Bug Bounty Virou Alvo de Golpistas com IA!
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Socket
AI Slop Is Polluting Bug Bounty Platforms with Fake Vulnerab...
AI-generated slop reports are making bug bounty triage harder, wasting maintainer time, and straining trust in vulnerability disclosure programs.
