A situação saiu do controle: os desenvolvedores de código aberto estão sendo soterrados por uma avalanche de relatórios de bugs descobertos por IA.

A Bloomberg apurou que pequenas equipes de desenvolvimento de software de código aberto estão enfrentando um aumento sem precedentes em relatórios de vulnerabilidades gerados por inteligência artificial. Modelos de IA poderosos, como o Mythos da Anthropic, estão encontrando bugs mais rapidamente do que os mantenedores conseguem corrigi-los, criando sérios riscos à segurança global da internet.

Daniel Stenberg, o principal mantenedor do projeto cURL, relatou que sua equipe recebeu 181 relatórios de bugs em 2025, um volume comparável ao dos dois anos anteriores combinados. Em abril de 2026, o número já havia chegado a 87, podendo atingir cerca de 325 no ano. Stenberg observou que lida com a maior parte da carga de trabalho sozinho, já que é o único colaborador em tempo integral do projeto, mas reconheceu o aumento acentuado em sua carga de trabalho. Especialistas atribuem esse aumento ao surgimento de ferramentas como ChatGPT e Claude, que simplificaram significativamente o processo de encontrar bugs e preencher formulários de relatório.

A situação é agravada pelo lançamento do novo modelo Mythos da Anthropic, capaz de detectar e explorar vulnerabilidades de dia zero em sistemas operacionais e navegadores importantes de forma autônoma. Temendo sérias implicações econômicas e de segurança nacional, a desenvolvedora decidiu não liberar o modelo publicamente, disponibilizando-o apenas para organizações-chave, como a CrowdStrike e a Linux Foundation. Ao mesmo tempo, a empresa anunciou um investimento de US$ 4 milhões para apoiar equipes de manutenção de software.

A dependência do setor de tecnologia em relação ao código aberto, mantida porA gestão de vulnerabilidades em equipes pequenas e com poucos recursos está se tornando um problema em meio às altas avaliações de mercado das gigantes de TI. A carga de trabalho dessas equipes está crescendo mais rápido do que sua capacidade física de resposta a vulnerabilidades, ameaçando a estabilidade dos serviços de internet. No entanto, há esperança de que o novo modelo Mythos permita que os problemas sejam resolvidos antes de serem descobertos por atacantes.

O problema é agravado pelo acúmulo de código legado, que pode conter bugs e vulnerabilidades ocultos. Por exemplo, a base de código do cURL atualmente ultrapassa 592.000 linhas, e mesmo uma pequena atualização em um componente pode causar falhas em outras partes do sistema. Precedentes históricos, como a vulnerabilidade Heartbleed no OpenSSL, mostraram o quão catastróficas podem ser as consequências de bugs que permanecem sem detecção por muito tempo.

A ampla adoção de IA generativa forçou programas de recompensa por vulnerabilidades, como a iniciativa do Google e o Internet Bug Bounty, a suspenderem o recebimento de relatórios devido à enxurrada de relatórios gerados automaticamente. Especialistas descrevem a situação atual como um ataque de negação de serviço (DDoS) direcionado diretamente aos desenvolvedores, e engenheiros líderes da HAProxy e da SUSE confirmaram que o volume de dados recebidos se tornou assustador e difícil de processar.

Apesar dos riscos, o acesso antecipado a ferramentas avançadas de IA já está ajudando figuras importantes do setor, como Greg Kroah-Hartman, mantenedor do kernel do Linux, a solucionar problemas reais com mais eficácia. No entanto, a dependência do erro humano persiste. Por exemplo, Stenberg gastaEm média, são necessárias duas horas para resolver cada problema, e ele continua trabalhando em relatórios mesmo nos fins de semana. Ele expressa preocupação com o fato de o ritmo atual de trabalho ser insustentável e que mudanças urgentes são necessárias para preservar a saúde e a produtividade dos desenvolvedores de código aberto.