O Google identificou mais de 100 vulnerabilidades no próprio navegador Chrome em maio de 2026, considerado um volume sem precedentes na história do programa de segurança da empresa. A aceleração é atribuída ao uso de inteligência artificial nas ferramentas internas de descoberta de falhas. É esperado que esse comportamento redesenhe as regras do jogo no mercado global de bug bounty, e a empresa já começou as mudanças nesse setor.As vulnerabilidades são falhas no código de um software que podem ser exploradas por criminosos para comprometer dispositivos, roubar dados ou assumir o controle de sistemas. No Chrome, esse tipo de problema tem impacto direto em bilhões de usuários, justamente por ser o navegador mais usado no mundo. Historicamente, a maior parte dessas falhas era descoberta por pesquisadores de segurança independentes. Com isso, surgiu um mercado chamado bug bounty, que funciona como um programa de recompensas. Os pesquisadores encontravam falhas nos códigos ou funcionalidades de empresas, reportavam e eram pagos pela descoberta.A atualização do Chrome 147 corrigiu 30 falhas de segurança, quatro delas classificadas como críticas — o nível mais alto de gravidade no sistema de avaliação de vulnerabilidades.IA encontrando falhas em escala industrialOs boletins de segurança do Chrome publicados entre o final de março e o início de abril de 2026 registravam apenas algumas vulnerabilidades identificadas internamente pelo Google. O número foi crescendo de forma constante, com 16 falhas na atualização de 15 de abril, 21 na de 28 de abril.Em 5 de maio, no entanto, um único boletim listou 100 vulnerabilidades descobertas pelo próprio Google. Nas duas atualizações seguintes, mais de 70 falhas adicionais vieram da mesma fonte interna.O Google não confirmou oficialmente o uso de IA como causa direta desse aumento. Mas, ao anunciar mudanças no programa de recompensas, a empresa afirmou que a inteligência artificial e a automação têm ajudado suas equipes a avançar "num ritmo sem precedentes".Ferramentas com inteligência artificial passaram a identificar falhas em navegadores em escala e velocidade inéditas.As ferramentas por trás do avançoO Google desenvolve internamente ao menos duas ferramentas com IA voltadas para segurança. O Big Sleep é um agente que já chegou a bloquear a exploração de uma vulnerabilidade crítica antes que ela fosse usada por atacantes. O CodeMender, desenvolvido pelo Google DeepMind, identifica falhas no código de forma autônoma, sugere correções, testa as soluções e pode aplicar os patches com aprovação dos desenvolvedores.A empresa também integra o Gemini, seu modelo de linguagem próprio, a esses sistemas. Além disso, o Google é uma das cerca de 50 organizações com acesso ao Claude Mythos, modelo de IA da Anthropic voltado especificamente para cibersegurança.A Mozilla, por exemplo, usou o Claude Mythos para encontrar mais de 270 vulnerabilidades no Firefox. Microsoft e Palo Alto Networks também relataram saltos significativos na descoberta de falhas após adotarem ferramentas similares.Claude Mythos, modelo de IA da Anthropic lançado em março de 2026, foi usado pela Mozilla para encontrar mais de 270 vulnerabilidades no Firefox.Recompensas ficam menores para pesquisadoresPor outro lado, o aumento na capacidade interna do Google teve uma consequência direta para os pesquisadores independentes. A empresa reduziu substancialmente os valores pagos por vulnerabilidades no Chrome. Por exemplo, a recompensa base para falhas de segurança de memória caiu para US$ 500, com multiplicadores que variam conforme a gravidade e a facilidade de exploração da falha. Antes, esses valores chegavam a ser 10 vezes maiores.O Google justificou a decisão argumentando que a IA facilitou a produção de relatórios detalhados. Além disso, a empresa alega que suas ferramentas internas já conseguem explicar e sugerir correções para a maioria dos bugs automaticamente.Agentes autônomos de segurança como o CodeMender, do Google DeepMind, identificam falhas, propõem correções e aplicam patches sem intervenção humana direta.Mercado em transformaçãoO impacto não se restringe ao Google. O programa Internet Bug Bounty, que recompensa pesquisadores por falhas em projetos de código aberto amplamente usados, suspendeu temporariamente a aceitação de novos relatórios. O motivo foi o volume excessivo de submissões geradas ou auxiliadas por IA, que supera a capacidade humana de análise.A atualização do Chrome 147, com 30 correções de segurança, ilustra bem o novo cenário. Quatro falhas foram classificadas como críticas e a maior parte das vulnerabilidades corrigidas foi do tipo "use after free". Nesse modelo, o programa tenta acessar dados numa área de memória que já foi liberada, o que pode permitir execução de código malicioso.O Google afirmou que pretende aumentar o total de recompensas pagas em 2026, mesmo com valores individuais menores. Em 2025, a empresa distribuiu um recorde de 17,1 milhões de dólares no programa de bug bounty.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.