recompensas por bugs também se tornaram um grande negócio, com empresas incluindo Meta, Microsoft, Apple e Crypto.com pagando coletivamente pelo menos 58 milhões de dólares em 2025 a pesquisadores que encontram falhas de software antes que hackers o façam.

No entanto, ferramentas de IA generativa também estão facilitando a exploração de programas de recompensa por bugs, produzindo grandes volumes de relatórios de vulnerabilidades imprecisos ou de baixa qualidade em escala.

De acordo com a Bugcrowd, com sede em São Francisco, os relatórios enviados através de sua plataforma mais do que quadruplicaram durante três semanas de março. A empresa, cujos clientes incluem a OpenAI, desenvolvedora do ChatGPT, afirmou que a maioria dos relatórios eram falsos.
Por causa da enxurrada de relatórios gerados por IA, algumas empresas já começaram a reduzir seus programas públicos de recompensa.

“Recompensas por bugs vão continuar [but] elas vão precisar mudar,” disse Ross McKerchar, diretor de segurança da informação na empresa de cibersegurança Sophos, ao Financial Times.
Em abril, a plataforma de cibersegurança HackerOne e a plataforma de hospedagem Nextcloud suspenderam seus programas pagos de recompensa, com a Nextcloud acrescentando que “nenhuma recompensa financeira será concedida por quaisquer submissões, independentemente da gravidade.”
“Como provavelmente vocês sabem, este é um desafio de toda a indústria e, como outros, não conseguimos encontrar maneiras responsáveis de lidar com o aumento massivo de relatórios de baixa qualidade,” escreveu a Nextcloud. “Esperamos poder reiniciar o programa assim que uma abordagem confiável para filtrar os relatórios de baixo esforço for encontrada.”
As notícias sobre recompensas por bugs surgem enquanto os modelos de IA estão se tornando cada vez melhores em encontrar vulnerabilidades. Em março, a Anthropic lançou o Mythos, um modelo de IA focado em cibersegurança que, segundo a empresa, consegue identificar vulnerabilidades mais rapidamente do que humanos. A empresa atualmente mantém o modelo em sigilo, permitindo acesso apenas a gigantes da tecnologia, empresas de segurança e governos.
Em abril, o Claude Mythos identificou 271 vulnerabilidades no Mozilla Firefox durante testes internos, enquanto no início deste mês, pesquisadores de segurança disseram que uma versão de pré-visualização do modelo ajudou a desenvolver um exploit direcionado aos chips M5 da Apple.
Usuários do Myriad — uma plataforma de mercado de previsão operada pela empresa-mãe do Decrypt, a Dastan — não acreditam que o Claude Mythos será lançado publicamente até o final de junho, atualmente estimando apenas 18% de chances.