A empresa de cibersegurança FuzzingLabs acusou a startup Gecko Security, apoiada pela aceleradora Y Combinator, de replicar suas divulgações de vulnerabilidades e alterar datas em publicações no blog para que parecessem anteriores às originais.
Segundo a FuzzingLabs, a Gecko registrou CVEs para duas falhas já reportadas pela primeira, chegando a copiar os PoCs (proofs of concept), reapresentá-los e assumir os créditos.
A Gecko negou irregularidades, classificando as acusações como um mal-entendido sobre os processos de disclosure.
A disputa entre as duas startups veio à tona após a FuzzingLabs afirmar que a Gecko "copiou nossos PoCs, reivindicou os CVEs e chegou a alterar datas das postagens no blog".
Para a empresa, não se trata apenas de duas vulnerabilidades, mas da integridade na pesquisa em segurança.
“Nós seguimos o modelo de responsible disclosure. Eles aguardaram nossos relatórios públicos, copiaram os PoCs, resubmeteram e ficaram com o crédito.”
As vulnerabilidades em questão são:
- Falha no servidor Ollama (ollama/ollama) que permite o roubo do token de autenticação, com o relatório original registrado em 24 de dezembro de 2024, posteriormente atribuído ao
CVE-2025-51471
.
- Vulnerabilidade no Gradio (gradio-app/gradio) que possibilita cópia arbitrária de arquivos e DoS (Denial of Service) via mecanismo de marcação, com relatório original datado de 16 de janeiro de 2025, depois designado
CVE-2025-48889
.
A FuzzingLabs é uma empresa focada em pesquisa que desenvolve ferramentas open-source baseadas em IA para segurança ofensiva e fuzzing, tendo o FuzzForge como seu projeto mais conhecido.
Já a Gecko se posiciona como um “AI Security Engineer para seu código”, auxiliando na identificação e correção de vulnerabilidades.
Durante sua investigação, a FuzzingLabs constatou que pull requests (PRs) enviados pela Gecko foram criados após a divulgação pública de seus relatórios no Huntr.
Além disso, algumas vulnerabilidades possuíam múltiplos CVEs — um gerado pelo relatório original e outro por PRs da Gecko.
A FuzzingLabs afirma ter “provas irrefutáveis” de que a Gecko copiou os exploits linha a linha, graças a “assinaturas únicas que inserimos intencionalmente para identificar nosso trabalho em caso de plágio”.
A empresa também apontou que, ao menos sete vulnerabilidades exibidas no site da Gecko parecem ter sido apropriadas de outros pesquisadores, apresentando evidências com registros temporais (timestamps).
Após a repercussão, o GitHub atualizou alguns avisos para creditar os relatórios originais da FuzzingLabs.
A Gecko, por sua vez, editou postagens antigas em seus blogs para dar os devidos créditos a Mohammed Benhelli e Patrick Ventuzelo, da FuzzingLabs, e corrigiu as datas de publicação.
A Gecko explicou o ocorrido como um “cruzamento infeliz” e não um plágio intencional, ressaltando que seu fluxo de trabalho envolve contato direto com mantenedores dos projetos, sem passar por plataformas de terceiros.
Em resposta publicada nas redes sociais, a startup afirmou:
“Estamos desapontados com acusações públicas feitas sem contato prévio, especialmente após lançarmos um produto concorrente. Trabalhamos diretamente com mantenedores via GitHub, não por plataformas de bounty. Nem nós nem os mantenedores conhecíamos os relatórios da Huntr na época; caso contrário, teriam sido marcados como duplicados. Creditaram publicamente a FuzzingLabs pelos dois CVEs cujas descobertas foram feitas primeiro, e estamos sempre dispostos a reconhecer quem encontra primeiro. A acusação sobre CVEs roubados não se sustenta, pois muitos links indicados já estavam marcados como ‘duplicados’ ou ‘inválidos’ na Huntr.”
A comunidade de segurança se dividiu: alguns questionaram a justificativa da Gecko, enquanto outros destacaram os desafios de gerenciar múltiplos relatórios duplicados, especialmente diante das incertezas sobre o futuro do programa CVE da CISA.
O BleepingComputer tentou contato com ambas as empresas para esclarecer os fatos, mas não obteve resposta da Gecko.
Em comunicado por e-mail, Patrick Ventuzelo, da FuzzingLabs, reiterou o que já havia sido divulgado nas redes, mas também destacou que as atualizações feitas pela Gecko foram um passo positivo.
“No entanto, a sequência original dos eventos e as alterações nas datas dos blogs levantam dúvidas maiores sobre o processo deles”, afirmou Ventuzelo.
“Eles classificaram esses casos como ‘duplicados’, mas PoCs idênticos e marcadores únicos inseridos por nós contradizem essa narrativa.”
O caso evidencia as complexidades envolvidas no reconhecimento de créditos e na coordenação durante a responsible disclosure, especialmente quando múltiplos pesquisadores ou empresas identificam falhas semelhantes de forma independente ou dependem de dados públicos disponíveis na internet.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...