Паролі від ChatGPT і Gemini можна підібрати за кілька годин — дослідження

Паролі, згенеровані за допомогою великих мовних моделей, можуть виглядати складними, але на практиці вони часто не є випадковими. Про це повідомила компанія з кібербезпеки Irregular після тестування моделей Claude, ChatGPT і Gemini.

Дослідники просили моделі створити 16-символьні паролі з літерами різного регістру, цифрами та спеціальними символами. Онлайн-сервіси перевірки складності оцінювали їх як надійні, інколи зазначаючи, що для зламу знадобляться століття. Однак такі перевірки не враховують типові шаблони, які використовують мовні моделі.

Схожі закономірності виявили під час тестів із GPT-5.2 та Gemini 3 Flash, особливо щодо перших символів у рядках. Навіть коли дослідники попросили згенерувати випадковий пароль, написаний на стікері, моделі повертали подібні шаблони.

Команда оцінила ентропію таких паролів за формулою Шеннона та методом логарифмічних ймовірностей. У середньому 16-символьні паролі від LLM мали 20–27 біт ентропії, тоді як справді випадковий пароль такого ж розміру мав би 98–120 біт. За оцінками дослідників, це означає, що їх можна підібрати методом brute force за кілька годин навіть на старому комп’ютері.

Irregular рекомендує розробникам перевірити паролі, створені за допомогою ШІ, та змінити їх. Також компанія радить використовувати спеціалізовані менеджери паролів, а не генерацію через чат-інтерфейси.

Джерело: The Register