Исследование Irregular: ИИ генерируют предсказуемые пароли

Специалисты компании Irregular установили, что пароли, создаваемые ChatGPT, Claude и Gemini, выглядят надёжными лишь на первый взгляд. На деле такие строки взламываются за несколько часов: модели формируют предсказуемые шаблоны, которые резко снижают реальную стойкость.

Исследователи запросили у каждой модели 50 паролей длиной 16 символов, включающих буквы разного регистра, цифры и спецсимволы. Популярные онлайн-сервисы оценили их как крайне устойчивые, но эти проверки не учитывали характерные закономерности генерации ИИ.

Анализ показал, что Claude из 50 попыток выдал только 30 уникальных строк — остальные повторялись, причём 18 оказались фактически идентичными. У многих паролей совпадали начальные и конечные символы. ChatGPT и Gemini проявили те же особенности: в их паролях фиксировались устойчивые начала строк и одинаковые структуры. Даже отсутствие повторяющихся символов в паролях Claude лишь подтверждало следование шаблонам, а не настоящую случайность.

Похожие результаты получили и при тестировании модели Google Nano Banana Pro, которую попросили сгенерировать пароль в виде надписи на стикере. В строках вновь проявились те же паттерны, что характерны для Gemini.

Используя формулу Шеннона и вероятностный анализ по лог-вероятностям моделей, исследователи оценили реальную энтропию. Для 16-символьных паролей она составляла около 27 бит по статистике символов и 20 бит по вероятностям. Для сравнения, случайно сгенерированная строка такой же длины должна давать 98–120 бит. Это значит, что пароли, созданные LLM, можно перебрать обычным брутфорсом за несколько часов даже на старом оборудовании.

Кроме того, характерные последовательности из таких паролей уже появляются в открытых репозиториях GitHub — разработчики массово используют ИИ для генерации конфигураций и тестовых данных, что делает проблему ещё более опасной.

В Irregular подчеркивают: исправить ситуацию с помощью «правильного» запроса или настройки temperature невозможно. LLM по своей природе создают предсказуемые и правдоподобные ответы, а это противоречит принципам безопасной генерации паролей.

Эксперты советуют заменить все пароли, созданные с помощью ИИ, и впредь использовать специализированные генераторы и менеджеры паролей.