СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
Вчера в 10:23
#ИБ#ИИ

Популярные ИИ-модели очень плохо справляются с генерацией надежных паролей

Популярные ИИ-модели очень плохо справляются с генерацией надежных паролей

изображение: recraft

Генеративные языковые модели генерируют пароли с повторяющимися шаблонами, которые делают их уязвимыми для целенаправленных атак. Специалисты компании Irregular, занимающейся вопросами безопасности ИИ, протестировали Claude, ChatGPT и Gemini, обнаружив в итоге, что все три модели плохо придумывают пароли и допускают одинаковые ошибки.

Условия эксперимента были одинаковыми для всех участников — сгенерировать 16-символьный пароль с буквами разного регистра, цифрами и спецсимволами. Онлайн-чекеры сложности встречали результаты с похвалой, обещая «сотни лет» на перебор.

Но именно здесь и кроется ловушка — стандартные проверщики оценивают энтропию символов, а не поведенческие шаблоны конкретной модели. Злоумышленник, знающий, как именно тот или иной ИИ конструирует строки, получает серьёзное преимущество.

Наглядный пример — 50 последовательных запросов к Claude Opus 4.6 вернули всего 30 уникальных паролей. При этом 18 из них оказались абсолютно идентичными. Почти все варианты начинались и заканчивались одинаковыми символами.

И вот деталь, которая особенно красноречива — ни в одном из 50 паролей не встретилось повторяющихся символов. Казалось бы, мелочь, но именно это отсутствие повторов само по себе является паттерном, а не признаком случайности.

Аналогичные закономерности исследователи зафиксировали у GPT-5.2 и Gemini 3 Flash. Редакция The Register самостоятельно воспроизвела эксперимент с Gemini 3 Pro — модель предложила три варианта с пометками «высокая сложность», «упор на символы» и «случайный буквенно-цифровой». Первые два следовали узнаваемым структурам, третий выглядел чуть более хаотичным. Примечательно, что Gemini 3 Pro при этом сама предупредила пользователя о ненадёжности сгенерированных паролей для важных аккаунтов и порекомендовала воспользоваться менеджером паролей — в частности, 1Password или Bitwarden.

Корень проблемы — в природе самих языковых моделей. Они обучены на текстах и оптимизированы под предсказуемость и связность — то есть буквально противоположны тому, что нужно от хорошего пароля. Настоящая случайность требует источника энтропии, никак не связанного с лингвистическими паттернами. У LLM такого источника нет по определению.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: