O programa Internet Bug Bounty interrompeu as novas submissões de vulnerabilidades e a emissão de recompensas na semana que antecedeu o dia 6 de abril de 2026. A decisão ocorre porque as ferramentas de inteligência artificial aumentaram drasticamente o ritmo de descobertas de falhas de segurança, sobrecarregando a capacidade de correção dos desenvolvedores da comunidade. De acordo com informações do Slashdot, a iniciativa precisa reestruturar suas operações para equilibrar a busca e a mitigação dos problemas no ecossistema de código aberto. Essa paralisação tem impacto direto no Brasil, que conta com uma forte comunidade de pesquisadores de segurança cibernética atuantes nessas plataformas globais (frequentemente remunerados em dólar), além de afetar empresas de tecnologia nacionais que dependem massivamente de infraestruturas de código aberto.
Como o avanço da inteligência artificial impactou as recompensas?
Criado no ano de 2012, o programa de recompensas é financiado por grandes empresas de tecnologia e já distribuiu mais de US$ 1,5 milhão para pesquisadores de segurança cibernética ao longo de sua trajetória. Historicamente, os pagamentos eram estruturados em uma divisão estatística clara: 80% do fundo era destinado aos profissionais que descobriam novas falhas, enquanto os 20% restantes serviam para apoiar os esforços práticos de correção dessas vulnerabilidades.
No entanto, a plataforma HackerOne revelou por meio de um comunicado oficial que a dinâmica estrutural mudou drasticamente nos últimos meses. As tecnologias automatizadas aceleraram o processo de detecção, forçando uma reavaliação do projeto financeiro.
A pesquisa auxiliada por IA está expandindo a descoberta de vulnerabilidades em todo o ecossistema, aumentando tanto a cobertura quanto a velocidade. O equilíbrio entre as descobertas e a capacidade de correção no código aberto mudou substancialmente.
— Publicidade —Google AdSense • Slot in-article
Quais projetos de código aberto já foram afetados pela paralisação?
Um dos primeiros grandes projetos a sentir os impactos diretos da suspensão foi o Node.js. Conhecida como uma robusta plataforma de linguagem JavaScript voltada para aplicações web no lado do servidor, a iniciativa conta com um ecossistema gigantesco de dependências. A equipe de desenvolvimento confirmou em seu site oficial que continuará a receber e a classificar os relatórios de falhas de segurança.
Contudo, sem o financiamento oriundo do programa suspenso, a plataforma de desenvolvimento não fará mais o pagamento de recompensas financeiras aos caçadores de vulnerabilidades. O cenário reflete uma tendência mais ampla que atinge grandes corporações da indústria de tecnologia mundial. Em março de 2026, o Google também adotou uma postura semelhante. A gigante tecnológica suspendeu o recebimento de envios gerados por algoritmos automatizados em seu próprio Programa de Recompensa por Vulnerabilidades de Software de Código Aberto (OSS VRP).
Para entender a gravidade e as motivações do cenário atual, é necessário observar os principais fatores que levaram à mudança no mercado de cibersegurança:
- O desequilíbrio estrutural entre o volume de falhas encontradas e a capacidade humana de corrigi-las em tempo hábil.
- A paralisação dos pagamentos no projeto Node.js, apesar da manutenção da triagem técnica.
- A decisão do Google de frear os relatórios automatizados em seus sistemas internos.
- A necessidade urgente de criar novas diretrizes que priorizem a solução definitiva dos problemas.
Qual é o futuro das iniciativas de proteção cibernética na internet?
Os gestores do projeto enfatizaram publicamente a responsabilidade ética perante a comunidade global de tecnologia. O objetivo principal do fundo sempre foi possuir um duplo propósito vital: incentivar a descoberta de falhas ocultas e garantir que elas sejam solucionadas de forma rápida e eficiente para proteger os usuários finais.
Temos a responsabilidade com a comunidade de garantir que este programa cumpra efetivamente o seu ambicioso duplo propósito: descoberta e correção. Diante disso, estamos pausando as submissões enquanto consideramos a estrutura e os incentivos necessários para promover esses objetivos. Continuamos comprometidos em fortalecer a segurança do código aberto. Trabalhando com mantenedores de projetos e pesquisadores, estamos avaliando ativamente soluções para alinhar melhor os incentivos com as realidades do ecossistema de código aberto e garantir que as descobertas de vulnerabilidades se traduzam em resultados de correção duráveis.
