- O Google registrou mais de 100 vulnerabilidades no Chrome em maio de 2026, volume considerado histórico, com parte proveniente de ferramentas internas de IA.
- O aumento é atribuído ao uso de inteligência artificial para encontrar falhas, levando a mudanças previstas no programa de recompensas para pesquisadores externos.
- O Google desenvolve ferramentas de IA para segurança, como Big Sleep e CodeMender, além de integrar o modelo Gemini aos sistemas; também há acesso ao Claude Mythos para cibersegurança.
- Como consequência, as recompensas pagas a pesquisadores independentes caíram, com a recompensa base por falhas de memória chegando a US$ 500, variando por gravidade e facilidade de exploração.
- O mercado de bug bounty passa por transformação: projetos de código aberto já enfrentam alta demanda por relatos, e o Google planeja aumentar o total de recompensas em 2026, apesar dos valores individuais menores.
O Google informou que o Chrome teve um volume recorde de vulnerabilidades descobertas internamente em maio de 2026, superior a 100 falhas. O uso de inteligência artificial nas ferramentas de descoberta é apontado como parte desse crescimento. A mudança pode redesenhar o mercado de bug bounty.
As falhas representam falhas no código que podem permitir acesso não autorizado, roubo de dados ou controle de sistemas. Como o Chrome é o navegador mais usado, o impacto envolve bilhões de usuários. Tradicionalmente, pesquisadores independentes recebiam recompensas por essas descobertas.
Entre março e abril de 2026, o Google registrava apenas algumas falhas identificadas internamente. Em 5 de maio o boletim apontou 100 vulnerabilidades da própria empresa, e novas atualizações somaram mais de 70 falhas adicionais.
IA na prática
O Google desenvolve ao menos duas ferramentas com IA voltadas à segurança: o Big Sleep, que bloqueia exploração de falhas críticas, e o CodeMender, que identifica falhas no código, sugere correções e pode aplicar patches com aprovação. O Gemini também é usado nesses sistemas.
A empresa afirma que a automação acelera o trabalho de equipes internas e que a IA ajuda a avançar em ritmo sem precedentes. O uso dessas tecnologias também favorece a detecção de falhas em escala maior do que a média anterior.
Repercussões no mercado e recompensas
Como consequência, o valor pago a pesquisadores independentes caiu em alguns casos. A recompensa base para falhas de memória, por exemplo, passou para US$ 500, com multiplicadores conforme gravidade. Valores anteriores podiam chegar a várias vezes esse montante.
O programa Internet Bug Bounty, focado em código aberto, suspendeu temporariamente novas submissões para evitar sobrecarga de análise causada por IA. O Chrome 147 trouxe 30 correções, incluindo quatro de alta gravidade, principalmente falhas do tipo use after free.
Panorama futuro
O Google planeja aumentar o total de recompensas pagas em 2026, mesmo com valores individuais menores. Em 2025, a empresa distribuiu cerca de US$ 17,1 milhões no programa de bug bounty, indicador da importância estratégica das falhas para a empresa e para o ecossistema de segurança.
Entre na conversa da comunidade