IA afoga programas de bug bounty com submissões falsas

Programas de bug bounty — os esquemas onde empresas pagam hackers éticos para encontrar falhas de segurança — estão enfrentando uma avalanche "sem fim" de submissões geradas por IA, segundo o Financial Times. Ferramentas de LLM estão sendo usadas para fabricar relatórios de vulnerabilidades que parecem legítimos mas são superficiais, genéricos ou simplesmente falsos.

A lógica é simples e perversa: com LLMs, gerar centenas de relatórios tecnicamente plausíveis custa quase zero. Mesmo que 1% passe na triagem, o hacker recebe. Para as empresas, o custo é duplo — pagar triadores humanos para filtrar o lixo e, eventualmente, recompensar alertas sofisticados sem substância. Plataformas como HackerOne e Bugcrowd já relatam aumento significativo no volume de trabalho de revisão sem aumento equivalente em bugs reais.

Por que importa: Se sua empresa tem ou usa programa de bug bounty, prepare-se para revisar critérios de triagem e exigir provas de conceito concretas — não apenas descrições geradas por IA. O custo operacional de segurança vai subir antes de cair, e equipes de segurança precisarão de novas ferramentas para distinguir slop de vulnerabilidade real.