Programas de bug bounty sob pressão da IA

No episódio 173 do podcast de bug bounty Critical Thinking, os apresentadores discutiram como a IA está começando a afetar visivelmente o mercado de bug bounty — principalmente de forma negativa.

Principais efeitos destacados pelos participantes do podcast:

🔹 Um fluxo massivo de relatórios gerados por IA está levando alguns programas de bug bounty a reduzir operações, enquanto outros (como os programas VRP do Android e Chrome do Google) estão cortando significativamente as recompensas para vulnerabilidades de baixa e média severidade. 🔹 O custo de pentesting automatizado está caindo drasticamente: os serviços mais baratos de $100–500 são principalmente wrappers em torno de modelos de IA bem conhecidos. Embora a qualidade dessas avaliações varie, seu custo está muito abaixo dos pagamentos típicos de bug bounty. 🔹 Equipes de segurança internas estão usando cada vez mais ferramentas de IA para identificar vulnerabilidades durante todo o ciclo de vida do serviço antes do lançamento em produção. Como resultado, no momento em que um programa de bounty é lançado, a maioria das vulnerabilidades de baixa complexidade já foi corrigida.

Essa competição com soluções de IA muda o foco de encontrar vulnerabilidades para validá-las — agora a habilidade principal. Ao mesmo tempo, os programas de bug bounty estão elevando a barra de entrada não apenas através de requisitos técnicos: em um experimento do HackenProof, introduzir uma taxa de submission de $5 reduziu o fluxo de relatórios de baixa qualidade em cerca de 80%. Em última análise, o mercado provavelmente está se movendo em direção a uma seleção mais rigorosa de participantes, separando gradualmente a busca oportunista por lucro da pesquisa de segurança profissional.

✅ Ainda assim, os apresentadores enfatizam que as mesmas tecnologias expandem as oportunidades de aprendizado e treinamento. Você pode se aprofundar nos tópicos levantados no podcast através do link.