A inteligência artificial, prometida como a próxima grande revolução na segurança cibernética, está inadvertidamente criando um novo e frustrante desafio: uma avalanche de relatórios de bugs falsos que parecem perfeitamente legítimos. Este fenômeno, apelidado de "AI slop", refere-se ao conteúdo de baixa qualidade gerado por Grandes Modelos de Linguagem (LLMs), e está agora a poluir os programas de caça a bugs (bug bounty), sobrecarregando equipas de segurança com vulnerabilidades que simplesmente não existem.
O problema reside na própria natureza dos LLMs. Estas ferramentas são projetadas para serem úteis e convincentes. Quando um utilizador lhes pede para gerar um relatório de vulnerabilidade, elas cumprem a tarefa com uma prosa técnica e uma estrutura profissional. O resultado é um documento que, à primeira vista, parece ouro. Contudo, como explica Vlad Ionescu, cofundador da RunSybil, uma startup que desenvolve caçadores de bugs com IA, muitas vezes é apenas lixo. "As pessoas recebem relatórios que parecem razoáveis, tecnicamente corretos. E depois acabam por investigar, tentando descobrir 'onde está esta vulnerabilidade?'", afirmou Ionescu ao TechCrunch. "Acontece que foi apenas uma alucinação. Os detalhes técnicos foram simplesmente inventados pelo LLM."
O Impacto Devastador nos Programas de Segurança
Esta inundação de relatórios falsos de IA tem consequências reais e mensuráveis. Cada relatório "alucinado" consome horas preciosas de analistas de segurança, que são desviados da tarefa de encontrar e corrigir falhas reais. A frustração é tão grande que alguns projetos estão a repensar a sua abordagem. Um exemplo notável é o projeto de código aberto CycloneDX, que encerrou completamente o seu programa de bug bounty após ser inundado com o que descreveu como "quase inteiramente relatórios de AI slop".
Este sentimento é partilhado por toda a comunidade. O investigador de segurança Harry Sintonen revelou que o projeto Curl recebeu um relatório falso, comentando que "o atacante calculou mal. O Curl consegue cheirar AI slop a quilómetros de distância." Em resposta, Benjamin Piouffle, da Open Collective, confirmou que a sua caixa de entrada está "inundada com lixo de IA". Estes não são incidentes isolados, mas sim os primeiros sinais de uma tendência preocupante que ameaça a eficiência dos programas que são vitais para a segurança do ecossistema digital.
Como as Plataformas Estão a Lidar com a Crise
As principais plataformas de bug bounty, que servem de intermediárias entre hackers éticos e empresas, estão na linha da frente desta batalha. As suas respostas, no entanto, variam.
A HackerOne, uma das líderes do setor, reconhece o problema. Michiel Prins, cofundador da empresa, admitiu ao TechCrunch um aumento de falsos positivos — vulnerabilidades que parecem reais mas são geradas por LLMs e não têm impacto no mundo real. Para combater isto, a empresa lançou o "Hai Triage", um novo sistema que combina inteligência artificial e analistas humanos para filtrar o ruído, identificar duplicados e priorizar ameaças genuínas.
Por outro lado, Casey Ellis, fundador da Bugcrowd, oferece uma perspetiva ligeiramente diferente. Embora reconheça que a IA é amplamente utilizada na criação de submissões, ele afirma que ainda não causou um "pico significativo em relatórios 'slop' de baixa qualidade", embora preveja que o problema possa escalar no futuro.
Enquanto isso, grandes empresas de tecnologia que gerem os seus próprios programas de bug bounty mostram-se mais cautelosas. A Mozilla, criadora do Firefox, afirmou não ter visto um aumento substancial em relatórios inválidos e que a sua taxa de rejeição permanece estável. Gigantes como Microsoft e Meta, que investiram massivamente em IA, recusaram-se a comentar, e a Google não respondeu aos pedidos de contacto do TechCrunch, deixando um vácuo de informação sobre como as maiores empresas do mundo estão a enfrentar este desafio.
O Futuro: Uma Corrida Armamentista entre IAs?
A solução para o problema do "AI slop" pode ser, paradoxalmente, mais IA. A previsão de especialistas como Ionescu é que o investimento em sistemas de IA capazes de realizar uma triagem preliminar e filtrar submissões com base na sua precisão será essencial. A iniciativa da HackerOne com o Hai Triage é um passo claro nessa direção.
Isto prepara o terreno para uma fascinante corrida armamentista tecnológica. De um lado, teremos indivíduos a usar LLMs para gerar rapidamente um grande volume de relatórios, na esperança de que alguns passem pelos filtros. Do outro, empresas a implementar sistemas de IA cada vez mais sofisticados para detetar e descartar estas submissões fabricadas. A grande questão será qual das IAs prevalecerá.
Este novo campo de batalha destaca uma verdade fundamental sobre a tecnologia: qualquer ferramenta poderosa pode ser usada tanto para construir como para sobrecarregar. O "AI slop" não é apenas spam; é uma forma de engano em escala que testa a resiliência dos nossos sistemas de segurança. A forma como a indústria responder a este desafio irá, sem dúvida, moldar o futuro da caça a bugs e definir o próximo capítulo na complexa relação entre inteligência artificial e segurança cibernética.
(Fonte original: TechCrunch)
