Похоже, современные чат-боты на основе ИИ не особо умеют создавать пароли. Эксперимент компании Irregular, занимающейся вопросами безопасности, показал, что у популярных чат-ботов подход к этой задаче специфический и небезопасный.
Авторы изначально исследовали не чат-боты, а сами большие языковые модели в их основе. Это GPT, Claude и Gemini в последних версиях. Запрос был простой: сгенерировать случайный пароль. Первой была модель Claude Opus 4.6.
На первый взгляд может показаться, что он отличный, так как содержит буквы разных регистров, цифры и символы. Для оценки пароля авторы воспользовались тем, что называется калькулятор энтропии паролей, и результат составил 100 баллов, то есть пароль отличный. И проблема тут не в самом отдельном пароле.
Суть в том, что после этого авторы попросили сгенерировать ещё один, и тут даже не нужен никакой калькулятор, чтобы увидеть странность. Да, новый пароль оказался весьма похожим на первый.
После этого авторы попросили сгенерировать ещё 50 паролей, и вот тут проблема становится максимально наглядной.
Среди этих 50 паролей легко заметить четкие и очевидные закономерности:
- Все пароли начинаются с буквы, обычно заглавной G, за которой почти всегда следует цифра 7.
- Выбор символов крайне неравномерен – например, L, 9, m, 2, $ и # встречались во всех 50 паролях, а 5 и @ встречались только в одном пароле, а большинство букв алфавита вообще не встречались.
- В паролях нет повторяющихся символов. С точки зрения вероятности, это было бы крайне маловероятно, если бы пароли были действительно случайными, — но Claude предпочел избегать повторяющихся символов, возможно, потому что это «выглядит менее случайным».
- Claude избегал использования символа *. Возможно, это связано с тем, что Claude использует формат вывода Markdown, где * имеет особое значение.
- Даже целые пароли повторяются: из 50 попыток, указанных выше, на самом деле всего 30 уникальных паролей . Самым распространенным паролем был G7$kL9#mQ2&xP4!w, который повторился 18 раз , что дает этому конкретному паролю вероятность 36% в нашем тестовом наборе; это намного выше ожидаемой вероятности 2-100, если бы это действительно был 100-битный пароль.
Аналогичная особенность в итоге проявилась и в других языковых моделях, разве что наборы часто используемых символов были другими.
Авторы провели дополнительные исследования, чтобы убедиться в том, что проблема проявляется в той или иной степени всегда. Однако, если посмотреть на задачу под другим углом, в целом результат выглядит логично.
В основе любого надежного генератора паролей лежит криптографически защищенный генератор псевдослучайных чисел (CSPRNG), отвечающий за генерацию символов пароля таким образом, чтобы их было очень трудно предсказать, и чтобы они выбирались из равномерного распределения вероятностей по всем возможным символам.
Напротив, процесс выборки выходных токенов LLM предназначен для выполнения прямо противоположной задачи. По сути, все, что делают LLM, — это итеративно предсказывают следующий токен; случайная генерация токенов по определению предсказуема (вероятности токенов определяются LLM), и распределение вероятностей по всем возможным токенам очень далеко от равномерного.
Авторы утверждают, что не стоит полагаться на большие языковые модели для генерации паролей, так как проблема не решается правильными промтами или корректировками.
Людям и программистам не следует полагаться на LLM-ы для генерации паролей. Пароли, сгенерированные с помощью прямого вывода LLM-ов, принципиально слабы, и это невозможно исправить с помощью подсказок или температурной корректировки: LLM-ы оптимизированы для получения предсказуемых и правдоподобных результатов, что несовместимо с безопасной генерацией паролей. ИИ-программистам следует рекомендовать использовать безопасные методы генерации паролей вместо того, чтобы полагаться на пароли, полученные с помощью LLM-ов. Разработчики, использующие ИИ-помощников в программировании, должны проверять сгенерированный код на наличие жестко закодированных учетных данных и обеспечивать использование агентами криптографически безопасных методов или проверенных менеджеров паролей.
-
Ice Universe называет Galaxy S26 лучшим флагманским смартфоном Samsung за всю историю. В камере ожидаются большие улучшения
20.02.2026 13:19:00 | iXBT.com
Первая пилотируемая миссия к Луне за более чем 50 лет. Пресс-конференция по миссии Artemis II состоится 20 февраля в 19:00 мск
20.02.2026 12:49:00 | iXBT.com
Toyota Corolla с дизайном винтажного Jaguar уходит на покой: Mitsuoka прощается с седаном Ryugi
20.02.2026 12:48:00 | iXBT.com
Представлен огромный сенсорный экран Samsung WAFX-P со встроенными камерой, динамиками, микрофоном и другими функциями
20.02.2026 12:35:00 | iXBT.com
Бюджетный Redmi A7 прошел международную сертификацию перед выпуском. Ему приписывают аккумулятор 6000 мАч и 120-герцевый экран
20.02.2026 12:10:00 | iXBT.com
Британская акустическая система SONUS вычислит расположение вражеской артиллерии по звуку выстрела
20.02.2026 11:52:32 | TechCult.ru
Кроссовер Chery Tiggo 7 Pro провалился в краш-тестах на безопасность — всего 2 звезды из 5 по итогам теста Africa NCAP
20.02.2026 11:32:00 | iXBT.com
6300 мАч, защита от падений, ударов и воды (IP54), 90 Гц — всего 90 долларов. Представлен Realme P4 Lite
20.02.2026 11:17:00 | iXBT.com
Рингтон Samsung Galaxy S26 исполнен Королевским филармоническим оркестром
20.02.2026 10:36:00 | iXBT.com
Представлена Gemini 3.1 Pro — новая «самая умная» ИИ-модель Google для решения сложных задач
20.02.2026 10:35:00 | iXBT.com
Уволенный топ-менеджер Xiaomi и Redmi основал свою компанию и перешёл на iPhone 17, заявив, что он лучше подходит для отслеживания сна
20.02.2026 10:28:00 | iXBT.com
NASA признало репетицию заправки ракеты Artemis II успешной и перешло к финальной подготовке старта
20.02.2026 10:11:00 | iXBT.com
В спецзонах для развития ИИ разработчики смогут экономить на электроэнергии
20.02.2026 10:10:55 | Ведомости
Популярные менеджеры паролей Bitwarden, LastPass и Dashlane оказались беззащитными перед взломом
20.02.2026 09:55:20 | TechCult.ru
75-дюймовый QLED-телевизор Xiaomi за 770 долларов. Представлен Xiaomi QLED TV X Pro 75 (2026)
20.02.2026 09:54:00 | iXBT.com
Учёные впервые в реальном времени проследили облако лития в атмосфере Земли после схода с орбиты Falcon 9
20.02.2026 09:49:00 | iXBT.com
В России продолжают продавать BMW калининградской сборки: сколько продано в 2025 году
20.02.2026 08:52:00 | iXBT.com
Сколько россиянам нужно копить на Lada Vesta и Hyundai Solaris: вторичка стала ближе
20.02.2026 08:43:00 | iXBT.com
Россия окончательно пересела на кроссоверы: рынок впервые пробил исторический потолок в 70%
20.02.2026 08:34:00 | iXBT.com
Как Samsung попыталась, но не смогла предотвратить преждевременную утечку подробностей о Galaxy S26 и S27, рассказал инсайдер
20.02.2026 08:28:00 | iXBT.com
Серый хит года: самым популярным автомобилем из тех, которые завозят в Россию только неофициально, стал большой кроссовер Lynk & Co 900
20.02.2026 08:16:00 | iXBT.com
«Каждое фото — шедевр». Президент Xiaomi напомнил о Xiaomi 17 Ultra перед выходом на мировой рынок
20.02.2026 08:04:00 | iXBT.com
Фотофлагманы Oppo Find X9 Ultra и Vivo X300 Ultra будут оснащены новыми внешними телеконвертерами
20.02.2026 07:56:00 | iXBT.com
«Благодаря "Гонцу" нашу страну можно смело назвать пионером подвижной спутниковой связи». Систему «Гонец» назвали успешным примером конверсии оборонных технологий в гражданскую сферу
20.02.2026 07:45:00 | iXBT.com
Развёртывание Российской орбитальной станции начнётся уже через два года
20.02.2026 07:39:00 | iXBT.com
NASA приравняло инцидент с Boeing Starliner к крушению космических шаттлов Challenger и Columbia
20.02.2026 07:33:00 | iXBT.com
Самый маленький Mercedes-Benz G-класса засняли на тестах — мини-внедорожник может получить бензиновый мотор
20.02.2026 02:17:00 | iXBT.com
Samsung в шаге от триллиона долларов: капитализация компании за год взлетела на 350%
20.02.2026 01:49:00 | iXBT.com
-
OKX выпустила карту для оплаты зарубежных сервисов с кешбэком и процентом на остаток
27.04.2026 13:35:08 | it-world
СМИ: OpenAI работает с Qualcomm и MediaTek над чипами для «ИИ-смартфонов»
27.04.2026 12:55:43 | vc.ru
Банковский сервис X Money, встроенный в соцсеть X, запустят до конца апреля 2026 года — Bloomberg
27.04.2026 12:02:26 | vc.ru
«Интервью с алгоритмом – спросим у ИИ о ваших финансах». Обзор проекта «Финансовый доктор»
27.04.2026 11:10:47 | it-world
С чего начинается Родина для ИИ? Мы строим российскую когнитивную архитектуру
27.04.2026 10:52:49 | Хабр
Онбордили, онбордили, да не доонбордили: как не терять людей после адаптации
27.04.2026 10:42:03 | Хабр
Mode collapse в авто-блоге: четыре пятницы подряд LLM приносила нам один и тот же «спорный вопрос про ИИ»
27.04.2026 10:41:44 | Хабр
Как выбирать площадки для GEO-продвижения: источники как основа роста в ответах нейросетей
27.04.2026 10:41:40 | Хабр
Рерайт текстов в 2026: большой разбор сервисов для редакций от SEO-помоек начала 10-х до мультиагентных систем
27.04.2026 10:38:21 | Хабр
Некоторые правообладатели начали предупреждать зрителей российских онлайн-кинотеатров о вырезанных из фильмов и сериалов сценах
27.04.2026 10:31:30 | vc.ru
Организация производства Информационных систем. Часть 9. Современные подходы
27.04.2026 10:29:58 | Хабр
Ольга Погодина у гроба Алексея Пиманова: «Я воспитаю нашу доченьку так, чтобы тебе понравилось»
27.04.2026 10:18:36 | Woman.ru
Я работал по 12 часов в день и через месяц понял, что проблема была не в часах
27.04.2026 10:13:36 | Хабр
Коммуникабельность, адаптивность и навык выступлений: какие софты помогут вырасти в зарплате на 30%
27.04.2026 10:01:06 | Хабр
Олег Виллард — победитель шоу «Титаны. Битва сезонов»: как мачо со стальным прессом оказался сильнее всех
27.04.2026 09:53:29 | Woman.ru
Российская инфраструктура стала тихой гаванью для киберпреступников. Причем тут Руцентр, Рег.Ру и DDoS-Guard?
27.04.2026 09:49:17 | Хабр
Трекинг объектов с подвижной камеры: когда компьютерное зрение встречается с механикой
27.04.2026 09:40:31 | Хабр
Senior на бумаге, Junior в рантайме: как я тестировал локальные LLM на 120B параметров в Greenfield-проекте
27.04.2026 09:39:28 | Хабр
Общество как уравнение. Доступно ли социально-гуманитарное познание математическому описанию?
27.04.2026 09:39:26 | Хабр
В Москве прощаются с Алексеем Пимановым: Угольников, Малышева, Якубович поддержали вдову
27.04.2026 09:17:47 | Woman.ru
«Т-Банк» добавил для пользователей iPhone возможность бесконтактной оплаты без подключения к интернету
27.04.2026 09:07:34 | vc.ru
5 выступлений Камилы Валиевой, которые доказывают, что она с другой планеты
27.04.2026 09:04:04 | Woman.ru
Pragmata взломали за два дня до релиза. Шесть слоёв защиты Denuvo и как их обходят через гипервизор
27.04.2026 09:00:08 | Хабр
Техническая поддержка проекта ВсеТут