AI começou a “explorar a lã”: Node.js foi forçado a pausar recompensas devido a relatórios falsos de vulnerabilidades

A IA consegue escrever código, revisar código, e agora ela também consegue gerar relatórios de vulnerabilidades falsos.
Em 13 de abril, a HackerOne oficialmente suspendeu o “Programa de Recompensas por Vulnerabilidades na Internet” (IBB), que operava há 14 anos, e não aceita mais novas submissões de vulnerabilidades. A razão aparente é um ajuste na estratégia da plataforma, mas a verdadeira razão é uma só: relatórios falsos gerados por IA sobrecarregaram os mantenedores.
A HackerOne afirmou: “Ferramentas de IA aceleram a descoberta de vulnerabilidades muito além da velocidade de correção, e a plataforma está inundada por uma grande quantidade de relatórios de baixa qualidade, falsos ou até falsificados, quebrando o equilíbrio da comunidade de código aberto.”
E o primeiro a sofrer foi o Node.js.
O próprio anúncio oficial do Node.js afirmou: “Devido à suspensão do programa de recompensas da HackerOne, o projeto deixará de pagar recompensas pelos relatórios de vulnerabilidades. Como um projeto de código aberto movido por voluntários da comunidade, o Node.js não possui um orçamento independente para manter o fundo de recompensas, e com a fonte de financiamento externa cortada, as recompensas cessaram.”
Na verdade, antes mesmo da suspensão oficial da HackerOne, o Node.js já havia passado por uma rodada de ajustes. A empresa de segurança Socket apontou que o Node.js já havia aumentado bastante o limite para submissões, mas isso não conseguiu conter a enxurrada de ferramentas de IA — a cada relatório recebido, os voluntários de segurança precisam gastar muito tempo verificando, e nove em cada dez são gerados por IA.
Além disso, o Node.js não foi o primeiro a cair.
Em janeiro deste ano, o criador do cURL, Daniel Stenberg, anunciou a suspensão do programa de recompensas por vulnerabilidades, pelo mesmo motivo: em uma semana, a equipe recebeu sete relatórios de “falsas vulnerabilidades” gerados por IA, que pareciam bem elaborados, com linguagem rigorosa e estrutura completa, pareciam legítimos, mas após verificação manual, eram lixo. Ele chamou esse tipo de conteúdo de “AI Slop” — lixo redundante que parece razoável, mas na verdade é inútil.
A coisa absurda nisso tudo é que: o mecanismo de recompensas por vulnerabilidades foi criado para incentivar pesquisas de segurança de alta qualidade com dinheiro de verdade, mas a IA reduziu a barreira para submissão a zero — rodando uma varredura no código com IA, gerando dezenas de relatórios que parecem legítimos, enviando-os de olhos fechados, e se uma dessas for “acertar”, o autor ganha. Os mantenedores ficam afogados em relatórios lixo, e as vulnerabilidades reais acabam sem tempo de serem verificadas. $ETH