O Google anunciou nesta semana uma reformulação estratégica em seus programas de recompensas por vulnerabilidades (VRP), elevando o prêmio máximo para exploits críticos de Android para 1,5 milhão de dólares. A medida reflete uma mudança de abordagem da gigante tecnológica em resposta ao papel crescente da inteligência artificial (IA) na descoberta de falhas de segurança.
As novas diretrizes priorizam a qualidade técnica e o impacto real dos relatórios submetidos por pesquisadores. O valor recorde de 1,5 milhão de dólares é reservado exclusivamente para cenários de ataque altamente complexos: exploits do tipo zero-click que comprometem o chip de segurança Pixel Titan M com persistência. Caso o exploit não apresente persistência, a recompensa máxima passa a ser de 750 mil dólares, enquanto a extração de dados protegidos por Elemento Seguro (Secure Element) pode render até 375 mil dólares.
Em contraste com o aumento no Android, o programa de recompensas para o navegador Chrome passou por reduções em categorias de falhas consideradas mais fáceis de identificar. O Google optou por diminuir pagamentos padrão para bugs que ferramentas de IA conseguem detectar com rapidez, faseando também a eliminação de bônus introduzidos anteriormente para vulnerabilidades específicas de execução remota de código.
A empresa explicou que, embora a IA tenha facilitado a geração de relatórios extensos, o volume de envios automatizados tornou-se um desafio para as equipes de triagem. A estratégia agora foca em relatórios concisos, que incluam obrigatoriamente provas de conceito (PoC) concretas e, idealmente, sugestões de correções. Por que isso importa agora? Com a IA reduzindo o custo operacional de busca por vulnerabilidades comuns, a indústria de cibersegurança enfrenta uma saturação de relatórios de baixo valor. Ao reorientar seus investimentos, o Google sinaliza que o mercado de bug bounty está premiando cada vez mais a especialização humana e a capacidade de encontrar falhas profundas que automatização ainda não domina.
Para pesquisadores interessados em Chrome, a empresa introduzirá configurações especiais no navegador para auxiliar na reprodução de problemas complexos, como vazamentos de memória. O Google ressalta que, apesar da redução em alguns valores individuais, a expectativa é que o gasto total com recompensas em 2026 ultrapasse o recorde de 17,1 milhões de dólares distribuídos em 2025.
Essa reestruturação consolida uma tendência observada entre grandes provedores de serviços digitais, que buscam otimizar a eficiência de suas defesas. O impacto final é a redução do ruído causado pelo excesso de submissões automatizadas, garantindo que os recursos da empresa sejam direcionados para mitigar as ameaças mais sofisticadas e perigosas para os usuários finais.
