Пока одни ждут от искусственного интеллекта прорывов в медицине и поиске лекарства от рака, другие проверяют его на более приземлённых задачах. И, как оказалось, даже с такой базовой вещью, как создание «надёжного» пароля, большие языковые модели справляются далеко не идеально.
Исследование компании Irregular показало: просить ИИ придумать сложный пароль — идея куда более рискованная, чем может показаться.
Специалисты Irregular проанализировали ответы популярных языковых моделей — таких как OpenAI, Anthropic и Google (речь идёт об их продуктах ChatGPT, Claude и Gemini). Задача для всех была одинаковой: сгенерировать шестисимвольные «безопасные» пароли, содержащие буквы, цифры и специальные символы.
На первый взгляд результаты выглядели убедительно. Пароли включали спецсимволы, смешивали регистры и цифры — всё как учат базовые рекомендации по кибербезопасности. Но при более внимательном анализе обнаружилось тревожное сходство.
Например, в партии из 50 паролей, созданных Claude Opus 4.6, оказалось всего 30 уникальных вариантов. Двадцать повторялись, причём 18 из них были абсолютно одинаковыми строками. Для инструмента, который должен генерировать якобы случайные комбинации, это серьёзный сигнал тревоги.
Предсказуемость вместо случайности
Проблема оказалась глубже, чем просто дублирование.
У Claude каждый пароль начинался с буквы — чаще всего заглавной «G». Вторым символом почти всегда была цифра «7». Символы «L», «9», «m», «2», «$» и «#» присутствовали во всех сгенерированных вариантах, тогда как большая часть алфавита не использовалась вовсе.
ChatGPT предпочитал начинать строки с буквы «v», а почти в половине случаев вторым символом становилась «Q». Gemini чаще всего открывал пароль строчной или заглавной «k», а затем добавлял вариации с «#», «P» или «9».
Ещё один любопытный момент: ни один из 50 паролей не содержал повторяющихся символов. На слух это звучит как признак «настоящей случайности». Однако с точки зрения теории вероятностей это, наоборот, указывает на чрезмерную упорядоченность. В реальной случайной последовательности повторы неизбежны. Их отсутствие — уже паттерн.
Как работает ИИ — и почему это проблема
Чтобы понять причину, важно ответить на вопрос: что такое большие языковые модели и как они работают?
LLM (Large Language Models) обучаются на огромных массивах текстов и учатся предсказывать наиболее вероятную последовательность символов или слов. Их задача — создавать правдоподобный текст, а не истинно случайные комбинации. Они оптимизированы под статистическую вероятностность, а не под энтропию.
А именно энтропия — степень случайности строки — лежит в основе надёжности пароля. Чем меньше закономерностей и предсказуемых шаблонов, тем сложнее его подобрать методом перебора или с использованием алгоритмов взлома.
Даже если пароль выглядит «сложным» — со спецсимволами и цифрами — наличие устойчивых паттернов резко снижает его криптографическую стойкость.
Люди и ИИ: общая слабость
Интересно, что в этом смысле ИИ повторяет человеческие ошибки. Люди тоже склонны использовать шаблоны: заменять «E» на «3», «A» на «@», добавлять год рождения или восклицательный знак в конце.
Выходит, что нейросети унаследовали не только наши знания, но и наши слабости. Они создают то, что выглядит убедительно — но не обязательно безопасно.
В Irregular подчёркивают: проблема фундаментальна. Её нельзя решить, просто изменив формулировку запроса или повысив «температуру» генерации (параметр, влияющий на вариативность ответов модели). Сама архитектура языковых моделей направлена на создание предсказуемых, правдоподобных последовательностей. А это несовместимо с задачей генерации криптографически стойких паролей.
Иными словами, ИИ может прекрасно «звучать» умно, но это не означает, что его ответы стоит безоговорочно использовать в задачах безопасности.
Главный вывод исследования прост и одновременно важен: в кибербезопасности важнее непредсказуемость, а не кажущаяся сложность. Пароль должен быть действительно случайным, а не просто выглядеть так.
Поэтому для создания надёжных комбинаций по-прежнему лучше использовать специализированные менеджеры паролей и криптографические генераторы случайных чисел — а не доверять эту задачу языковым моделям, какими бы «умными» они ни казались.
