ШІ створює “діряві” паролі: чому чат-боти полегшують роботу хакерам
- Дослідники виявили повторювані шаблони в паролях від ChatGPT, Gemini та Claude.
- Паролі ШІ мають близько 27 бітів ентропії замість приблизно 98 у безпечних комбінацій.
- Низька ентропія робить їх вразливими до перебору.
Використання штучного інтелекту для генерації паролів лише створює ілюзію безпеки, тоді як насправді такі комбінації значно легше піддаються автоматичному підбору.
Нове дослідження компанії Irregular доводить, що популярні мовні моделі, як-от ChatGPT, Gemini та Claude, створюють паролі, які мають надійний вигляд, але є фундаментально вразливими через відсутність справжньої випадковості.
Проблема в тому, що ШІ налаштований видавати логічні та ймовірні результати, що є прямою протилежністю до принципів створення захищених кодів.
Чому паролі від ШІ не надійні
Під час експерименту дослідники попросили чат-боти згенерувати 50 варіантів 16-значних паролів.
Результати показали чітку закономірність: наприклад, усі пів сотні варіантів від моделі Claude мали схожу структуру – з однаковими стартовими символами та повторюваним набором знаків.
Крім того, більшість паролів від Claude починалися з великої літери G та цифри 7, ChatGPT надавав перевагу символам v та Q на початку, а Gemini – літері K.
Така шаблонність дозволяє зламникам значно звузити коло пошуку, роблячи захист формальним.
Цікаво, що ШІ намагається імітувати випадковість, уникаючи повторення однакових знаків усередині одного пароля. Проте саме ця “ідеальність” і видає його походження, адже у справді випадкових послідовностях символи мають повторюватися за законами ймовірності.
Навіть коли паролі здаються складними, вони використовують дуже обмежений набір літер та знаків, ігноруючи більшу частину алфавіту. Це робить їх легким здобутком для методів автоматичного підбору.
Причина слабкості ШІ-паролей
Надійність пароля визначає показник ентропії – тобто того, скільки спроб потрібно для його підбору.
Справді безпечний 16-значний пароль має близько 98 бітів ентропії, що робить його злам практично нереальним навіть за тривалого перебору. Натомість паролі від ШІ мають лише близько 27 бітів.
Практично це означає, що замість трильйонів варіантів хакерам потрібно перевірити значно меншу кількість комбінацій, що дозволяє швидко зламати захист із використанням сучасних потужних відеокарт.
При цьому той самий Gemini вже містить підказку, що створені ним паролі не варто використовувати для чутливих акаунтів.
Рівень загрози витоків
Проблема посилюється, оскільки розробники дедалі частіше використовують ШІ-агентів для написання коду.
Дослідники вже знаходять характерні ШІ-паролі у технічних документах на сервісах на кшталт GitHub, що ставить під удар цілі цифрові платформи.
Експерти наголошують, що цю проблему неможливо виправити оновленням чи зміною запитів до чат-бота, адже передбачуваність закладена в основу роботи нейромереж.
Фахівці радять не використовувати мовні моделі для створення паролів і застосовувати інструменти, що генерують справді випадкові комбінації.
