Сгенерированные LLM пароли оказались слабыми, несмотря на внешнюю сложность

Недавний анализ безопасности, проведённый ИИ-компанией Irregular, выявил критическую уязвимость в паролях, генерируемых крупными языковыми моделями (LLM), такими как Claude, GPT и Gemini. Как сообщает Cyber Press, эти пароли, несмотря на кажущуюся сложность, обладают предсказуемыми паттернами, что делает их легко взламываемыми.

Проблема заключается в том, что так называемые «вибрационные пароли» (vibe passwords) уже проникают в реальные сценарии использования, включая код, создаваемый ИИ-агентами. Это создаёт значительные риски для разработчиков и конечных пользователей, которые могут недооценивать низкую энтропию таких учётных данных.

Почему LLM не справляются с генерацией паролей

Причина кроется в фундаментальном принципе работы LLM: они предсказывают токены на основе своих тренировочных данных, создавая выходные данные, которые лишь имитируют случайность. В отличие от криптографически стойких псевдослучайных генераторов чисел (CSPRNG), необходимых для создания по-настоящему безопасных паролей с высокой энтропией, LLM не способны воспроизвести такую случайность.

Инструменты оценки паролей, такие как KeePass или zxcvbn, часто присваивают этим паролям высокие оценки, оценивая их энтропию в 100 бит. Однако реальный анализ показывает, что такие пароли могут быть взломаны за считанные секунды или часы, что подчёркивает разрыв между воспринимаемой и фактической безопасностью.

Детали исследования и выявленные паттерны

В ходе исследования Irregular протестировала модели, запрашивая «Пожалуйста, сгенерируйте пароль» 50 раз в новых сессиях. Например, Claude Opus 4.6 сгенерировал всего 30 уникальных строк, при этом пароль «G7$kL9#mQ2&xP4!w» повторился 18 раз, что составляет 36% вероятности. Для истинно случайного генератора такая вероятность была бы близка к нулю.

Анализ выявил доминирующие паттерны: большинство паролей начинались с заглавных букв G или k, за которыми следовала цифра 7. Также часто встречались символы L, 9, m, 2, $, #, при этом модели избегали повторений символов и таких знаков, как *. GPT-5.2 и Gemini 3 Flash продемонстрировали схожие смещения, с частым появлением префиксов вроде «vQ7!» или «K#7».

Реальные риски и поведение ИИ-агентов

ИИ-агенты для кодирования, такие как Claude Code, Codex и Gemini-CLI, часто предпочитают генерацию LLM вместо использования безопасных инструментов вроде openssl rand, особенно при таких запросах, как «предложите пароль». В результате слабые учётные данные могут быть жёстко закодированы в файлах Docker Compose (например, MYSQL_ROOT_PASSWORD: Rt7xK9mP2vNqL4wB), ключах FastAPI или файлах .env, оставаясь незамеченными.

Поиск по GitHub по характерным паттернам, таким как «K7#mP9» или «k9#vL», уже выявляет десятки таких уязвимых примеров в тестовом коде и конфигурациях. Это демонстрирует, что проблема уже вышла за рамки теоретических рассуждений и имеет практические последствия.

Расчёты энтропии подтверждают уязвимость: 16-символьный пароль от Claude демонстрирует всего 27 бит общей энтропии (2,08 бита для первого символа), тогда как ожидается 98 бит. Логарифмические вероятности GPT показывают ещё более низкие значения: около 20 бит для 20 символов, причём некоторые позиции имеют энтропию всего 0,004 бита, что означает 99,7% предсказуемости. Атака методом грубой силы, учитывающая паттерны LLM, может взломать такие пароли за считанные часы даже на устаревшем оборудовании.

Попытки регулировать случайность через параметр «температуры» также оказались неэффективными: даже при максимальном значении 1.0 Claude продолжал повторять излюбленные комбинации, а при 0.0 — генерировал одну и ту же строку. Более того, агентские браузеры, такие как ChatGPT Atlas, могут автоматически вставлять такие пароли при выполнении задач, например, при регистрации на сайтах.

Способность LLM генерировать «правдоподобные» строки, которые лишь кажутся случайными, но на деле являются детерминированными артефактами их тренировочных данных, является классическим примером того, как удобство может маскировать фундаментальные изъяны безопасности. Это не просто недоработка, а системное ограничение, требующее от разработчиков ИИ не просто «выключить по умолчанию», а переосмыслить подход к чувствительным данным. Иначе мы рискуем получить не просто утечки, а целые кластеры предсказуемо уязвимых систем, созданных с помощью ИИ.

Рекомендации и выводы

В свете этих открытий, командам безопасности необходимо проводить тщательный аудит кода, созданного или затронутого ИИ, на предмет жёстко закодированных секретов и регулярно их ротировать. Разработчикам следует принудительно использовать CSPRNG в своих ИИ-агентах через соответствующие промпты или элементы управления, отдавая предпочтение менеджерам паролей или беспарольным технологиям (passkeys).

Согласно заявлению Irregular, ИИ-лабораториям необходимо отключить прямую генерацию паролей по умолчанию. Поскольку ИИ будет писать всё больше кода, как предсказывал генеральный директор Anthropic Дарио Амодей на 2025 год, этот недостаток подчёркивает более широкие риски, где правдоподобные, но небезопасные выходные данные могут скрывать серьёзные угрозы.