O fenômeno conhecido como “AI slop” – conteúdo de baixa qualidade gerado por inteligência artificial – está criando um novo problema no mundo da cibersegurança. Relatórios falsos de vulnerabilidades, criados por modelos de linguagem, estão inundando plataformas de bug bounty e confundindo especialistas em segurança.
O Problema dos Relatórios Fantasmas
Nos últimos anos, a internet tem sido invadida por conteúdo gerado por IA de baixa qualidade, incluindo imagens, vídeos e textos que poluem websites, redes sociais e até mesmo jornais. Agora, essa tendência chegou ao setor de cibersegurança de forma preocupante.
“As pessoas recebem relatórios que soam razoáveis, parecem tecnicamente corretos. Então você acaba investigando, tentando descobrir ‘onde está essa vulnerabilidade?’ Acontece que era apenas uma alucinação o tempo todo. Os detalhes técnicos foram simplesmente inventados pelo modelo de linguagem.”
Esta declaração é de Vlad Ionescu, co-fundador e CTO da RunSybil, uma startup que desenvolve caçadores de bugs alimentados por IA. Ionescu, que anteriormente trabalhou na equipe vermelha do Meta, explica que um dos problemas fundamentais é que os modelos de linguagem são projetados para serem úteis e dar respostas positivas.
Casos Reais Preocupantes
O problema não é apenas teórico. Harry Sintonen, um pesquisador de segurança, revelou que o projeto de segurança open source Curl recebeu um relatório falso. “O atacante calculou muito mal”, escreveu Sintonen. “O Curl consegue detectar ‘AI slop’ a quilômetros de distância.”
A situação se tornou tão grave que um desenvolvedor open-source que mantém o projeto CycloneDX no GitHub removeu completamente seu programa de bug bounty no início deste ano após receber “quase exclusivamente relatórios de AI slop.”
Impacto nas Principais Plataformas
As principais plataformas de bug bounty estão sentindo o impacto diretamente:
- HackerOne: Michiel Prins, co-fundador da empresa, confirma que encontraram alguns casos de AI slop, descrevendo um aumento em “falsos positivos – vulnerabilidades que parecem reais mas são geradas por modelos de linguagem e carecem de impacto no mundo real.”
- Bugcrowd: Casey Ellis, fundador da plataforma, relata que estão vendo um aumento geral de 500 submissões por semana, embora ainda não tenham observado um pico significativo em relatórios de baixa qualidade.
Respostas da Indústria
Empresas como Mozilla relatam que não viram um aumento substancial em relatórios inválidos que pareçam ser gerados por IA, mantendo uma taxa de rejeição estável de 5 a 6 relatórios por mês (menos de 10% de todos os relatórios mensais).
Outras grandes empresas de tecnologia, incluindo Microsoft e Meta, preferiram não comentar sobre o assunto.
Soluções Emergentes
Para combater esse problema crescente, a HackerOne lançou recentemente o Hai Triage, um novo sistema de triagem que combina humanos e IA. Este sistema utiliza “agentes de segurança de IA para cortar o ruído, sinalizar duplicatas e priorizar ameaças reais”, com analistas humanos validando os relatórios posteriormente.
Ionescu prevê que uma das soluções para o problema crescente do AI slop será continuar investindo em sistemas alimentados por IA que possam pelo menos realizar uma revisão preliminar e filtrar submissões quanto à precisão.
O Futuro da Segurança Digital
À medida que hackers usam cada vez mais modelos de linguagem e empresas dependem de IA para fazer a triagem desses relatórios, ainda não se sabe qual das duas IAs prevalecerá nesta batalha tecnológica.
O que está claro é que a indústria de cibersegurança precisa se adaptar rapidamente para distinguir entre relatórios legítimos e conteúdo gerado artificialmente, garantindo que vulnerabilidades reais não sejam perdidas no meio do ruído digital.
