مدلهای زبانی بزرگ میتوانند رمزهایی تولید کنند که در ظاهر پیچیدهاند، اما آزمایشهای اخیر نشان میدهد این رشتهها چندان هم تصادفی نیستند.
یک مطالعه توسط شرکت Irregular خروجی رمزهای تولیدشده توسط سیستمهای هوش مصنوعی مانند Claude، ChatGPT و Gemini را بررسی کرد. از هرکدام خواسته شد رمزهای ۱۶ کاراکتری شامل نمادها، اعداد و حروف بزرگ و کوچک بسازند.
در نگاه اول، این رمزها قوی بهنظر میرسیدند و حتی در بسیاری از تستهای رایج سنجش قدرت رمز عبور قبول میشدند؛ برخی ابزارها تخمین میزدند شکستن آنها قرنها طول میکشد. اما بررسی دقیقتر نشان داد ماجرا چیز دیگری است.
پژوهشگران وقتی ۵۰ رمز عبور تولیدشده در نشستهای جداگانه را بررسی کردند، متوجه شدند بسیاری از آنها تکراریاند و تعدادی هم الگوهای ساختاری تقریباً یکسانی دارند.
بیشتر رمزها با نوع مشابهی از کاراکترها شروع و تمام میشدند و هیچکدام شامل کاراکتر تکراری نبودند.
نبودِ تکرار شاید در نگاه اول نشانهای از امنیت بهنظر برسد، اما در واقع نشان میدهد خروجیها از الگوهای آموختهشده پیروی میکنند، نه از تصادفیبودن واقعی.
با استفاده از محاسبات آنتروپی بر اساس آمار کاراکترها و احتمالهای مدل، پژوهشگران برآورد کردند رمزهای تولیدشده توسط هوش مصنوعی تنها حدود ۲۰ تا ۲۷ بیت آنتروپی دارند.
یک رمز ۱۶ کاراکتری واقعاً تصادفی معمولاً بین ۹۸ تا ۱۲۰ بیت آنتروپی دارد، اگر با همین روشها اندازهگیری شود.
این اختلاف بسیار زیاد است و در عمل میتواند به این معنا باشد که چنین رمزهایی روی سختافزارهای قدیمی هم ممکن است طی چند ساعت با حملهٔ brute‑force شکسته شوند.
سنجشگرهای آنلاین قدرت رمز عبور فقط ظاهر پیچیدگی را بررسی میکنند، نه الگوهای آماری پنهان در رشتهٔ کاراکترها. از آنجا که این ابزارها در نظر نمیگیرند رمزهای تولیدشده توسط هوش مصنوعی چگونه ساخته میشوند، ممکن است خروجیهای قابل پیشبینی را «ایمن» ارزیابی کنند.
