A HackerOne, uma das maiores plataformas de recompensas por bugs do mundo, implementou um corte severo nos valores pagos a pesquisadores de segurança que colaboram com o programa Internet Bug Bounty (IBB). Segundo reportagem do The Register, as novas tabelas de remuneração reduzem em mais de 75% o valor destinado a falhas críticas, que passaram de US$ 9.250 para US$ 2.257, enquanto vulnerabilidades de gravidade média sofreram redução de US$ 1.843 para US$ 297.

O programa, que atualmente encontra-se em pausa e sem aceitar novas submissões, enfrenta um gargalo operacional sem precedentes. A decisão da empresa de aplicar os novos valores retroativamente a relatórios pendentes gerou tensão entre a comunidade de pesquisadores, que agora questionam a previsibilidade e a ética do ecossistema de recompensas diante de uma mudança unilateral nas regras de engajamento.

A mudança na economia das vulnerabilidades

A desvalorização das recompensas reflete uma mudança estrutural na forma como vulnerabilidades são descobertas. Até pouco tempo, a escassez de talentos e o esforço manual para encontrar falhas justificavam prêmios elevados. Hoje, o uso de modelos de IA para varredura de código permitiu que o volume de relatórios crescesse exponencialmente, saturando a capacidade de análise dos mantenedores de projetos de código aberto.

O problema deixou de ser a descoberta da falha, que se tornou um processo barato e escalável, para ser a verificação humana. Projetos como o curl e o kernel do Linux têm relatado dificuldades em gerenciar o fluxo de submissões, muitas vezes duplicadas, o que torna a triagem uma tarefa exaustiva para os desenvolvedores responsáveis por validar e corrigir os problemas reais.

O dilema da verificação humana

A análise técnica sugere que o modelo de bug bounty tradicional, baseado estritamente na descoberta, está se tornando obsoleto. Como aponta a experiência de pesquisadores, a parte cara da cadeia de segurança continua sendo o trabalho humano necessário para confirmar se uma falha realmente cruza limites de segurança e coordenar sua correção de forma eficaz.

O incentivo atual, contudo, ainda privilegia o volume de achados, o que cria um descompasso. Enquanto a IA facilita a identificação de possíveis problemas, ela não substitui a necessidade de um especialista para avaliar o impacto real, levando a uma sobrecarga que, segundo especialistas, ameaça a sustentabilidade dos programas de recompensa e a confiança dos pesquisadores no sistema.

Tensões entre pesquisadores e plataformas

As implicações dessa reestruturação são profundas para o ecossistema de cibersegurança. A aplicação de novas taxas para trabalhos já realizados e submetidos sob expectativas financeiras anteriores corroeu a confiança, levando profissionais experientes a repensar sua participação em programas de bug bounty. Isso pode resultar em um cenário onde apenas os pesquisadores menos qualificados continuam ativos, enquanto profissionais de elite se afastam.

Para o mercado brasileiro, que tem visto um crescimento no uso de práticas de segurança ofensiva em empresas locais, o movimento da HackerOne serve como um alerta sobre a necessidade de modelos de remuneração mais inteligentes. A transição para modelos que valorizem a remediação e a qualidade da verificação, em vez de apenas o volume, parece inevitável para evitar a degradação da segurança em larga escala.

O futuro dos programas de recompensa

Permanece incerto como a indústria equilibrará a necessidade de incentivar a pesquisa ética com a limitação de recursos dos projetos de código aberto. A pressão por relatórios de alta fidelidade deve crescer, forçando uma mudança na forma como as plataformas filtram e recompensam as contribuições.

O setor observará, nos próximos meses, se a redução de pagamentos provocará uma fuga de talentos ou se forçará uma profissionalização maior dos pesquisadores. A sobrevivência do modelo de bug bounty dependerá da capacidade de transformar a relação entre quem reporta e quem corrige, tornando o processo mais previsível e focado no valor real entregue à segurança do software.

O desafio agora reside em definir o que constitui um trabalho valioso na era da automação, onde a barreira de entrada para encontrar falhas diminuiu consideravelmente. Apenas o tempo dirá se o mercado conseguirá sustentar a segurança do ecossistema global sem desvalorizar o capital humano que, ao final do dia, ainda é o responsável pela integridade dos sistemas.

Com reportagem de Brazil Valley

Source · The Register