نتایج یک تحقیق جدید: چرا هرگز نباید از هوش مصنوعی برای ساخت رمز عبور استفاده کنیم؟

عصر هوش مصنوعی با تمام مزایایی که دارد، چالش‌های ایمنیی بزرگی را هم به‌همراه داشته است. درحالی که بسیاری از یوزران برای ساده‌سازی کارهای خود از چت‌بات‌هایی مثل ChatGPT یا Claude استفاده می‌کنند، تحقیقات جدید نشان می‌دهد که استفاده از این ابزارها برای تولید پسورد (Password)، ریسک ایمنیی بسیار بالایی دارد.

طبق پژوهش جدید شرکت ایمنیی Irregular، رمزهای عبوری که توسط مدل‌های بزرگ زبانی (LLM) تولید می‌شوند، اگرچه در ظاهر پیچیده به نظر می‌رسند، اما به شکلی باورنکردنی «قابل حدس» و «ناامن» هستند.

محققان از سه هوش مصنوعی محبوب یعنی ChatGPT (شرکت OpenAI)، Claude (شرکت Anthropic) و Gemini (گوگل) خواستند تا رمزهای عبور ۱۶ کاراکتری، شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص بسازند.

در نگاه اول، لاگ‌آوتی این مدل‌ها شباهت زیادی به پسوردهای تصادفی ساخته شده توسط ابزارهای کنترل پسورد اپل یا گوگل داشته است. حتی ابزارهای سنجش قدرت پسورد مثل KeePass نیز به این رمزها امتیاز «بسیار قوی» داده‌اند. اما به گفته محققان، مشکل اصلی به فقدان تصادفی‌سازی واقعی مربوط می‌شود. آنها توضیح می‌دهند که هوش مصنوعی بر پایه پیش‌بینی کلمه یا کاراکتر بعدی آموزش دیده است، نه تولید داده‌های کاملاً تصادفی.

عملکرد مدل‌های هوش مصنوعی در تولید پسورد

نتایج بررسی کردن ۵۰ پسورد تولید شده توسط مدل Claude Opus 4.6 نشان داده که تمام آن‌ها با یک حرف شروع می‌شوند که اغلب حرف بزرگ «G» بود. کاراکتر دوم تقریباً همیشه عدد «۷» بوده و مجموعه‌ای از کاراکترها مثل L ,9 ,m ,2, $, # در تمام ۵۰ مورد تکرار شده بودند.

مدل هوش مصنوعی ChatGPT تقریباً تمام پسوردهای خود را با حرف «v» شروع کرده و در نیمی از موارد، کاراکتر دوم «Q» بوده است. مدل Gemini گوگل نیز وضعیت بهتری نداشته و اکثر پسوردهای پیشنهادی آن با حرف «K» (بزرگ یا کوچک) شروع شده و با ترکیبی از # یا P ادامه دادن پیدا کرده‌اند.

نکته دیگر اینکه در هیچ‌یک از پسوردهای تولید شده، کاراکتر تکراری دیده نشده است. شاید فکر کنید این موضوع ایمنی را بالا می‌برد، اما محققان می‌گویند از نظر آماری، در یک توالی واقعاً تصادفی، احتمال تکرار کاراکترها هست. در واقع پاک کردن تکرار توسط AI نشان می‌دهد که مدل برای «شبیه شدن به رمز تصادفی» تلاش می‌کند، نه اینکه واقعاً کاراکترهای تصادفی تولید کند.

هرچند یوزران عادی احتمالاً کمتر برای ساخت پسوردهای خود از هوش مصنوعی کمک خواهند گرفت، اما مشکل بزرگ‌تر به «ایجنت یا عامل‌های هوش مصنوعی» (AI Agents) مربوط می‌شود که برای کد برنامهنویسی یا کنترل سیستم‌ها استفاده می‌شوند. محققان با کشف در GitHub متوجه شده‌اند که بسیاری از برنامه‌نویسان از AI برای تولید پسوردهای سیستمی استفاده کرده‌اند و الگوهای کشف شده در این تحقیق، به وفور در کد برنامههای عمومی دیده می‌شود.

شرکت Irregular معتقد است این مشکل با به‌روزرسانی یا تغییر دستورات (Prompt) حل‌شدنی نیست؛ چرا که ذات مدل‌های زبانی با تصادفی بودن در تضاد است.