Эксперты по кибербезопасности из компании Irregular протестировали ИИ-ассистентов Claude, ChatGPT и Gemini и выяснили, что все три системы создавали пароли, которые лишь казались стойкими, но на деле легко поддавались взлому. Каждый из чат-ботов предлагал комбинации с типичными паттернами, и если злоумышленники знали бы эти закономерности, они могли бы применить их для оптимизации атак методом перебора.
Как сообщает The Register, исследование Irregular показало, что искусственный интеллект часто формирует ненадёжные пароли. Выяснилось, что даже 16-символьные комбинации могут быть скомпрометированы, если известны используемые в них шаблоны.
Специалисты Irregular, которая фокусируется на решениях в области ИИ-безопасности, в 2026 году решили оценить, насколько хорошо нейросети справляются с генерацией криптостойких паролей. Были изучены три модели: Claude, ChatGPT и Gemini. Каждая из них выдавала комбинации, внешне выглядящие надёжно, однако реальная картина оказалась иной.
В ходе эксперимента каждой ИИ-модели поручили создать 16-значный пароль, содержащий заглавные и строчные латинские буквы, цифры и специальные символы. Полученные комбинации визуально казались сложными и получали высокие баллы в популярных онлайн-сервисах оценки надёжности паролей. Некоторые из этих сервисов утверждали, что для взлома такого пароля перебором на обычном оборудовании могут потребоваться столетия или даже миллиарды лет.
По оценке экспертов Irregular, такие пароли демонстрируют повторяющиеся структуры (особенно в начале и конце строки), отсутствие подлинной случайности и предсказуемость для специализированных хакерских инструментов. Фактическое время, необходимое для их взлома, значительно меньше, а высокие оценки онлайн-сервисов связаны с неучётом распространённых паттернов. Именно эти шаблоны и использовали ИИ-модели для выполнения поставленной задачи. Следовательно, злоумышленники, знакомые с подобными закономерностями, могли бы относительно легко подобрать пароль, созданный искусственным интеллектом. Специалисты подчёркивают, что прямое использование выходных данных Claude, ChatGPT и Gemini для генерации паролей в корне небезопасно, и эту проблему нельзя решить простым уточнением запросов или настройкой параметров.
Согласно отчету компании Irregular, из 50 проанализированных паролей лишь 30 оказались уникальными (было обнаружено 20 повторов, причем 18 из них представляли собой идентичную последовательность символов). Кроме того, большинство паролей имели одинаковые начальные и конечные символы. В Irregular также отметили, что ни в одном из 50 образцов не встретилось повторяющихся символов, что свидетельствует об отсутствии подлинной случайности в их формировании.
Специалисты применили два подхода для оценки энтропии: анализ статистики символов и расчет логарифмических вероятностей. В результате было установлено, что энтропия паролей, созданных искусственным интеллектом, составляет приблизительно 27 и 20 бит соответственно. Для по-настоящему случайного пароля метод, основанный на статистике символов, должен показывать значение около 98 бит, а подход с использованием логарифмических вероятностей самой ИИ-системы — около 120 бит. Как утверждают эксперты Irregular в области кибербезопасности, это означает лишь одно: подобные ИИ-пароли могут быть подобраны методом перебора за считанные часы даже на устаревшем персональном компьютере.
Исходя из этих выводов, исследователи советуют не полагаться на генеративные ИИ-модели для создания учетных данных, а вместо этого использовать проверенные криптографические генераторы случайных чисел. Такие инструменты встроены, например, в менеджеры паролей, такие как Bitwarden, 1Password или KeePassXC.
Ученые также продемонстрировали, что поиск распространенных символьных последовательностей в GitHub и в интернете в целом выдает тестовые фрагменты кода, руководства по настройке, техническую документацию и другие материалы. По мнению Irregular, это открытие может ознаменовать начало новой эры в подборе паролей с помощью атак перебором.
Атаки методом грубой силы (брутфорс) представляют собой попытки злоумышленников подобрать логины и пароли, криптографические ключи или найти скрытые веб-страницы путем систематического перебора вариантов.
Эксперты Irregular также сослались на более раннее заявление генерального директора Anthropic Дарио Амодеи (Dario Amodei), который в 2025 году указывал, что искусственный интеллект, вероятно, будет писать значительную часть кода, и если это так, то создаваемые им пароли окажутся менее надежными, чем ожидалось. Как отмечал глава Anthropic, ИИ-модели оптимизированы для получения предсказуемых и правдоподобных результатов, что противоречит требованиям информационной безопасности при генерации паролей.
