Великі мовні моделі дедалі частіше використовують для написання коду, текстів і навіть генерації паролів. Однак нове дослідження кібербезпекової компанії Irregular показало, що паролі, створені за допомогою ШІ, виглядають складними лише на перший погляд. Насправді вони мають низьку ентропію та можуть бути зламані за кілька годин.
Експерти перевірили популярні моделі — Claude, ChatGPT та Gemini і виявили повторювані шаблони, які значно спрощують злом паролів методом підбору.
Як проходило дослідження
Irregular просила кожну модель створити 16-символьні паролі з великими та малими літерами, цифрами і спеціальними символами. Зовні вони нагадували комбінації, які генерують професійні менеджери паролів.
Онлайн-перевірки надійності оцінювали їх як сильні та прогнозували роки або навіть століття для злому на звичайному ПК. Проте такі сервіси не враховують статистичні закономірності, характерні для LLM.
Повторювані шаблони
Під час тестування моделі Claude Opus 4.6 із 50 згенерованих паролів лише 30 виявилися унікальними. Частина повністю повторювалася. Більшість рядків починалися однаковими літерами та містили схожі символи.
ChatGPT часто використовував ті самі початкові символи, а Gemini генерував паролі з однаковими літерами на старті та обмеженим набором знаків. Дослідники також зафіксували відсутність повторюваних символів у межах одного пароля, що статистично малоймовірно для справді випадкової послідовності.
Потенційні ризики для розробників
Дослідники виявили типові AI-шаблони паролів у відкритих репозиторіях на GitHub та в технічній документації. Це свідчить, що розробники вже використовують LLM для створення облікових даних у тестових і навіть робочих середовищах.
На тлі зростання популярності ШІ-інструментів програмування ризики можуть масштабуватися. Якщо штучний інтелект дедалі частіше пише код, включно з конфігураціями доступу, передбачувані паролі можуть стати системною проблемою.
Irregular наголошує, що проблему неможливо вирішити простим переформулюванням запиту або зміною температури генерації. Архітектура LLM не призначена для створення криптографічно стійких значень.
