O dia em que o Internet Bug Bounty parou de aceitar novos envios

Criado em 2012 e sustentado por algumas das maiores empresas de software do mundo, o programa Internet Bug Bounty acaba de suspender o recebimento de novos relatórios. A justificativa é direta: scanners de código movidos por IA estão inundando o sistema com descobertas em volume que nenhum orçamento humano consegue absorver.

Em mais de uma década, o programa distribuiu mais de US$ 1,5 milhão a pesquisadores que encontraram falhas na infraestrutura fundamental da internet. O modelo funcionava porque tinha um gargalo natural: o tempo e o esforço humano necessários para descobrir vulnerabilidades sérias.

Esse gargalo simplesmente deixou de existir.

Execução simbólica em escala industrial: o que os modelos estão fazendo que humanos não conseguem

Para um pesquisador experiente, identificar uma condição de corrida em uma biblioteca de rede multithread pode consumir semanas de testes manuais, revisão de estado e reprodução de cenários de falha. Um agente algorítmico faz o mesmo simulando milhares de estados de execução em minutos, e ainda entrega o relatório formatado.

Isso não é ficção científica. É análise sintática abstrata e execução simbólica aplicadas a codebases completas. O resultado prático: o volume de relatórios de vulnerabilidade está crescendo exponencialmente, enquanto os orçamentos de recompensa foram calibrados para produção humana.

Quando a produção deixa de ter teto, o orçamento se esgota quase instantaneamente.

Node.js sem bug bounty: o que isso significa para o ecossistema npm

O colapso não é isolado. O projeto Node.js confirmou recentemente a suspensão de seu próprio programa de recompensas por esgotamento de financiamento externo. Os processos internos de revisão continuam, mas o incentivo financeiro para pesquisadores independentes auditarem o core do runtime simplesmente sumiu.

Isso importa mais do que parece. Aplicações corporativas modernas puxam rotineiramente milhares de pacotes interdependentes do registro npm. Cada pacote é um vetor de ataque em potencial. O programa de bug bounty do Node.js existia exatamente para criar um mecanismo de auditoria descentralizada dessas dependências.

Sem ele, a responsabilidade cai inteiramente sobre mantenedores voluntários e equipes internas de segurança das empresas que consomem o ecossistema.

Atacantes não estão mais esperando o código: agora eles miram os mantenedores

Há uma consequência perversa quando a descoberta de vulnerabilidades fica barata e onipresente: atacantes sofisticados param de buscar o bug e começam a atacar a pessoa que faria o patch.

Ataques recentes de engenharia social contra mantenedores de alto impacto do npm, incluindo os responsáveis pela biblioteca Axios, ilustram essa virada. Se ferramentas automatizadas já vasculham o código, o vetor humano se torna o elo mais fraco. E esse elo agora opera sem a rede de proteção de programas de segurança comunitários bem financiados.

Rust, Zig e o realinhamento forçado de linguagens para 2026

A crise está acelerando uma transição que já estava em curso. Rust, Zig e versões mais modernas de linguagens gerenciadas estão ganhando terreno nas camadas de infraestrutura, e o motivo vai além de performance.

Se uma organização precisa internalizar integralmente o custo de auditoria de segurança porque os programas públicos de recompensa falharam, o cálculo muda completamente: construir em uma linguagem que previne corrupção de memória em tempo de compilação passa de preferência técnica para decisão financeira.

O custo de um microsserviço em C ou C++ sem cobertura externa de segurança agora inclui auditoria contínua, triagem de relatórios gerados por máquina e gestão de falsos positivos. Esse número precisa estar no orçamento operacional.

A ilusão dos “muitos olhos” sobre o código open source acabou

O princípio de Linus, de que código com muitos revisores é inerentemente mais seguro, sempre teve uma premissa implícita: que esses revisores eram humanos, motivados financeiramente por programas de bounty, e que o volume de descobertas seria compatível com a capacidade humana de processamento.

Todas essas premissas falharam ao mesmo tempo.

Os olhos que agora escrutam o código são algorítmicos. Eles produzem relatórios em escala industrial, incluindo alta taxa de falsos positivos, e os mecanismos financeiros criados para processar suas descobertas não foram projetados para essa carga.

O modelo que substitui o bug bounty: patrocínio direto de dependências

Organizações com mais clareza estratégica já estão reagindo. Em vez de depender de recompensas reativas por bugs, estão criando escritórios dedicados para monitorar a saúde das dependências e canalizando financiamento corporativo diretamente aos mantenedores das linguagens e frameworks críticos para o negócio.

Patrocínio direto e previsível, não bounty reativo, está emergindo como o único modelo financeiramente sustentável para a cadeia de suprimentos de software.

O que muda no dia a dia de quem desenvolve

• Se você depende de bibliotecas open source populares: o tempo médio até uma vulnerabilidade ser explorada pode diminuir, porque a descoberta está mais rápida, mas o patch não necessariamente acompanha.

• Se você especifica stack para novos projetos: o custo de auditoria contínua precisa entrar no cálculo de TCO de qualquer linguagem que não ofereça garantias de segurança de memória em compilação.

• Se você é mantenedor de biblioteca: prepare-se para um volume crescente de relatórios automatizados, com qualidade variável, sem contrapartida financeira para triá-los.

A suspensão do Internet Bug Bounty não é um evento isolado. É o indicador mais visível de uma correção estrutural em curso no mercado de segurança de software open source. E o ajuste de contas vai chegar para quem consome o ecossistema, com ou sem aviso.