Programa de Recompensas do Google: Especialistas em Segurança Reivindicam Prêmios por Vulnerabilidades
O Google lançou a “temporada de caça” a bugs em suas inteligências artificiais (IAs) através do AI Vulnerability Reward Program (AI VRP). A empresa vai pagar até US$ 30 mil, cerca de R$ 170 mil, para quem encontrar falhas graves.
A ideia é simples: aumentar a segurança digital das plataformas e incentivar pesquisadores, desenvolvedores e especialistas a detectar vulnerabilidades antes que bandidos virtuais as encontrem. Assim, se protege tanto quem usa as ferramentas, quanto as próprias plataformas.
Desde que começou a incluir a IA em seu programa de recompensas em 2023, o Google já pagou mais de R$ 2 milhões para caçadores de bugs. Agora, com o AI VRP, a empresa quer ser ainda mais proativa em proteger seus sistemas de inteligência artificial.
O Que o Google Busca: Falhas de Segurança Real
O programa não está focado em erros comuns, como respostas erradas geradas pela IA ou textos plagiados. A atenção está em brechas que podem colocar em risco dados de usuários, como acessos não autorizados e ações prejudiciais nas contas.
O Google especificou sete categorias principais, ressaltando as mais críticas:
- “Ações não autorizadas”: ataques que mudam informações de uma conta sem consentimento;
- “Exfiltração de dados sensíveis”: quando informações pessoais são extraídas sem permissão;
- “Roubo de modelos”: ataques que tentam copiar regras e dados de modelos de IA;
- “Manipulação de contexto”: onde a IA é alterada de maneira escondida;
Além disso, incluem-se questões de phishing e acessos indevidos. Contudo, problemas relacionados a “jailbreaks” e injeções de prompt não estão incluídos neste programa, pois são tratados por canais internos do Google.
Exemplos Práticos de Riscos
O Google apresentou exemplos que chamam a atenção. Um caso mencionou um ataque ao Google Home, onde um comando malicioso poderia destrancar uma porta sem autorização do usuário. Outro exemplo se refere a falhas no Google Calendar, onde eventos manipulados poderiam acionar ações indesejadas, como abrir persianas ou apagar luzes.
Essas situações revelam que pequenas alterações em comandos podem resultar em grandes falhas de segurança, afetando tanto o mundo físico quanto o digital dos usuários.
Quais Produtos Estão na Mira do AI VRP
O Google decidiu que o programa vai focar nos serviços mais visíveis e que têm um grande impacto mundial. Os principais na lista incluem:
- Aplicativos Gemini (para web, Android e iOS);
- Serviços do Workspace, como Gmail, Drive, Meet e Docs.
Serviços de teste ou restritos, como o NotebookLM e Jules, têm recompensas menores e estão em categorias diferentes. Projetos de código aberto fora do ecossistema do Google não integram essa iniciativa, já que o foco está em vulnerabilidades com potencial de atingir milhões de pessoas.
Valores e Como Participar
A recompensa varia conforme a gravidade da vulnerabilidade e a importância do produto afetado. Por exemplo, uma falha crítica em serviços como Gmail ou Gemini pode render US$ 20 mil (R$ 113 mil) como base. Se o relatório técnico for excepcional, o prêmio pode chegar a US$ 30 mil (R$ 170 mil).
Para produtos de menor prioridade, os pagamentos podem ser bem mais baixos, frequentemente limitados a algumas centenas de dólares. Desde 2023, quando se começou a incluir falhas de IA, mais de US$ 430 mil (R$ 2,4 milhões) já foram pagos a pesquisadores.
CodeMender e Segurança em Múltiplas Camadas
O AI VRP é apenas uma parte da estratégia do Google. Além disso, a empresa lançou o CodeMender, um agente de IA criado para corrigir falhas em códigos de software. Ele ajuda a sugerir correções de segurança em projetos de código aberto, que são revisadas por humanos antes de serem aplicadas.
O Google informa que o CodeMender já realizou 72 correções em projetos públicos. Além disso, a segurança em seus serviços está sendo reforçada — por exemplo, o Google Drive agora usa um modelo de IA treinado com diversas informações para detectar sinais de ransomware instantaneamente.
Quando um possível ataque é detectado, o sistema interrompe a sincronização de arquivos e cria uma “bolha protetora”, orientando o usuário sobre como restaurar documentos que possam ter sido comprometidos.
De acordo com especialistas, invasões desse tipo representam mais de 20% dos incidentes de segurança globalmente, com prejuízos que podem ultrapassar US$ 5 milhões (R$ 26 milhões).
Segurança Colaborativa e Futuro da IA
Para o Google, juntar recompensas externas, agentes de IA e camadas de proteção integradas é essencial para combater ameaças que estão cada vez mais sofisticadas. O objetivo é fortalecer o ecossistema digital de maneira colaborativa, transformando caçadores de bugs em aliados na defesa da privacidade e integridade dos sistemas.
Dessa forma, o programa não só busca melhorar a segurança, mas também envolve a comunidade de especialistas para colaborar na criação de um ambiente mais seguro para todos os usuários. Isso é importante, pois, no mundo digital, a colaboração pode fazer toda a diferença na prevenção e resposta a incidentes de segurança.
Assim, a iniciativa do Google busca um futuro onde a segurança online seja uma prioridade e onde todos possam colaborar para incrementar a proteção das tecnologias que usamos diariamente, tornando a navegação na internet mais segura e confiável.
