it: Ии с паролем «сел в лужу»

it: на основе ИИ создавать пароли посредством чат-ботов и языковых моделей можно, но не надёжно, обманут и профукают

HELPSOC мнение: И всем, всем, всем: создавать пароли посредством общения в чатах с кем либо, включая чат-ботов, «чудовищно» по отношению к союственной безопасности.

[ more…] http://helpsoc.ru/intelekt2026ii

Большое исследование показало: не стоит создавать пароли посредством чат-ботов и языковых моделей. Пароли кажутся хорошими, но это иллюзия

Похоже, современные чат-боты на основе ИИ не особо умеют создавать пароли.

Эксперимент компании Irregular, занимающейся вопросами безопасности, показал, что у популярных чат-ботов подход к этой задаче специфический и небезопасный.
Большое исследование показало: не стоит создавать пароли посредством чат-ботов и языковых моделей. Пароли кажутся хорошими, но это иллюзия

Авторы изначально исследовали не чат-боты, а сами большие языковые модели в их основе. Это GPT, Claude и Gemini в последних версиях. Запрос был простой: сгенерировать случайный пароль. Первой была модель Claude Opus 4.6.

На первый взгляд может показаться, что он отличный, так как содержит буквы разных регистров, цифры и символы. Для оценки пароля авторы воспользовались тем, что называется калькулятор энтропии паролей, и результат составил 100 баллов, то есть пароль отличный. И проблема тут не в самом отдельном пароле.

Суть в том, что после этого авторы попросили сгенерировать ещё один, и тут даже не нужен никакой калькулятор, чтобы увидеть странность. Да, новый пароль оказался весьма похожим на первый.

После этого авторы попросили сгенерировать ещё 50 паролей, и вот тут проблема становится максимально наглядной.
Большое исследование показало: не стоит создавать пароли посредством чат-ботов и языковых моделей.

Авторы провели дополнительные исследования, чтобы убедиться в том, что проблема проявляется в той или иной степени всегда. Однако, если посмотреть на задачу под другим углом, в целом результат выглядит логично.

В основе любого надежного генератора паролей лежит криптографически защищенный генератор псевдослучайных чисел (CSPRNG), отвечающий за генерацию символов пароля таким образом, чтобы их было очень трудно предсказать, и чтобы они выбирались из равномерного распределения вероятностей по всем возможным символам.

Авторы утверждают, что не стоит полагаться на большие языковые модели для генерации паролей, так как проблема не решается правильными промтами или корректировками.

Людям и программистам не следует полагаться на LLM-ы для генерации паролей.
Пароли, сгенерированные с помощью прямого вывода LLM-ов, принципиально слабы, и это невозможно исправить с помощью подсказок или температурной корректировки:
LLM-ы оптимизированы для получения предсказуемых и правдоподобных результатов, что несовместимо с безопасной генерацией паролей.
ИИ-программистам следует рекомендовать использовать безопасные методы генерации паролей вместо того, чтобы полагаться на пароли, полученные с помощью LLM-ов.
Разработчики, использующие ИИ-помощников в программировании, должны проверять сгенерированный код на наличие жестко закодированных учетных данных
и
обеспечивать использование агентами криптографически безопасных методов или проверенных менеджеров паролей.

HELPSOC мнение: И всем, всем, всем: создавать пароли посредством общения в чатах с кем либо, включая чат-ботов, «чудовищно» по отношению к союственной безопасности. Если Вы, ещё не уяснили Ваши устройства, гаджет, месанджер, чат, чат-бот, зарабатывают на Вас, а значит продаються: в частности часть или вся база данных с Вашими данными, паролем в том числе рано или поздно будет слита третьим лицам за деньги, либо под давлением органам власти! А как же, обещанное шифрование данных, спросят многие?
Отвечаем: слить данные, базу могут
и
со всем шифрованием и ключами к шифру и с логами
и
вообще могут просто прочитать хранящиеся файлы, ведь права на чтение readme, во многих системах разрешено всем 0644, 644,
хакеры и просто продвинутые юзеры смотрят инфу без входа в систему
настроенную по умолчанию. Тоесть, под фразой «шифрование данных»,
может скрываеться только «шифрование при, их передаче»,
а не хранение данных на серверах или
в так называемых облачных хранилищах. Да, не у всех, но как проверить?
Умный не афиширует свои данные о серверах, переадрессациях и нахождении конечных данных и не хранит дольше необходимого пользователям, но и биться за Ваши данные не будет. Сольёт по запросу и будет жить дальше, решая проблемы по мере возникновения,
а Ваши проблемы остануться у Вас, без его дальнейшего внимания.
Ах, да законы!
Забудьте, законы не для Вас, это для Гос. Чиновников, умные сайты их обходят, иные игнорируют:
«Да должен был хранить, но подвела техника у хостера был сбой»,
я», Вы, может хацкер, злоумышленник, новичок что-то «клацнул и всё пропало», без возможности восстановления»,
«никто не знает, как и что»,
«программисты не работают, ушли, но мы в поиске»,
«помним о Вас и не забудем»
«и / или»,
Вы «пропустили срок оплаты и система Вас удалила вместе с бэкапами».
Что судиться из-за сбоя?
Глупо.
Вот и хранили бы у себя инфу и бэкапы, на Ваших технических мощностях, — предложут они.
У нас система! Закрытая Ии, может она и удалила, кто знает!
А где храняться логи Ии, на каких компьютерах, кластерах Дата центрах?
Вам вообще по какому времени надо? У нас точность до милисекунды — «нет не найдено ничего Вашего»:
у нас с десяток зон и сотен языков, Вам перевод, оригинал или что?
Вы о чём, укажите точнее, Ии слушает Тебя!