As equipes de criptografia estão vendo um aumento no envio de recompensas por bugs, à medida que as ferramentas de inteligência artificial facilitam a leitura de códigos e a elaboração de relatórios.

Ao mesmo tempo, muitos protocolos afirmam que o volume crescente inclui mais descobertas de baixa qualidade ou imprecisas, o que dificulta o trabalho de revisão.

Programas de recompensa por bugs recompensam pesquisadores de segurança por relatarem falhas de software antes invasores exploram eles. Na criptografia, esses programas tornaram-se uma parte comum dos esforços de segurança porque os protocolos geralmente gerenciam grandes quantidades de fundos de usuários e operam por meio de código-fonte aberto.

Barry Plunkett, co-CEO da Cosmos Labs, disse A IA está mudando a forma como os programas de recompensa por bugs funcionam. Ele disse que o programa da empresa teve um aumento acentuado no volume no ano passado.

“Nosso programa teve um aumento de 900% no volume de envios em relação ao ano passado, da ordem de 20 a 50 por dia”, observou Plunkett.

Ele acrescentou que o aumento incluiu relatórios válidos e inválidos, criando mais trabalho para as equipes que tentam separar problemas reais de reivindicações fracas.

Kadan Stadelmann, diretor de tecnologia da Komodo Platform, também disse que viu um crescimento no envio de recompensas por bugs e pagamentos entre organizações. Ele disse que alguns relatórios recentes pareciam ser de baixa qualidade e, em alguns casos, podem ter sido falsos positivos.

“Definitivamente houve um aumento nos envios de recompensas por bugs de baixa qualidade, alguns dos quais foram falsos positivos, sugerindo potencialmente o fornecimento de IA”, disse Stadelmann ao Cointelegraph.

Ele acrescentou que a IA pode ter reduzido o custo e o esforço necessários para produzir um relatório, levando a mais submissões.

IA ajuda pesquisadores, mas adiciona mais ruído

As ferramentas de IA podem ajudar os pesquisadores a revisar grandes quantidades de código e apontar possíveis vulnerabilidades mais rapidamente. Isso tornou mais fácil para os pesquisadores de segurança participarem de programas de recompensas e enviarem descobertas para protocolos.

No entanto, os sistemas de IA também podem gerar resultados imprecisos. No trabalho de recompensa por bugs, isso pode significar que as equipes recebem relatórios que parecem técnicos, mas não descrevem falhas reais. Isso aumenta a pressão sobre os desenvolvedores e a equipe de segurança, que devem analisar cada reclamação.

A tendência mais ampla é visível além da criptografia. Em janeiro Daniel Stenberg criador da ferramenta de código aberto curl disse ele estava encerrando seu programa de recompensas por bugs depois de lidar com o que descreveu como um influxo de “resíduos de IA em relatórios de vulnerabilidade”.

HackerOne, uma das maiores plataformas de recompensas de bugs, relatado em janeiro, registrou 85.000 envios válidos de recompensas em 2025. Esse número aumentou 7% em relação ao ano anterior.

Plataformas reforçam padrões de revisão

À medida que o volume de envios aumenta, algumas equipes de criptografia estão mudando a forma como executam programas de recompensas. Plunkett disse que o Cosmos Labs reforçou a forma como avalia os relatórios recebidos e agora dá mais peso a pesquisadores confiáveis ​​​​com um histórico sólido.

Ele também disse que a empresa está trabalhando com provedores de recompensas por bugs que oferecem suporte de triagem mais avançado. Essa etapa tem como objetivo ajudar a reduzir o tempo gasto na revisão de envios fracos ou duplicados.

Essas mudanças mostram que as equipes estão tentando manter os programas de recompensas úteis enquanto gerenciam a carga extra criada pelos relatórios assistidos por IA. Os programas ainda precisam de investigadores externos, mas também precisam de filtros mais fortes.

As equipes de segurança podem recorrer à IA para defesa

Stadelmann disse que a IA também pode se tornar parte da resposta. Ele disse que equipes menores podem ter mais dificuldades porque têm menos engenheiros disponíveis para revisar um grande número de envios.

“As equipes de blockchain terão que criar dissuasores de IA para filtrar as recompensas de bugs recebidas”, disse ele.

Ele acrescentou que os sistemas defensivos de IA poderiam ajudar a classificar os relatórios e reduzir a carga das equipes internas.

Stadelmann também disse que os protocolos podem precisar de padrões mais rígidos de submissão para reduzir o número de relatórios fracos. À medida que as ferramentas de IA se espalham, os programas de recompensa por bugs provavelmente permanecerão ativos, mas as equipes podem precisar de novos processos para gerenciar o fluxo crescente.