Использование искусственного интеллекта для генерации паролей лишь создает иллюзию безопасности, тогда как на самом деле такие комбинации значительно легче поддаются автоматическому подбору.
Новое исследование компании Irregular доказывает, что популярные языковые модели, такие как ChatGPT, Gemini и Claude, создают пароли, которые выглядят надежными, но являются фундаментально уязвимыми из-за отсутствия настоящей случайности.
Проблема в том, что ИИ настроен выдавать логичные и вероятные результаты, что является прямой противоположностью принципам создания защищенных кодов.
Почему пароли от ИИ не надежны
В ходе эксперимента исследователи попросили чат-ботов сгенерировать 50 вариантов 16-значных паролей.
Результаты показали четкую закономерность: например, все полсотни вариантов от модели Claude имели схожую структуру — с одинаковыми стартовыми символами и повторяющимся набором знаков.
Кроме того, большинство паролей от Claude начинались с большой буквы G и цифры 7, ChatGPT предпочитал символы v и Q в начале, а Gemini — букву K.
Такая шаблонность позволяет взломщикам значительно сузить круг поиска, делая защиту формальной.
Интересно, что ИИ пытается имитировать случайность, избегая повторения одинаковых знаков внутри одного пароля. Однако именно эта “идеальность” и выдает его происхождение, ведь в действительно случайных последовательностях символы должны повторяться по законам вероятности.
Даже когда пароли кажутся сложными, они используют очень ограниченный набор букв и знаков, игнорируя большую часть алфавита. Это делает их легкой добычей для методов автоматического подбора.
Причина слабости ИИ-паролей
Надежность пароля определяет показатель энтропии – то есть того, сколько попыток нужно для его подбора.
Действительно безопасный 16-значный пароль имеет около 98 бит энтропии, что делает его взлом практически нереальным даже при длительном переборе. В то же время пароли от ИИ имеют только около 27 бит.
Практически это означает, что вместо триллионов вариантов хакерам нужно проверить значительно меньшее количество комбинаций, что позволяет быстро взломать защиту с использованием современных мощных видеокарт.
При этом тот же Gemini уже содержит подсказку, что созданные им пароли не стоит использовать для чувствительных аккаунтов.
Уровень угрозы утечек
Проблема усугубляется, поскольку разработчики все чаще используют ИИ-агентов для написания кода.
Исследователи уже находят характерные ИИ-пароли в технических документах на сервисах типа GitHub, что ставит под удар целые цифровые платформы.
Эксперты отмечают, что эту проблему невозможно исправить обновлением или изменением запросов к чат-боту, ведь предсказуемость заложена в основу работы нейросетей.
Специалисты советуют не использовать языковые модели для создания паролей и применять инструменты, которые генерируют действительно случайные комбинации.
