Специалисты компании Irregular решили проверить, как искусственный интеллект справляется с задачей по созданию надёжных паролей. Были проанализированы три модели: Claude, ChatGPT и Gemini — все они сгенерировали пароли, которые на первый взгляд казались довольно надёжными, но на практике дело обстояло иначе.
Каждой модели была предложена задача создать 16-значный пароль, содержащий латинские буквы в разных регистрах, цифры и специальные символы. Полученные результаты выглядили весьма надёжными. К тому же они получили высокие оценки в различных онлайн-сервисах для проверки. Некоторые из таких сервисов утверждали, что для взлома сгенерированного пароля потребуются столетия.
Но, как утверждают в Irregular, необходимое время для взлома таких паролей значительно меньше, а онлайн-сервисы проверки выставили высокие оценки из-за незнания распространённых шаблонов. Именно этими шаблонами и пользовались ИИ-модели для решения вышеуказанной задачи. Поэтому у хакеров, обладающих определённым набором знаний, не составило бы труда взломать пароль, созданный искусственным интеллектом.
Авторы исследования обратились к модели Claude Opus 4.6 с 50 запросами, каждый из которых задавался в отдельном окне и в новом чате. Из 50 полученных паролей только 30 были уникальными (20 дубликатов, 18 из которых представляли собой одну и ту же строку), и подавляющее большинство начиналось и заканчивалось одними и теми же символами. Компания Irregular также заявила, что ни в одном из 50 паролей не было повторяющихся символов, что указывает на то, что они не были по-настоящему случайными.
Тесты с использованием OpenAI GPT-5.2 и Google Gemini 3 Flash также выявили сходство между всеми полученными паролями, особенно в начале строк.
Также предлагалось генерировать кодовые фразы, которые, по утверждению компании, легче запоминаются, но при этом столь же безопасны. Компания Irregular оценила энтропию сгенерированных LLM паролей, используя формулу энтропии Шеннона и понимая вероятности появления символов на основе закономерностей, отображаемых в результатах обработки 50 паролей.
Команда исследователей использовала два метода оценки энтропии: статистику символов и логарифмические вероятности. Они обнаружили, что энтропия 16-символьных паролей, сгенерированных с помощью LLM, составляет около 27 и 20 бит соответственно.
Для действительно случайного пароля метод, основанный на статистике символов, ожидает энтропию в 98 бит, в то время как метод, использующий логарифмические вероятности самой LLM, ожидает энтропию в 120 бит.
В действительности это означало бы, что сгенерированные LLM-системой пароли вполне могут быть взломаны методом перебора за несколько часов, даже на компьютере, которому уже несколько десятилетий, утверждала компания Irregular.
Знание закономерностей также позволяет определить, как часто LLM-ы используются для создания паролей в проектах с открытым исходным кодом. Исследователи показали, что поиск распространенных последовательностей символов в GitHub и в интернете в целом возвращает тестовый код, инструкции по настройке, техническую документацию и многое другое.
В конечном итоге, это открытие может положить начало новой эре подбора паролей методом перебора, заявили в Irregular. Компания также сослалась на предыдущие комментарии Дарио Амодея, генерального директора Anthropic, который в прошлом году сказал, что ИИ, вероятно, будет писать большую часть всего кода, и если это правда, то генерируемые им пароли не будут такими безопасными, как ожидалось.«Людям и программистам не следует полагаться на LLM-ы для генерации паролей», — заявила компания Irregular — «Пароли, сгенерированные с помощью прямого вывода LLM, принципиально слабы, и это невозможно исправить с помощью подсказок или температурной корректировки: LLM оптимизированы для получения предсказуемых и правдоподобных результатов, что несовместимо с безопасной генерацией паролей».
Источник: trashbox.ru