عصر هوش مصنوعی با تمام مزایایی که دارد، چالشهای ایمنیی بزرگی را هم بههمراه داشته است. درحالی که بسیاری از یوزران برای سادهسازی کارهای خود از چتباتهایی مثل ChatGPT یا Claude استفاده میکنند، تحقیقات جدید نشان میدهد که استفاده از این ابزارها برای تولید پسورد (Password)، ریسک ایمنیی بسیار بالایی دارد.
طبق پژوهش جدید شرکت ایمنیی Irregular، رمزهای عبوری که توسط مدلهای بزرگ زبانی (LLM) تولید میشوند، اگرچه در ظاهر پیچیده به نظر میرسند، اما به شکلی باورنکردنی «قابل حدس» و «ناامن» هستند.
محققان از سه هوش مصنوعی محبوب یعنی ChatGPT (شرکت OpenAI)، Claude (شرکت Anthropic) و Gemini (گوگل) خواستند تا رمزهای عبور ۱۶ کاراکتری، شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص بسازند.
در نگاه اول، لاگآوتی این مدلها شباهت زیادی به پسوردهای تصادفی ساخته شده توسط ابزارهای کنترل پسورد اپل یا گوگل داشته است. حتی ابزارهای سنجش قدرت پسورد مثل KeePass نیز به این رمزها امتیاز «بسیار قوی» دادهاند. اما به گفته محققان، مشکل اصلی به فقدان تصادفیسازی واقعی مربوط میشود. آنها توضیح میدهند که هوش مصنوعی بر پایه پیشبینی کلمه یا کاراکتر بعدی آموزش دیده است، نه تولید دادههای کاملاً تصادفی.
عملکرد مدلهای هوش مصنوعی در تولید پسورد
نتایج بررسی کردن ۵۰ پسورد تولید شده توسط مدل Claude Opus 4.6 نشان داده که تمام آنها با یک حرف شروع میشوند که اغلب حرف بزرگ «G» بود. کاراکتر دوم تقریباً همیشه عدد «۷» بوده و مجموعهای از کاراکترها مثل L ,9 ,m ,2, $, # در تمام ۵۰ مورد تکرار شده بودند.
مدل هوش مصنوعی ChatGPT تقریباً تمام پسوردهای خود را با حرف «v» شروع کرده و در نیمی از موارد، کاراکتر دوم «Q» بوده است. مدل Gemini گوگل نیز وضعیت بهتری نداشته و اکثر پسوردهای پیشنهادی آن با حرف «K» (بزرگ یا کوچک) شروع شده و با ترکیبی از # یا P ادامه دادن پیدا کردهاند.
نکته دیگر اینکه در هیچیک از پسوردهای تولید شده، کاراکتر تکراری دیده نشده است. شاید فکر کنید این موضوع ایمنی را بالا میبرد، اما محققان میگویند از نظر آماری، در یک توالی واقعاً تصادفی، احتمال تکرار کاراکترها هست. در واقع پاک کردن تکرار توسط AI نشان میدهد که مدل برای «شبیه شدن به رمز تصادفی» تلاش میکند، نه اینکه واقعاً کاراکترهای تصادفی تولید کند.
هرچند یوزران عادی احتمالاً کمتر برای ساخت پسوردهای خود از هوش مصنوعی کمک خواهند گرفت، اما مشکل بزرگتر به «ایجنت یا عاملهای هوش مصنوعی» (AI Agents) مربوط میشود که برای کد برنامهنویسی یا کنترل سیستمها استفاده میشوند. محققان با کشف در GitHub متوجه شدهاند که بسیاری از برنامهنویسان از AI برای تولید پسوردهای سیستمی استفاده کردهاند و الگوهای کشف شده در این تحقیق، به وفور در کد برنامههای عمومی دیده میشود.
شرکت Irregular معتقد است این مشکل با بهروزرسانی یا تغییر دستورات (Prompt) حلشدنی نیست؛ چرا که ذات مدلهای زبانی با تصادفی بودن در تضاد است.
