Lixo Gerado por IA Ameaça Programas de Recompensa por Bugs na Cibersegurança

24/07/2025 Segurança

Grandes Modelos de Linguagem (LLMs) desencadearam uma onda de conteúdo de baixa qualidade na internet, de imagens a textos. Estou falando daquela porcaria de IA – e agora está se infiltrando na cibersegurança, criando dores de cabeça para os programas de recompensa por bugs. Esses programas, projetados para recompensar hackers éticos por encontrar vulnerabilidades, estão sendo inundados com relatórios falsos gerados por IA.

O Problema: IA que "Alucina" Vulnerabilidades

A questão central? Os LLMs são projetados para serem úteis. Se você pedir um relatório de vulnerabilidade, eles entregarão – mesmo que tenham que inventar os detalhes técnicos. Imagine receber um relatório que parece legítimo, mas depois de investigar, você percebe que a vulnerabilidade é completamente inventada. É isso que está acontecendo, e está desperdiçando o tempo de todos.

Um pesquisador de segurança até compartilhou como o projeto de código aberto Curl recebeu um relatório completamente falso. Felizmente, eles identificaram o conteúdo gerado por IA imediatamente. É como tentar passar uma nota falsa - alguns especialistas conseguem identificar de relance.

Plataformas de Recompensa por Bugs Estão Sentindo a Pressão

As principais plataformas de recompensa por bugs estão percebendo essa tendência. Um co-fundador mencionou um aumento nos "falsos positivos" – vulnerabilidades que parecem reais, mas são realmente geradas por IA e não têm impacto real. Esse ruído de baixa qualidade dificulta a identificação de ameaças de segurança genuínas.

No entanto, nem todo mundo está em pânico. Algumas empresas não viram um grande aumento nos relatórios falsos. De fato, uma empresa que desenvolve o navegador Firefox, disse que sua taxa de rejeição de relatórios de bugs não mudou muito. Eles também não usam IA para filtrar relatórios, porque não querem correr o risco de perder uma vulnerabilidade real.

O Futuro: IA vs. IA?

Então, qual é a solução? Alguns especialistas acreditam que a resposta é mais IA. A ideia é usar sistemas alimentados por IA para filtrar envios e identificar possíveis lixos gerados por IA. Uma plataforma lançou um novo sistema que combina analistas humanos com "agentes de segurança" de IA para eliminar o ruído e priorizar ameaças reais. É uma corrida armamentista.

Em última análise, é um jogo de gato e rato: hackers usando IA para encontrar (ou fabricar) bugs, e empresas usando IA para se defender. Resta saber qual lado sairá vitorioso. Mas uma coisa é certa: o aumento da porcaria da IA é um desafio sério para a indústria de cibersegurança.