Chatboty AI potrafią robić wiele rzeczy, ale jak pokazują najnowsze badania, tworzenie bezpiecznych haseł wcale do nich nie należy. Firma Irregular sprawdziła, jak radzą sobie popularne modele językowe i okazało się, że wbrew pozorom ich propozycje są dość przewidywalne. Na pierwszy rzut oka wyglądają jak losowe ciągi znaków, jednak po dokładniejszej analizie widać, że daleko im do prawdziwej losowości.
Chatboty AI nie poradziły sobie z tworzeniem haseł
Badacze poprosili modele AI o przygotowanie krótkich haseł, które miały zawierać litery, cyfry oraz znaki specjalne i mogłyby posłużyć np. do logowania do komputerów, smartfonów i profili na różnych portalach. W teorii takie połączenie powinno dawać sporą różnorodność. W praktyce chatboty AI często powtarzały te same schematy. W jednej z prób Claude wygenerował 50 haseł, z których unikalnych było tylko 30. Reszta zawierała powtórki, a w wielu przypadkach identyczne ciągi znaków.
Co gorsza, wzorce były bardzo wyraźne. Hasła tworzone przez Claude niemal zawsze zaczynały się od litery, najczęściej od wielkiego „G”, a tuż po niej pojawiała się cyfra „7”. Kolejne znaki układały się według powtarzalnych sekwencji: w kółko pojawiały się te same litery i symbole, podczas gdy większości alfabetu model w ogóle nie używał. ChatGPT zachowywał się podobnie. W jego hasłach dominowała litera „v” na początku, a w drugiej pozycji często trafiało „Q”. Gemini również wpadł w swoje rutyny i zaczynał od różnych wersji litery „k”, a drugi znak prawie zawsze pochodził z małej grupy ulubionych symboli.
Smartfony AI w naszej ofercie:
Dlaczego modele AI nie potrafią generować losowych haseł?
Źródło problemu tkwi w tym, jak działają duże modele językowe. Ich zadaniem nie jest losowanie znaków, lecz tworzenie tekstu, który statystycznie wygląda sensownie. Model przewiduje, co „powinno” pojawić się dalej, a nie rzuca wirtualną kostką. W efekcie powstają hasła, które sprawiają wrażenie skomplikowanych, lecz są oparte na przewidywalnych schematach.
Z badań wynika jeszcze jedna ważna rzecz. Złożoność hasła, mierzona mieszanką liter, cyfr i symboli, nie wystarczy. Liczy się to, jak bardzo hasło jest nieprzewidywalne, czyli jak wysoka jest jego entropia. Jeśli wzorce da się łatwo zauważyć, entropia spada, a hasło staje się podatne na odgadnięcie, nawet jeśli z zewnątrz wygląda bezpiecznie.
O takie rzeczy lepiej nie prosić chatbotów AI
Ludzie od dawna mają problem z tworzeniem dobrych haseł i często zastępują litery cyframi w sposób przewidywalny. Okazuje się, że sztuczna inteligencja podąża podobną ścieżką. Jej wyniki brzmią pewnie, ale nie zawsze warto im ufać.
Irregular podsumował to jasno: językowe chatboty AI nie nadają się do tworzenia haseł. Niezależnie od poleceń i ustawień, ich sposób działania po prostu nie sprzyja generowaniu rzeczywiście losowych ciągów. Jeśli potrzebujesz bezpiecznego hasła, lepiej użyć sprawdzonego menedżera haseł, a nie generatora opartego na modelu językowym.
