Equipes de cripto estão vendo um aumento nas submissões de programas de recompensas por bugs, à medida que ferramentas de inteligência artificial facilitam a varredura de código e a elaboração de relatórios.
Ao mesmo tempo, muitos protocolos afirmam que o volume crescente inclui mais descobertas de baixa qualidade ou imprecisas, o que torna o trabalho de revisão mais difícil.
Programas de recompensa por bugs (bug bounty programs) remuneram pesquisadores de segurança por relatarem falhas de software antes que atacantes as explorem. No universo cripto, esses programas se tornaram uma parte comum dos esforços de segurança porque os protocolos frequentemente gerenciam grandes quantidades de fundos de usuários e operam por meio de código de código aberto.
Barry Plunkett, co-CEO da Cosmos Labs, disse que a IA está mudando a forma como os programas de recompensa por bugs funcionam. Ele afirmou que o programa da empresa viu um forte aumento no volume ao longo do ano passado.
“Nosso programa teve um aumento de 900% no volume de submissões em relação ao ano passado, na ordem de 20 a 50 por dia”, observou Plunkett.
Ele acrescentou que o aumento incluiu relatórios válidos e inválidos, criando mais trabalho para as equipes que tentam separar questões reais de alegações fracas.
Kadan Stadelmann, diretor de tecnologia da Komodo Platform, também disse ter observado um crescimento nas submissões de recompensas por bugs e nos pagamentos em várias organizações. Ele afirmou que alguns relatórios recentes pareciam ser de baixa qualidade e, em alguns casos, podem ter sido falsos positivos.
”Definitivamente, houve um aumento nas submissões de bug bounties de baixa qualidade, algumas das quais foram falsos positivos, potencialmente sugerindo origem por IA,” disse Stadelmann ao Cointelegraph.
Ele acrescentou que a IA pode ter diminuído o custo e o esforço necessários para produzir um relatório, levando a mais submissões.
Ferramentas de IA podem ajudar pesquisadores a revisar grandes quantidades de código e apontar possíveis vulnerabilidades mais rapidamente. Isso tornou mais fácil para pesquisadores de segurança participarem de programas de recompensa e enviarem descobertas aos protocolos.
No entanto, sistemas de IA também podem gerar resultados imprecisos. No trabalho de recompensa por bugs, isso pode significar que as equipes recebem relatórios que parecem técnicos, mas não descrevem falhas reais. Isso adiciona pressão sobre desenvolvedores e equipes de segurança que devem revisar cada alegação.
A tendência mais ampla é visível além do universo cripto. Em janeiro, Daniel Stenberg, criador da ferramenta de código aberto curl, disse que estava encerrando seu programa de recompensa por bugs após lidar com o que descreveu como um influxo de "lixo de IA em relatórios de vulnerabilidade."
A HackerOne, uma das maiores plataformas de recompensa por bugs, relatou em janeiro que registrou 85.000 submissões válidas em 2025. Esse número representou um aumento de 7% em relação ao ano anterior.
À medida que os volumes de submissão aumentam, algumas equipes de cripto estão mudando a forma como conduzem seus programas de recompensa. Plunkett disse que a Cosmos Labs apertou a forma como pontua os relatórios recebidos e agora dá mais peso a pesquisadores confiáveis com um histórico sólido.
Ele também disse que a empresa está trabalhando com provedores de recompensas por bugs que oferecem suporte de triagem mais avançado. Essa medida visa ajudar a reduzir o tempo gasto na revisão de submissões fracas ou duplicadas.
Essas mudanças mostram que as equipes estão tentando manter os programas de recompensa úteis enquanto gerenciam a carga extra criada pela relatoria assistida por IA. Os programas ainda precisam de pesquisadores externos, mas também precisam de filtros mais fortes.
Stadelmann disse que a IA também pode se tornar parte da solução. Ele afirmou que equipes menores podem ter mais dificuldades porque têm menos engenheiros disponíveis para revisar um grande número de submissões.
”As equipes de blockchain terão que criar impedimentos de IA para filtrar os bug bounties recebidos”, disse ele.
Ele acrescentou que sistemas de IA defensiva poderiam ajudar a classificar relatórios e reduzir a carga sobre as equipes internas.
Stadelmann também disse que os protocolos podem precisar de padrões mais rigorosos para as submissões a fim de diminuir o número de relatórios fracos. À medida que as ferramentas de IA se espalham, os programas de recompensa por bugs provavelmente permanecerão ativos, mas as equipes podem precisar de novos processos para gerenciar o fluxo crescente.
