Най-популярните приложения на изкуствения интелект, чатботове като Claude, ChatGPT и Gemini, генерират привидно силни пароли, които всъщност са лесни за разбиване. Изследване на специалисти по киберсигурност от Irregular установи, че и и трите чатбота генерират пароли с общи модели и ако хакерите ги разбират, могат да използват това знание, за да разработят стратегии за пробив по метода на “грубата сила”.
Оказва се, че 16-символни пароли могат да бъдат разбити с познаване на определени AI модели, твърдят експертите по киберсигурност от Irregular. Те са тествали как изкуственият интелект генерира силни пароли през 2026 г., анализирайки три модела: Claude, ChatGPT и Gemini. Всички те са генерирали пароли, които на пръв поглед са изглеждали доста сигурни, но на практика не са били такива, отбелязва The Regster в публикация за изследването.
Експериментът
Според резултатите от експеримента, всеки от тестваните AI модели е бил натоварен със задачата да генерира 16-символна парола, съдържаща главни и малки латински букви, цифри и специални символи.
Получените комбинации изглеждат доста сложни и получават високи оценки от редица публично достъпни онлайн услуги за тестване на силата на паролите. Някои от тези онлайн услуги показват, че атаките с груба сила (brute force) срещу такива пароли, използващи стандартен хардуер, биха отнели векове или дори милиарди години.
Но според експертите от Irregular, AI-генерираните пароли съдържат повтарящи се структури (особено в началото и края на низа), нямат истинска уникалност и са предвидими за специализирани инструменти за атака. Времето, необходимо за разбиване на такива пароли, е значително по-кратко, а онлайн услугите за проверка на пароли дават високи оценки, поради липсата на познаване на често срещаните AI модели.
Следователно, хакери с определено ниво на познания не биха имали проблем с разбиването на генерирана от изкуствен интелект парола. Експертите подчертават, че директното използване на изхода на Claude, ChatGPT и Gemini за генериране на пароли е фундаментално несигурно и не може да бъде поправено чрез прецизиране на подканите или промяна на параметрите.
Според тестовете на Irregular, от получените 50 пароли само 30 са били уникални (20 дубликата, 18 от които са били един и същ низ), а по-голямата част са започвали и завършвали с едни и същи символи. Irregular също така твърди, че нито една от 50-те пароли не съдържа повтарящи се символи, което показва, че те не са наистина случайни.
Два метода за оценка
Изследователите са използвали два метода за оценка на ентропията: статистика на символите и логаритмични вероятности. Те са установили, че ентропията на паролите, генерирани от изкуствен интелект, е съответно 27 и 20 бита за двата модела.
Но за наистина случайна парола, методът, базиран на статистика на символите, очаква ентропия от 98 бита, докато методът, използващ собствените логаритмични вероятности на изкуствения интелект, очаква ентропия от 120 бита.
Това означава само едно: генерираните от изкуствен интелект пароли могат лесно да бъдат разбити чрез атаки с груба сила – за няколко часа, дори на много стар персонален компютър, според експертите по киберсигурност.
Изследователите препоръчват на потребителите да изоставят генеративните AI модели за създаване на пароли за идентификационни данни и вместо това да използват доказани криптографски генератори на случайни числа. Например, тези, вградени в мениджъри на пароли като Bitwarden, 1Password и KeePassXC.
Нова ера на атаки с груба сила
Според прочуването, търсенето на често срещани поредици от символи в GitHub и интернет като цяло връща тестов код, инструкции за настройка, техническа документация и друга информация. Това откритие може да доведе до нова ера на отгатване на пароли с груба сила, отбелязва Irregular.
Атаките с груба сила са опити на нападателите да отгатнат входни данни и пароли, ключове за криптиране или да намерят скрити уеб страници по метода на проба и грешка.
Експертите цитират предишни изявления на главния изпълнителен директор на Anthropic, Дарио Амодея, който през 2025 г. заяви, че изкуственият интелект вероятно ще започне да пише по-голямата част от кода – и ако това е вярно, генерираните от него пароли няма да бъдат толкова сигурни, колкото се очаква.
В крайна сметка, моделите с изкуствен интелект са оптимизирани да произвеждат предвидими и правдоподобни резултати, което е несъвместимо с информационната сигурност при генериране на пароли, посочи Амодея.
