- Компания Irregular выявила уязвимости в паролях, сгенерированных ИИ-моделями Claude, ChatGPT и Gemini.
- Все протестированные пароли имели повторяющиеся шаблоны и низкую энтропию, что облегчает их взлом методом перебора за несколько часов.
- Разработчики и пользователи не должны полностью полагаться на LLM для генерации надёжных паролей, рекомендуется использовать специализированные менеджеры паролей.
Исследование компании Irregular пролило свет на слабую сторону паролей, создаваемых крупными языковыми моделями (LLM) типа Claude, ChatGPT и Gemini. Несмотря на внешнюю сложность и высокую оценку надёжности при проверке онлайн-сервисами, такие пароли содержат закономерности и шаблоны, которые значительно сокращают время их взлома.
В ходе экспериментов модели ИИ неоднократно генерировали пароли с повторяющимися началом и окончанием, а также без повторения символов внутри строк, что указывает на ограниченную случайность. Из 50 вариантов, полученных от Claude, лишь 30 оказались уникальными, а 18 повторяли одну и ту же строку. Аналогичные наблюдения были зафиксированы и при использовании GPT-5.2 и Google Gemini 3 Flash.
Оценка энтропии сгенерированных 16-значных паролей на основе формулы Шеннона показала, что она находится в диапазоне 20–27 бит, тогда как у по-настоящему случайных паролей этот показатель составляет около 98–120 бит. Это открывает возможность взлома посредством перебора за несколько часов даже на стандартных вычислительных мощностях.
Особенно важно, что некоторые модели, например Gemini 3 Pro, предупреждают пользователей о том, что выданные пароли не рекомендуется применять для конфиденциальных учетных записей. Вместо этого они советуют использовать кодовые фразы или сторонние менеджеры паролей, включая 1Password и Bitwarden, либо встроенные системные решения.
Irregular подчёркивает, что из-за конструктивных особенностей языковых моделей, ориентированных на создание правдоподобного текста, невозможно добиться высокой безопасности паролей лишь за счёт изменений в запросах или корректировок. Это ставит под сомнение использование LLM как инструмента для автоматической генерации надёжных паролей.
Данные выводы имеют практическое значение для разработчиков и пользователей: пароли, сгенерированные ИИ, должны подвергаться дополнительной проверке и изменению. Вместе с тем исследования авторитетных организаций, таких как Comparitech, демонстрируют, что проблема слабых паролей остаётся острой — большинство утекших и раскрытых паролей имеют простую структуру и недостаточную длину.
Таким образом, исследование Irregular предупреждает о возможной новой эре атак, когда злоумышленники смогут использовать шаблоны, характерные для паролей, генерируемых ИИ, эффективно взламывая их. Это сигнал к переосмыслению подходов к кибербезопасности в эпоху широкого распространения искусственного интеллекта.
