Desde 2010, o Google recompensa os pesquisadores de segurança que identificam falhas em seus produtos. Em 2025, o gigante tecnológico pagou uma quantia recorde a esses especialistas, testemunhando a crescente importância de sua contribuição para a segurança das tecnologias modernas. Vamos descobrir como esse programa continua a se adaptar e expandir para enfrentar novas ameaças.
O essencial a reter
- O Vulnerability Reward Program (VRP) do Google distribuiu mais de 81 milhões de dólares desde 2010.
- Em 2025, 17,1 milhões de dólares foram pagos a mais de 700 pesquisadores, marcando um aumento de 40% em relação ao ano anterior.
- O programa integrou novas categorias, incluindo a inteligência artificial e a ferramenta OSV-SCALIBR.
Evolução do Vulnerability Reward Program
Lançado em 2010, o Vulnerability Reward Program (VRP) do Google evoluiu progressivamente para incluir diversos produtos e tecnologias. Inicialmente centrado em plataformas como Android e Chrome, o programa se expandiu para cobrir serviços de nuvem e softwares de código aberto. Em 2025, a introdução da inteligência artificial no VRP marcou uma nova etapa, destacando a prioridade do Google em proteger suas inovações tecnológicas.
Com um total de 81,6 milhões de dólares pagos em 15 anos, o VRP continua a se adaptar às necessidades da segurança digital. Essa expansão permite não apenas antecipar ameaças potenciais, mas também reforçar a confiança dos usuários nos produtos do Google.
Foco na inteligência artificial e na nuvem
Em 2025, a inteligência artificial foi destacada com a criação de um programa dedicado, separado do Abuse VRP. Esta iniciativa permite que os pesquisadores foquem especificamente nas vulnerabilidades em modelos de aprendizado de máquina e funções de IA, como as do Gemini. Regras precisas e escalas de recompensas foram estabelecidas para cada cenário elegível, facilitando assim o trabalho dos pesquisadores.
As sessões de hacking por convite, chamadas bugSWAT, também contribuíram para a melhoria dos dispositivos de segurança. Eventos organizados em cidades como Tóquio, Sunnyvale e Cidade do México permitiram explorar superfícies de ataque específicas, envolvendo IA, Android e a nuvem, gerando recompensas significativas para os participantes.
Impacto das ferramentas de código aberto e desafios relacionados à IA
Com a introdução do OSV-SCALIBR, o Google reforçou sua estratégia de segurança em código aberto. Esta ferramenta detecta vulnerabilidades nas dependências de software, permitindo que os pesquisadores contribuam ativamente para a melhoria da segurança das aplicações. Prêmios são oferecidos para enriquecer esta ferramenta, incentivando contribuições externas.
No entanto, o uso crescente de ferramentas de inteligência artificial para gerar relatórios de bugs gerou desafios. Casos de falsos alertas foram relatados, como no projeto Curl, onde uma pequena parte dos relatórios se revelou verdadeira. Esta situação levou algumas equipes, incluindo a HackerOne, a revisar temporariamente seus procedimentos de submissão.
O futuro da segurança informática e dos bug bounties
Com os avanços tecnológicos incessantes, a segurança informática continua sendo uma prioridade. Os programas de bug bounties, como o do Google, ilustram a importância da colaboração entre empresas e pesquisadores independentes para antecipar e neutralizar ameaças. À medida que as tecnologias evoluem, essas iniciativas continuarão a adaptar suas estratégias para enfrentar os desafios de amanhã, especialmente com o crescimento da IA e da Internet das Coisas (IoT).
