Tudo sobre Google
O Google lançou um programa de recompensas focado exclusivamente em encontrar bugs em seus sistemas de inteligência artificial (IA). A iniciativa, chamada de AI Vulnerability Reward Program (AI VRP), oferece prêmios de até US$ 30 mil (aproximadamente R$ 170 mil) para pesquisadores que identificarem falhas em serviços como a Busca do Google e os aplicativos do Gemini e do Workspace.
O objetivo é incentivar especialistas a relatar brechas que possam comprometer a segurança dos usuários, como roubo de dados e ações maliciosas em contas. Diferente de problemas de conteúdo, que são tratados internamente, o programa foca em riscos diretos à privacidade e integridade das plataformas.
Aberta a temporada de caça a bugs nas IAs do Google
Este novo programa amplia a estratégia de caça a bugs do Google, criando um canal dedicado para falhas em IA. Assim, a empresa busca esclarecer quais vulnerabilidades são prioritárias, definindo categorias e recompensas proporcionais ao impacto.
Esse movimento também revela a intenção do Google de valorizar a colaboração com pesquisadores independentes, que ajudam a fortalecer a segurança de seus serviços.
Escopo e tipos de falhas
O AI VRP abrange sete categorias principais. A mais crítica é a chamada rogue actions, onde um ataque altera a conta ou dados de um usuário sem autorização, afetando diretamente a segurança.
Outra categoria importante é a de sensitive data exfiltration, que envolve tentativas de extrair informações pessoais sem a aprovação do proprietário dos dados. Também existe a seção voltada para o model theft, que abrange ataques que buscam roubar parâmetros de modelos proprietários, e context manipulation, que lida com alterações ocultas no ambiente de IA da vítima.
Além disso, o programa cobre phishing, acessos indevidos a recursos pagos e ataques de negação de serviço. Qualquer problema relacionado a jailbreaks ou injeções de prompt deve ser reportado internamente.
Exemplos de vulnerabilidades
O Google forneceu exemplos práticos para ilustrar as falhas que o programa deseja combater. Um deles é a possibilidade de inserir um comando malicioso em dispositivos como o Google Home, permitindo destrancar uma porta sem autorização do usuário.
Outro exemplo é uma vulnerabilidade no Google Calendar, onde um evento adulterado poderia automaticamente abrir persianas e desligar luzes em uma casa. Essas situações mostram como ataques sutis podem resultar em brechas sérias, afetando a segurança física e digital.
Produtos ‘topos de linha’ em foco
O AI VRP concentra-se em serviços de alta visibilidade, como a Busca do Google, os aplicativos do Gemini e os principais aplicativos do Workspace (como Gmail, Drive, Meet e Docs).
Serviços com menor prioridade, como o NotebookLM, têm categorias secundárias, e produtos de terceiros ou projetos de código aberto fora do ecossistema Google não são abrangidos. O foco é garantir que as falhas afetem o menor número possível de usuários.
Valores das recompensas
Os valores das recompensas variam com a gravidade da falha e o tipo de produto afetado. Por exemplo, uma vulnerabilidade crítica em serviços ‘topos de linha’ pode render US$ 20 mil (aproximadamente R$ 113 mil) como valor base, podendo ser multiplicado pela qualidade da documentação apresentada.
Em casos excepcionais, o prêmio pode chegar a US$ 30 mil (cerca de R$ 170 mil). Para serviços menos sensíveis, os valores ficam na casa das centenas de dólares. Desde 2023, o Google já distribuiu mais de US$ 430 mil (R$ 2,4 milhões) a pesquisadores.
CodeMender e segurança em camadas no Drive
Além do programa de recompensas, o Google apresentou o CodeMender, uma IA projetada para ajudar a corrigir vulnerabilidades de software, sugerindo patches que passam por avaliação antes de serem aplicados. O CodeMender já colaborou com 72 correções em projetos públicos.
No Google Drive, uma IA detecta sinais de ransomware em tempo real, interrompendo a sincronização de arquivos suspeitos e criando uma proteção para evitar a propagação do ataque enquanto orienta o usuário a restaurar documentos corrompidos. Segundo a Mandiant, subsidiária do Google, invasões desse tipo representam mais de 20% dos incidentes de cibersegurança no mundo, levando a prejuízos superiores a US$ 5 milhões (R$ 26 milhões).
Para o Google, unir recompensas, inteligência artificial e segurança integrada é fundamental para enfrentar ameaças cada vez mais complexas.
O que você pensa sobre essa nova iniciativa do Google? Compartilhe sua opinião nos comentários!
Facebook Comments