Ето защо не бива да питате ChatGPT да ви измисли нова парола
Изкуственият разсъдък може да ви напише код, да преведе документ и да съчини стихотворение — само че да ви измисли сигурна ключова дума не е по силите му. Това е тревожното умозаключение на две самостоятелни проучвания, извършени от фирмите за киберсигурност Irregular и Kaspersky, които откриват, че всички водещи езикови модели генерират пароли с предвидими и повтарящи се модели — накърнимост, която може да бъде елементарно употребена от злонамерени лица.
Проучването на Irregular, споделено извънредно с английската медия Sky News, проучва резултатите на ChatGPT, Claude и Gemini. Извадка от 50 пароли, генерирани от Claude, разкри единствено 23 неповторими комбинации — паролата K9#mPx$vL2nQ8wR се появи цели 10 пъти. Когато Sky News независимо тестваха Claude, първата генерирана ключова дума беше K9#mPx@4vLp2Qn8R — съвсем идентична с повтарящите се модели от проучването. ChatGPT и Gemini демонстрираха малко по-разнообразни резултати, само че и при тях бяха открити присъщи повторения.
Една ключова дума не стига: по какъв начин да отбраните цифровата си идентичност посредством двустепенна инспекция
Кражбата на акаунт към този момент не е необичайност, а всекидневие. Ето за какво втората стъпка при влизане в профила ви може да се окаже решаваща
Kaspersky пък тества 1000 пароли, генерирани от ChatGPT, Llama и DeepSeek, и откри, че 88% от паролите на DeepSeek и 87% от тези на Llama не дават отговор на минималните стандарти за сигурност. При ChatGPT делът на незадоволителните пароли е 33%. Нещо повече — DeepSeek и Llama нерядко генерират пароли, основани на речникови думи с буквени размени: P@ssw0rd, M@n@go3, S1mP1eL1on. " Подобни пароли никога не са безвредни ", разяснява Алексей Антонов, началник на екипа по Data Science в Kaspersky.
Макар ChatGPT да заобикаля очевидните речникови думи, задълбоченият разбор разкрива, че в генерираните от него пароли непропорционално постоянно се появяват знаците x, p, l и L, а в 26% от случаите липсва специфичен знак или цифра. " Идеалният генератор на случайни данни не би предпочитал нито един знак — всички би трябвало да се появяват почти идентичен брой пъти ", изяснява Антонов.
Кои са най-популярните пароли по света за 2024 година
Не, не е добра концепция да употребявате някоя от тях
Проблемът е систематичен: езиковите модели не генерират същински инцидентни буквено-цифрени комбинации. Вместо това те извличат резултати въз основа на модели в подготвителните си данни, което прави резултата им предвидим за атакуващи, осведомени с метода им на работа.
Онлайн инструментите за инспекция на пароли не засичат тази уязвимост — един от тях даже пресметна, че дадена ключова дума, генерирана от Claude, би издържала 129 милиона трилиона години. Реалността е друга: " Дори остарели компютри могат да ги разбият относително бързо ", предизвестява съоснователят на Irregular Дан Лахав.
Рискът не визира единствено крайните консуматори. В хранилището за код GitHub са открити стотици файлове, съдържащи разпознаваеми фрагменти от AI-генерирани пароли, вградени в действителен програмен код — в някои случаи в евентуално чувствителни елементи от приложения и услуги.
Решението е еднопосочно: използвайте профилиран управител за пароли. Тези принадлежности разчитат на криптографски предпазени генератори, създават в действителност случайни комбинации и ги съхраняват в криптирано вместилище. Предлагат и спомагателни функционалности като автоматизирано попълване, синхронизация сред устройства и мониторинг за изтекли данни. А в случай че управител на пароли не е алтернатива — изберете дълга, запаметяваща се фраза. И несъмнено не питайте AI.
Проучването на Irregular, споделено извънредно с английската медия Sky News, проучва резултатите на ChatGPT, Claude и Gemini. Извадка от 50 пароли, генерирани от Claude, разкри единствено 23 неповторими комбинации — паролата K9#mPx$vL2nQ8wR се появи цели 10 пъти. Когато Sky News независимо тестваха Claude, първата генерирана ключова дума беше K9#mPx@4vLp2Qn8R — съвсем идентична с повтарящите се модели от проучването. ChatGPT и Gemini демонстрираха малко по-разнообразни резултати, само че и при тях бяха открити присъщи повторения.
Една ключова дума не стига: по какъв начин да отбраните цифровата си идентичност посредством двустепенна инспекция
Кражбата на акаунт към този момент не е необичайност, а всекидневие. Ето за какво втората стъпка при влизане в профила ви може да се окаже решаваща
Kaspersky пък тества 1000 пароли, генерирани от ChatGPT, Llama и DeepSeek, и откри, че 88% от паролите на DeepSeek и 87% от тези на Llama не дават отговор на минималните стандарти за сигурност. При ChatGPT делът на незадоволителните пароли е 33%. Нещо повече — DeepSeek и Llama нерядко генерират пароли, основани на речникови думи с буквени размени: P@ssw0rd, M@n@go3, S1mP1eL1on. " Подобни пароли никога не са безвредни ", разяснява Алексей Антонов, началник на екипа по Data Science в Kaspersky.
Макар ChatGPT да заобикаля очевидните речникови думи, задълбоченият разбор разкрива, че в генерираните от него пароли непропорционално постоянно се появяват знаците x, p, l и L, а в 26% от случаите липсва специфичен знак или цифра. " Идеалният генератор на случайни данни не би предпочитал нито един знак — всички би трябвало да се появяват почти идентичен брой пъти ", изяснява Антонов.
Кои са най-популярните пароли по света за 2024 година
Не, не е добра концепция да употребявате някоя от тях
Проблемът е систематичен: езиковите модели не генерират същински инцидентни буквено-цифрени комбинации. Вместо това те извличат резултати въз основа на модели в подготвителните си данни, което прави резултата им предвидим за атакуващи, осведомени с метода им на работа.
Онлайн инструментите за инспекция на пароли не засичат тази уязвимост — един от тях даже пресметна, че дадена ключова дума, генерирана от Claude, би издържала 129 милиона трилиона години. Реалността е друга: " Дори остарели компютри могат да ги разбият относително бързо ", предизвестява съоснователят на Irregular Дан Лахав.
Рискът не визира единствено крайните консуматори. В хранилището за код GitHub са открити стотици файлове, съдържащи разпознаваеми фрагменти от AI-генерирани пароли, вградени в действителен програмен код — в някои случаи в евентуално чувствителни елементи от приложения и услуги.
Решението е еднопосочно: използвайте профилиран управител за пароли. Тези принадлежности разчитат на криптографски предпазени генератори, създават в действителност случайни комбинации и ги съхраняват в криптирано вместилище. Предлагат и спомагателни функционалности като автоматизирано попълване, синхронизация сред устройства и мониторинг за изтекли данни. А в случай че управител на пароли не е алтернатива — изберете дълга, запаметяваща се фраза. И несъмнено не питайте AI.
Източник: money.bg
КОМЕНТАРИ