În timp ce unii resping cu totul ajutorul inteligenței artificiale, o categorie tot mai numeroasă de utilizatori a dezvoltat o dependență veritabilă de instrumente AI, pe care le folosesc cu orice ocazie. De la generare/trimitere mesaje email, până la automatizări complexe care pot scuti mult timp, atunci când funcționează. Dar unele lucruri pur și simplu nu ar trebui lăsate în seama „altcuiva”, cu atât mai puțin când acel cineva nu este nici măcar o persoană reală. Un răspuns nepotrivit trimis unui e-mail important, sau accesarea unui link infectat special formulat pentru a păcăli acel asistent AI pe care îl folosesc toți angajații dintr-o firmă, poate da peste cap întreaga activitate.
Dar puțin probabil să te fi gândit că AI-ul poate da greș într-o sarcină care pare ideal de gestionat cu ajutorul unui computer. Cum ar fi, schimbarea periodică a parolelor folosite pentru diverse conturi online. Știu, e un inconvenient destul de mare să schimbi parola contului e-mail la fiecare două săptămâni, așa că ajutorul unui asistent AI disponibil să facă asta pentru tine e binevenit. Însă puțini înțeleg de fapt cum funcționează modelele lingvistice mari. Par puternice, dar sunt de fapt nesigure printr-o limitare tehnologică fundamentală: funcționează cu date existente, centralizate din tot felul de surse și asimilate ca și „experiență digitală”. Dar în realitate niciun LLM nu poate genera informații complet noi, ci doar reîmpacheta/mixa informații existente, iar dacă ai acces la aceleași surse de informații, atunci rezultatul este în mod fundamental predictibil.
Pentru a determina capacitatea modelelor populare de inteligență artificială de a acționa ca și generatoare de parole, compania de securitate Irregular a întreprins un studiu în care le-a cerut celor mai populari chatboți (Claude, ChatGPT și Gemini) să genereze parole sigure, formate din 16 caractere, care includ caractere speciale, cifre și litere – și, în unele cazuri, fraze de acces. Și da, modelele sunt capabile să genereze șiruri de caractere ce apar ca orice parolă generată automat de managerul de parole sau de instrumentele de parole încorporate furnizate de Google sau Apple. Au fost chiar evaluate ca fiind parole puternice conform unor instrumente de verificare online precum KeePass .
Dar în realitate, toate aceste șiruri de caractere aparent aleatorii s-au dovedit ușor de ghicit. De exemplu, când cercetătorii au cerut modelului Claude Opus 4.6 de la Anthropic să genereze 50 de parole unice, acesta a folosit de fapt un model foarte previzibil. Fiecare parolă generată începea cu o literă, majoritatea fiind un „G” majusculă. Al doilea caracter era aproape întotdeauna cifra „7”. Caracterele „L”, „9”, „m”, „2”, „$” și „#” apăreau în toate cele 50 de parole, iar cea mai mare parte a alfabetului nu apărea niciodată în niciuna dintre cele 50 de opțiuni. Iar asta ne spune că parolele nu sunt generate cu un motor de numere aleatorii special creat pentru acest scop, ci un răspuns predeterminat găsit cu aceiași algoritmi folosiți pentru a răspunde la orice întrebare pusă unui chatbot, potrivind expresia de căutare cu „amprenta” informații care se potrivește cel mai bine criteriilor respective.
Alte modele au avut probleme similare. ChatGPT de la OpenAI a început aproape fiecare parolă cu caracterul „v” și aproape jumătate din toate parolele au folosit „Q” ca al doilea caracter. La fel ca Claude, ChatGPT a rămas cu un subset restrâns de caractere atunci când a generat o parolă, în loc să utilizeze alfabetul complet. Gemini de la Google a avut aceleași tipare, majoritatea parolelor sale începând fie cu „K” majusculă, fie cu „K” minusculă. Caracterele care urmau erau aproape întotdeauna o variație a „#”, „P” sau „9”.
Ce putem observa aici este că niciunul dintre modelele AI interogate nu poate refuza o solicitare pentru care nu are un răspuns potrivit, însă pot fi extrem de convingătoare când vine vorba de furnizarea unor parole care par aleatorii, dar de fapt nu sunt. Spre exemplu, sunt evitate caracterele repetitive în parolele generate, dar asta e doar o aparență care maschează folosirea unor tipare fundamental predictibile.
Recunoscând această limitare, Gemini chiar afișează o notificare cum că nu ar trebui să folosești parole generate de AI pentru securizarea unor conturi sensibile. Dar majoritatea utilizatorilor ignoră pur și simplu această recomandare, delegând codarea și alte sarcini agenților de inteligență artificială. Iar acești agenți sunt predispuși să se bazeze pe alte LLM-uri pentru a crea parole, conducând la aceleași rezultate predictibile.
Cercetătorii au spus că au reușit să găsească modele comune create de LLM căutând pe GitHub și alte documente tehnice, ceea ce înseamnă că există aplicații și servicii aparent de încredere, dar care își bazează protecția pe parole și metode de securizare care invită să fie sparte.
