A plataforma de bug bounty HackerOne reduziu os valores pagos por vulnerabilidades em seu programa Internet Bug Bounty, que permanece pausado e sem aceitar novas submissões. A recompensa por uma falha crítica caiu de US9.250 para US 2.257, uma redução de mais de 75%, enquanto vulnerabilidades de severidade média passaram de US1.843 para US 297.
Segundo a empresa, os níveis de recompensa se ajustam automaticamente com base nas contribuições dos patrocinadores ativos do programa. Um porta-voz afirmou que a pausa ocorre enquanto avaliam ajustes para maximizar o valor para pesquisadores, patrocinadores e o ecossistema de código aberto. A empresa não respondeu diretamente se relatórios gerados por inteligência artificial influenciaram a decisão.
Um pesquisador que reportou uma falha meses atrás finalmente recebeu o pagamento, mas com valor reduzido em relação ao esperado no momento da submissão. O hacker Jakub Ciolek, que reportou duas falhas no Argo CD no ano passado, continua aguardando posicionamento da plataforma. Segundo ele, a redução no pagamento é um sintoma de que a economia do reporte de vulnerabilidades está mudando rapidamente.
Impacto da IA nos bug bounties
O desenvolvedor líder do curl, Daniel Stenberg, afirmou que relatórios considerados “lixo de IA” desapareceram, dando lugar a uma quantidade crescente de relatórios de segurança realmente bons, quase todos feitos com ajuda de inteligência artificial. O mantenedor do kernel Linux, Greg Kroah-Hartman, também notou que relatórios assistidos por IA continham menos lixo e mais preocupações válidas.
O chefe do kernel Linux, Linus Torvalds, declarou que a lista de e-mails de segurança do projeto se tornou “quase totalmente ingerenciável” devido a múltiplos pesquisadores usando IA para encontrar falhas e preenchendo a lista com relatórios duplicados. O pesquisador Ciolek observa que relatórios assistidos por IA são reais o suficiente para importar, mas numerosos o bastante para sobrecarregar quem precisa validá-los e corrigi-los.
Segundo o especialista, encontrar falhas plausíveis está se tornando muito mais barato, e gerar relatórios é fácil de escalar. A parte cara continua sendo muito humana: alguém precisa verificar o impacto, desduplicar relatórios, decidir se algo realmente cruza uma fronteira de segurança, coordenar a divulgação e disponibilizar uma correção segura. Ciolek afirma que o modelo de bug bounty focado apenas na descoberta está se tornando obsoleto.
Ponto de atenção
O pesquisador ressalta que o problema de confiança é que a mudança foi efetivamente aplicada muito depois de o trabalho já ter sido feito, corrigido e creditado publicamente sob uma expectativa diferente. Ele diz que não está mais ativamente fazendo pesquisa de bug bounty, mas reportará problemas sérios conforme os encontrar.






