НАЗАД К НОВОСТЯМ
ИсследованияВысокий

Пароли, сгенерированные ИИ, демонстрируют предсказуемые шаблоны и создают угрозы безопасности

3 мин чтенияИсточник: Schneier on Security

Исследование выявило уязвимости в паролях, созданных большими языковыми моделями (LLM): предсказуемые шаблоны и отсутствие истинной случайности повышают риски взлома.

Пароли, сгенерированные ИИ, страдают от недостаточной случайности, предупреждают исследователи

Недавнее исследование выявило серьёзные уязвимости в паролях, генерируемых большими языковыми моделями (LLM). Как оказалось, ИИ-созданные учётные данные следуют предсказуемым шаблонам и лишены истинной случайности. Результаты, опубликованные компанией Irregular Security, подчёркивают критические проблемы безопасности, так как автономные системы ИИ всё чаще берут на себя задачи создания учётных записей и аутентификации.

Основные выводы и технический анализ

Исследователи проанализировали 50 паролей, сгенерированных моделью Claude, разработанной компанией Anthropic, и выявили несколько тревожных тенденций:

  • Стандартное форматирование: Все пароли начинались с заглавной буквы, преимущественно с «G», за которой в большинстве случаев следовала цифра «7».
  • Смещённое распределение символов: Такие символы, как «L», «9», «m», «2», «$» и «#», встречались во всех 50 паролях, тогда как другие (например, «5», «@») использовались крайне редко. Большинство букв алфавита отсутствовали полностью.
  • Отсутствие повторяющихся символов: Несмотря на статистическую маловероятность в действительно случайных паролях, Claude избегал повторения символов, вероятно, из-за алгоритмического предпочтения «кажущейся случайности».
  • Избегание определённых символов: Звёздочка («*») была исключена, возможно, из-за её особого значения в Markdown — формате вывода, используемом Claude.
  • Высокая частота повторений: Из 50 попыток было сгенерировано всего 30 уникальных паролей. Пароль G7$kL9#mQ2&xP4!w появился 18 раз, что составило 36% вероятность в тестовом наборе — значительно превышая ожидаемую вероятность 2<sup>-100</sup> для пароля с энтропией 100 бит.

«Этот результат не удивляет», — отметил эксперт по кибербезопасности Брюс Шнайер. — «Генерация паролей — это именно то, в чём большие языковые модели не должны преуспевать. Но если ИИ-агенты действуют автономно, они будут создавать учётные записи, и это становится серьёзной проблемой».

Последствия и более широкие риски

Исследование подчёркивает фундаментальное ограничение LLM в задачах, критичных для безопасности. Хотя ИИ-сгенерированные пароли могут казаться надёжными благодаря своей длине и сложности, их предсказуемые шаблоны делают их уязвимыми для атак методом грубой силы. Например, злоумышленник, осведомлённый об этих смещениях, мог бы значительно сократить время и вычислительные ресурсы, необходимые для взлома таких паролей.

Риски выходят за рамки генерации паролей. По мере того как системы ИИ всё чаще выполняют задачи автономно — например, управляют облачными сервисами, API или устройствами IoT — их способность надёжно обрабатывать аутентификацию становится критически важной. Существующие недостатки в ИИ-сгенерированных учётных данных могут привести к масштабным уязвимостям, если их не устранить.

Рекомендации для специалистов по безопасности

Для снижения этих рисков организациям и разработчикам следует:

  1. Избегать использования LLM для генерации паролей: Применяйте проверенные криптографические библиотеки (например, OpenSSL, libsodium) или специализированные менеджеры паролей для создания паролей с высокой энтропией.
  2. Внедрять многофакторную аутентификацию (MFA): Даже если пароли скомпрометированы, MFA добавляет дополнительный уровень защиты для учётных записей, управляемых ИИ.
  3. Мониторить шаблоны ИИ-сгенерированных учётных данных: Специалисты по безопасности должны знать о выявленных в исследовании смещениях и отслеживать аналогичные шаблоны в своей среде.
  4. Обучать разработчиков ограничениям ИИ: Команды должны понимать риски использования LLM для задач, чувствительных к безопасности, включая аутентификацию и управление учётными данными.
  5. Способствовать разработке стандартов безопасности для ИИ: По мере роста внедрения ИИ необходимы отраслевые рекомендации по безопасной аутентификации с использованием ИИ.

Заключение

Исследование служит критическим напоминанием о том, что, несмотря на успехи LLM во многих областях, они пока не готовы к выполнению задач, критичных для безопасности, таких как генерация паролей. По мере того как системы ИИ становятся всё более автономными, устранение этих ограничений будет необходимо для предотвращения масштабных утечек данных. На данный момент человеческий контроль и традиционные криптографические методы остаются незаменимыми для обеспечения безопасной аутентификации.

Оригинальное исследование: Irregular Security. Освещение в СМИ: Gizmodo, Slashdot.

Поделиться

TwitterLinkedIn