Principais destaques:
- Google passa a rejeitar relatórios de vulnerabilidade criados por IA em seu programa de recompensas
- Explosão de envios automatizados tem sobrecarregado mantenedores de código aberto
- Big techs anunciam US$ 12,5 milhões para conter impactos causados pela própria IA
O Google anunciou uma mudança importante em seu Programa de Recompensas por Vulnerabilidades: relatórios gerados por inteligência artificial não serão mais aceitos. A decisão surge em meio a uma avalanche de submissões consideradas imprecisas, redundantes ou sem impacto real na segurança.
A medida afeta diretamente pesquisadores e entusiastas que vinham utilizando ferramentas automatizadas para identificar falhas em projetos de código aberto. Segundo a empresa, o volume aumentou, mas a qualidade caiu drasticamente, dificultando a identificação de ameaças reais.
Uma avalanche de relatórios pouco confiáveis
Nos últimos meses, equipes de segurança passaram a lidar com um cenário caótico. Relatórios criados por IA frequentemente apresentam erros, como descrições de vulnerabilidades inexistentes ou cenários de ataque improváveis.
Para conter o problema, o Google agora exige evidências mais concretas. Isso inclui provas reproduzíveis por ferramentas como OSS-Fuzz ou até sugestões de correção incorporadas. O objetivo é garantir que apenas falhas relevantes avancem no processo de análise.
A crise não é isolada. Projetos populares de código aberto, antes acostumados a poucos relatórios semanais, passaram a receber centenas de submissões de uma só vez, muitas delas geradas automaticamente sem compreensão real do código.
O impacto nos mantenedores de código aberto
O efeito colateral dessa automação tem sido especialmente duro para mantenedores independentes. Muitos desses profissionais trabalham de forma voluntária e não têm estrutura para lidar com o volume crescente.
Um exemplo emblemático é o do criador do cURL, que chegou a encerrar seu programa de recompensas após perceber que menos de 5% dos relatórios recebidos eram realmente úteis. Além da perda de eficiência, há também desgaste mental, já que filtrar informações irrelevantes se tornou parte constante da rotina.
Esse cenário acendeu um alerta em toda a indústria sobre os limites do uso indiscriminado de IA em processos críticos de segurança.
Big techs financiam solução para problema que ajudaram a criar
Em resposta à crise, a Linux Foundation anunciou um fundo de US$ 12,5 milhões com apoio de gigantes como Microsoft, OpenAI e Amazon Web Services.
O investimento será direcionado a iniciativas como a Open Source Security Foundation e o projeto Alpha-Omega, com foco em criar ferramentas que ajudem a filtrar, priorizar e validar relatórios de segurança.
Ao mesmo tempo, o próprio Google segue apostando em soluções baseadas em IA, como sistemas de detecção de vulnerabilidades e ferramentas de correção automática. A expectativa é que a tecnologia, apesar de ter contribuído para o problema, também seja parte essencial da solução.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
