Há uma década, os programas de recompensa para pesquisadores que reportavam vulnerabilidades em software ainda começavam a ganhar escala.
Os programas de divulgação de falhas e de bug bounty representaram uma mudança de paradigma construída ao longo de anos.
Eles deslocaram instituições de uma postura de hostilidade e defesa em relação às descobertas da pesquisa de segurança para o reconhecimento de que receber contribuições e lançar correções era necessário.
Quando a Apple finalmente anunciou um bug bounty em 2016, a maior recompensa era de US$ 200.000.
O valor subiu para US$ 1 milhão em 2019 e para US$ 2 milhões no ano passado.
Agora, porém, tudo isso está prestes a mudar novamente.
À medida que modelos de IA agêntica se tornam mais capazes de identificar vulnerabilidades em software de forma autônoma e também de desenvolver exploits para essas falhas, em outras palavras, encontrar fraquezas e criar ferramentas de invasão, os programas de divulgação de vulnerabilidades passaram a receber um volume muito maior de envios justamente no momento em que as organizações também estão encontrando mais bugs do que nunca por conta própria.
Essa abundância está mudando a economia dos bug bounties, tanto para as instituições que recebem as submissões quanto para os pesquisadores, alguns dos quais hoje tiram dali seu sustento ou complementam a renda.
E, de forma crucial, esse cenário também está mudando em ritmo semelhante para os atacantes.
"Provavelmente enviei três vezes mais bugs do que no mesmo período do ano passado.
Suspeito que uma empresa como o Google vá gastar de duas a 10 vezes mais com pagamentos de bug bounty do que gastou no ano passado", afirma Joseph Thacker, pesquisador independente de segurança, que desenvolveu métodos e ferramentas para usar IA em suas próprias caçadas a bugs.
Ele acrescenta que gigantes de tecnologia "aguentam essa pressão, mas a maioria das empresas não consegue.
Neste momento, as pessoas vão estar enviando casos triviais, de baixa e média complexidade, enquanto os agentes estão encontrando bugs realmente bons.
Mas, no próximo ano, haverá menos bugs enviados porque boa parte disso já terá sido encontrada, e acho que algumas empresas vão aumentar novamente suas recompensas".
Thacker e outros pesquisadores admitem sem hesitação que ninguém sabe exatamente como a dinâmica de oferta e demanda vai se comportar no longo prazo.
E, dependendo de quão eficazes forem a descoberta de exploits por IA e a varredura automatizada de sistemas para atacantes, os desenvolvedores podem começar a sentir ainda mais pressão para lançar patches rapidamente, o que pode acelerar padrões de longa data e conquistados a duras penas, como os prazos de divulgação de 90 dias, que definem janelas fixas entre a descoberta de bugs e sua divulgação pública e muitas vezes antecipam a liberação de correções.
Como escreveu o pesquisador de segurança Himanshu Anand no início deste mês, "a janela de divulgação responsável de 90 dias foi criada para um mundo em que quem encontrava bugs era raro e o desenvolvimento de exploits era lento.
Esse mundo acabou.
Os LLMs comprimiram os dois cronogramas".
De forma importante, a responsabilização imposta pelos atacantes também pode estimular melhorias na velocidade com que as organizações aplicam correções em seus sistemas.
A proliferação de patches sempre foi um desafio de segurança crucial, mas complexo, já que, sem testes adequados, instalar novo software em larga escala pode gerar efeitos colaterais indesejados, incluindo cenários extremos como interrupções.
A urgência dos ataques reais viabilizados por IA parece estar aumentando, com atores sofisticados e também menos preparados tentando ampliar suas capacidades e reduzir custos.
Em descobertas publicadas no início deste mês, por exemplo, pesquisadores do Google afirmaram ter observado "atores proeminentes do cibercrime", que se recusaram a identificar, tentando explorar uma vulnerabilidade zero-day, ou seja, até então desconhecida, que eles haviam desenvolvido usando ferramentas de IA para contornar a autenticação de dois fatores em uma plataforma de administração de sistemas open source.
O Google notificou rapidamente o desenvolvedor, que então lançou uma correção para a falha.
Mas os pesquisadores disseram que o incidente foi uma demonstração crucial da mudança no cenário da caça a bugs.
"Todos nós presumimos que isso já estivesse acontecendo, e esta é a nossa primeira evidência de que isso de fato está acontecendo", afirma John Hultquist, analista-chefe do Google Threat Intelligence Group, ao comentar o uso de IA por atacantes para descobrir vulnerabilidades inéditas e criar exploits.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...