Н якога питали ли сте изкуствен интелект за парола?
Когато го направите, той бързо генерира такъв, казвайки ви уверено, че резултатът е силен, съобщава Sky News.
В действителност, това е всичко друго, но не и това, според проучване, споделено ексклузивно със Sky News от фирмата за киберсигурност с изкуствен интелект Irregular.
Проучването, потвърдено от Sky News, установи, че и трите основни модела - ChatGPT , Claude и Gemini - са генерирали силно предвидими пароли, което е накарало съоснователя на Irregular Дан Лахав да отправи призив за използването на изкуствен интелект за създаването им.
„Определено не бива да правите това“, каза той пред Sky News. „И ако сте го направили, трябва незабавно да промените паролата си. И не смятаме, че е достатъчно известно, за да е проблем.“
Предсказуемите модели са враг на добрата киберсигурност, защото означават, че паролите могат да бъдат отгатнати от автоматизирани инструменти, използвани от киберпрестъпниците.
Инструменти като системите за пароли на Apple и Google, както и специализирани мениджъри на пароли като 1Password и LastPass, използват високо сигурен генератор на случайни числа и букви, за да създават пароли, които не могат да бъдат хакнати само чрез изпробване на различни комбинации.
Но тъй като моделите с големи езици (LLM) всъщност не генерират пароли на случаен принцип, а вместо това извличат резултати въз основа на модели в данните за обучение, те всъщност не създават силна парола, а само нещо, което изглежда като силна парола - впечатление за сила, което всъщност е силно предвидимо.
Някои пароли, създадени с изкуствен интелект, се нуждаят от математически анализ, за да се разкрие тяхната слабост, но много от тях са толкова правилни, че са ясно видими с просто око.
Например, извадка от 50 пароли, генерирани от Irregular, използвайки изкуствения интелект Claude на Anthropic, е дала само 23 уникални пароли. Една парола - K9#mPx$vL2nQ8wR - е използвана 10 пъти. Други включват K9#mP2$vL5nQ8@xR, K9$mP2vL#nX5qR@j и K9$mPx2vL#nQ8wFs.
По време на тестова на Claude, за проверка на изследванията на Irregular, първата парола, която е генерирана е K9#mPx@4vLp2Qn8R.
ChatGPT на OpenAI и Gemini AI на Google били малко по-нередовни с резултатите си, но все пак произвеждали повтарящи се пароли и предвидими модели в символите на паролата.
Системата за генериране на изображения на Google, NanoBanana, също е склонна към същата грешка, когато е помолена да генерира снимки на пароли върху Post-it листчета.
Irregular co-founder Dan Lahav warns that people who have used AI to make passwords 'should change your password immediately'.
— Sky News (@SkyNews) February 18, 2026
Sky's Roland Manthorpe explains why.
🔗 https://t.co/Xs7d3mgbeP pic.twitter.com/lwXOzUIcHG
„Дори стари компютри могат да ги разбият“
Инструментите за онлайн проверка на пароли твърдят, че тези пароли са изключително силни. Те преминаха с отличие тестовете, проведени от Sky News: един инструмент за проверка на пароли установи, че парола тип Claude няма да бъде разбита от компютър дори за 129 милиона трилиона години.
Но това е само защото проверяващите не са наясно с модела, което прави паролите много по-слаби, отколкото изглеждат.
„Най-добрата ни оценка е, че в момента, ако използвате LLM за генериране на пароли, дори стари компютри могат да ги разбият за сравнително кратко време“, казва г-н Лахав.
Това не е проблем само за нищо неподозиращите потребители на изкуствен интелект, но и за разработчиците, които все по-често използват изкуствен интелект, за да пишат по-голямата част от кода си.
Генерирани от изкуствен интелект пароли вече могат да бъдат намерени в код, който се използва в приложения, програми и уебсайтове, според търсене в GitHub, най-широко използваното хранилище за код, за разпознаваеми части от пароли, създадени от изкуствен интелект.
Например, търсенето на K9#mP (често срещан префикс, използван от Клод) даде 113 резултата, а k9#vL (подниз, използван от Джемини) даде 14 резултата. Имаше много други примери, често очевидно предназначени да бъдат пароли.
Повечето от резултатите са невинни, генерирани от агенти за кодиране с изкуствен интелект за документи за „най-добри практики за сигурност“, код за тестване на силата на паролите или код за заместване.
Въпреки това, Irregular откри някои пароли в това, което подозираше, че са истински сървъри или услуги, и фирмата успя да накара кодиращи агенти да генерират пароли в потенциално важни области от кода.
„Някои хора може да са изложени на този проблем, без дори да го осъзнават, само защото са делегирали сравнително сложно действие на изкуствен интелект“, каза г-н Лахав, който призова компаниите за изкуствен интелект да инструктират своите модели да използват инструмент за генериране на наистина случайни пароли, подобно на това как човек би използвал калкулатор.
Какво трябва да направите вместо това?
Греъм Стюарт, ръководител на публичния сектор във фирмата за киберсигурност Check Point, имаше какво да успокои.
„Добрата новина е, че това е един от редките проблеми със сигурността с лесно решение“, каза той.
„Що се отнася до това колко голяма е сделката, тя попада в категорията „избежими, силно въздействащи, когато се обърка“, а не в категорията „всички са на път да бъдат хакнати“.
Други експерти отбелязаха, че проблемът са самите пароли, които са известни с това, че са ненадеждни.
„Има по-силни и по-лесни методи за удостоверяване“, каза Робърт Хан, глобален вицепрезидент по техническите решения в Entrust, който препоръча хората да използват пароли с лицева или пръстова идентификация, когато е възможно.
А ако това не е опция? Универсалният съвет: изберете дълга, запомняща се фраза и не питайте изкуствен интелект.
Sky News се е свързала с OpenAI, докато Anthropic е отказала коментар.
Говорител на Google заяви: „LLM-овете не са създадени с цел генериране на нови пароли, за разлика от инструменти като Google Password Manager, които създават и съхраняват пароли безопасно.“
„Също така продължаваме да насърчаваме потребителите да се откажат от паролите и да приемат ключове за достъп, които са по-лесни и по-безопасни за използване.“