AI生成密码暴露可预测模式，安全风险凸显

AI生成密码随机性缺陷引发安全警示

近期一项研究揭露了大型语言模型（LLM）生成的密码存在严重安全漏洞，表明AI生成的凭证遵循可预测模式，缺乏真正的随机性。该研究由Irregular Security发布，随着自主AI系统越来越多地处理账户创建和身份验证，安全隐患日益凸显。

关键发现与技术分析

研究人员分析了由Anthropic开发的LLM模型Claude生成的50个密码，发现多个令人担忧的趋势：

• 一致的格式规律：所有密码均以大写字母开头，且绝大多数以字母“G”起始，紧随其后的数字“7”在几乎所有实例中出现。
• 字符分布偏差：字符“L”、“9”、“m”、“2”、“$”和“#”在全部50个密码中均有出现，而其他字符（如“5”、“@”）则极少使用。大部分字母字符完全缺失。
• 无重复字符：尽管在真正随机的密码中重复字符具有统计学上的合理性，Claude却刻意避免重复字符，可能源于算法对“随机性”的误解。
• 符号回避：星号（“*”）被完全排除，可能因其在Claude使用的Markdown输出格式中具有特殊含义。
• 高重复率：在50次生成尝试中，仅产生了30个唯一密码。密码G7$kL9#mQ2&xP4!w出现了18次，占比高达36%，远超100位密码应有的2^-100概率。

网络安全专家Bruce Schneier指出：“这一结果并不意外。密码生成似乎正是LLM不擅长的领域。但如果AI代理自主运行，它们必然会创建账户，这将成为严重问题。”

影响与更广泛的安全隐患

该研究凸显了LLM在安全关键应用中的根本局限性。尽管AI生成的密码看似复杂且长度充足，但其可预测的模式使其极易遭受暴力破解攻击。例如，了解这些偏差的攻击者可显著缩短破解此类密码所需的时间和计算资源。

风险不仅限于密码生成。随着AI系统越来越多地自主执行任务——如管理云服务、API或物联网（IoT）设备——其安全处理身份验证的能力变得至关重要。若不加以解决，LLM生成凭证的当前缺陷可能引发大规模安全漏洞。

安全专业人员建议

为降低风险，组织和开发者应采取以下措施：

1. 避免依赖LLM生成密码：使用成熟的加密库（如OpenSSL、libsodium）或专用密码管理器生成高熵密码。
2. 部署多因素认证（MFA）：即使密码被破解，MFA可为AI管理的账户提供额外安全层。
3. 监测AI生成凭证模式：安全团队应了解本研究识别的偏差，并监控环境中是否存在类似模式。
4. 提升开发者对AI局限性的认知：确保团队理解使用LLM处理安全敏感任务（包括身份验证和凭证管理）的风险。
5. 推动AI安全标准制定：随着AI应用普及，亟需制定行业通用的AI驱动身份验证安全指南。

结论

该研究为LLM在安全关键功能（如密码生成）中的应用敲响了警钟。尽管LLM在众多领域表现出色，但尚不具备处理此类任务的能力。随着AI系统日益自主化，解决这些局限性将成为防范大规模安全漏洞的关键。目前，人工监督和传统加密方法仍是确保安全认证的不二之选。

原始研究：Irregular Security。相关报道：Gizmodo、Slashdot。