O Google reconfigura seus programas de recompensas por vulnerabilidades parae, ao mesmo tempo, ajustar o baixo pagamento por vulnerabilidades cuja detecção se tornou trivial com ferramentas de inteligência artificial. A mudança redefine o que se valoriza: os maiores cheques — até $1.5 milhões — reservam-se para cenários de exploração extremo, como cadeias completas "zero-click" que comprometem o chip de segurança Titan M2 em telefones Pixel e que também persistem após o reinício, enquanto variantes sem persistência permanecem em níveis intermédios (até 750.000 dólares).
No campo do navegador, o Google tem elevado as recompensas para exploits full-chain do processo do navegador em ambientes atualizados, com prêmios de até $250,000 e um bônus adicional específico -$250,128 - se o pesquisador consegue violar as designações protegidas por MiraclePtr. Mas para além dos números, a reforma traz duas mudanças operacionais que marcarão a relação entre pesquisadores e o programa: no Chrome, o Google exige relatórios concisos com testes reprodutíveis em vez de análises narrativas extensas (que a IA pode facilmente gerar), e no Android a atenção se restringe a vulnerabilidades do kernel Linux em componentes mantidos pelo Google ou a falhas demonstráveis em dispositivos Android reais.
Essa reorientação responde a uma realidade dupla: por um lado, a automação e as ferramentas de IA têm permitido gerar descrições técnicas e análises longas com muito menos esforço humano, diluindo o valor desses relatórios; por outro, persistem vetores de alto impacto que continuam requerendo pericia, tempo e acesso físico ou lógico sofisticado, pelo que o Google busca reconhecê-los com prêmios superiores e priorizar em seu triage. O Google explica estas mudanças em seu blog oficial, onde resume a filosofia e as novas regras do programa: Evolving the Android & Chrome VRPs for the AI era. Para aqueles que querem consultar a história da iniciativa e sua evolução, o programa de recompensas do Google existe desde 2010 e acumula pagamentos significativos: o item original e a página do programa oferecem contexto e critérios de elegibilidade.
O que isto significa para o ecossistema de segurança? Primeiro, um incentivo claro para que a pesquisa se oriente para exploits complexos ou com impacto real em dispositivos, o que provavelmente elevará a qualidade técnica das vulnerabilidades relatadas nas categorias mais altas. Em segundo lugar, existe o risco de uma menor remuneração por falhas que antes podiam ser relatadas com descrições extensas e agora ficam desincentivados: pesquisadores com menos recursos ou recém-chegados poderiam optar por vender resultados a mercados cinzentos em vez de os informar se os pagamentos caem abaixo do esperado. Terceiro, a exigência de provas concretas fará com que a barreira técnica para obter recompensa seja mais alta - não basta descrever um bug, há que demonstrar explorabilidade em condições reais -, o que por sua vez pode acelerar a maturidade dos testes de conceito público.
Para equipes de segurança e administradores, a reestruturação do Google traz sinais práticos: não confiem apenas em descrições longas, priorizem a verificação automática e a reprodudibilidade de patches, e preparem fluxos de correção que integrem ferramentas de análise impulsionadas por IA para agilizar resoluções. O reforço de funções como MiraclePtr sublinha a importância de mitigações de memória e de camadas adicionais de defesa; por isso, é aconselhável avaliar a compatibilidade com essas tecnologias e medir sua eficácia em ambientes controlados antes de as colocar em massa.
Para pesquisadores e caçadores de bugs, a mensagem é clara: focar esforços na evidência técnica. Presente testes de conceito executáveis, captures mínimas e, quando relevante, demonstrações em hardware ou OS atualizados. Demonstrar persistência ou exploração no mundo real será crucial para aspirar às recompensas máximas. Também convém documentar o alcance do impacto e colaborar com os equipamentos de adesivos para facilitar a remediação, já que o Google disse que sua própria instrumentação e ferramentas internas cada vez cobrem mais parte do trabalho de análise e geração de fixes.
Finalmente, de uma perspectiva de políticas e responsabilidade corporativa, essas mudanças sugerem que os programas de bug bounty continuarão a se adaptar à era da IA: os reguladores e as empresas devem considerar marcos que fomentem a divulgação responsável, ofereçam proteção legal a pesquisadoras e incentivem a publicação de correções em vez da monetização em mercados opacos. Enquanto o Google reportou um ano recorde em pagamentos — $17.1 milhões em 2025 — e um acumulado que supera os US$81 milhões desde o lançamento do programa, o verdadeiro sucesso será medido em quantas dessas vulnerabilidades ficam adesivos e em quanto o risco para usuários finais é reduzido.
Em suma, a reforma do programa de recompensas do Google é uma resposta pragmática à automação que traz a IA: mais dinheiro para o difícil, mais exigência de provas para o resto. Para o setor, a decisão exige ajustar prioridades, melhorar a automação de triage e fortalecer a colaboração entre pesquisadores e fornecedores para que o incentivo econômico se traduza em software mais seguro e menos ataques bem-sucedidos.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...