IA inunda segurança com lixo: o fim do modelo de bug bounty?

A narrativa de que mais vulnerabilidades reportadas significam um ecossistema de segurança mais maduro está começando a ruir em 2026, e o grande vilão tem nome: Inteligência Artificial. O uso de LLMs no processo de caça a falhas está criando um incentivo perverso para reportar em volume, não em qualidade.

O resultado? Um aumento explosivo nos números: mais de 40 mil CVEs em 2024 e mais de 48 mil em 2025. Projetos open source, como o curl, estão se tornando sobrecarregados com relatórios de baixa qualidade, a ponto de Daniel Stenberg, criador do curl, anunciar o fim do programa de bug bounty na HackerOne.

A situação se tornou insustentável: apenas 5% dos relatórios eram de vulnerabilidades reais, e cada um exigia horas de validação por revisores humanos. O custo de gerar esses relatórios é quase zero, mas o custo de triagem continua alto e humano.

O impacto operacional é devastador, e o curl não é um caso isolado. Projetos como Django e Node.js já impuseram restrições, e o mantenedor do libxml2 encerrou o suporte a relatórios.

A consequência direta é a fadiga de triagem e a desvalorização do sinal verdadeiro. Recursos que deveriam ser alocados em vulnerabilidades críticas acabam consumidos por relatórios de qualidade duvidosa.

O divisor de águas é que a IA pode ser uma ferramenta valiosa quando usada com rigor, como no caso de um pesquisador que, com auxílio de IA, submeteu 50 bugs reais ao curl. A diferença é a expertise humana filtrando os resultados.

Em suma, 2026 nos força a repensar o modelo de bug bounty e VDPs. A questão não é mais quantos CVEs são descobertos, mas qual fração representa risco real e qual é apenas o eco de uma ferramenta gerando texto plausível. 📉