Parole generate de AI? De ce nu sunt atât de sigure pe cât par

În timp ce unii evită complet utilizarea inteligenţei artificiale, tot mai mulţi utilizatori au ajuns să se bazeze excesiv pe aceste instrumente, folosindu-le pentru aproape orice: de la redactarea şi trimiterea emailurilor până la automatizări complexe care economisesc timp atunci când funcţionează corect. Totuşi, există sarcini care nu ar trebui delegate „altcuiva”, mai ales când acel „altcineva” nu este o persoană reală. Un răspuns nepotrivit la un email important sau accesarea unui link maliţios formulat special pentru a păcăli un asistent AI utilizat la nivel de companie pot afecta grav activitatea unei organizaţii.
Puţini se gândesc însă că AI-ul poate greşi tocmai într-o sarcină care pare ideală pentru un computer: generarea şi schimbarea periodică a parolelor pentru conturile online. Deşi pare tentant să laşi un asistent AI să creeze parole noi la intervale regulate, realitatea este că modelele lingvistice mari funcţionează diferit faţă de un generator real de numere aleatorii. Ele se bazează pe date existente, agregate din numeroase surse şi transformate într-un tip de „experienţă digitală”. În esenţă, un LLM nu creează informaţie cu adevărat nouă, ci combină şi reformulează tipare deja existente, ceea ce face rezultatul fundamental predictibil pentru cine are acces la aceleaşi surse sau înţelege mecanismul.
Pentru a testa cât de sigure sunt parolele generate de astfel de sisteme, compania de securitate Irregular a analizat răspunsurile oferite de chatboţi populari precum Claude, ChatGPT şi Gemini. Li s-a cerut să genereze parole de 16 caractere, care să includă litere, cifre şi simboluri speciale, uneori chiar sub formă de fraze de acces. La prima vedere, rezultatele păreau comparabile cu parolele create de manageri specializaţi sau de instrumentele integrate oferite de Google şi Apple. Unele au fost chiar validate drept puternice de verificatoare online precum KeePass.
Analiza detaliată a arătat însă altceva: şirurile de caractere nu erau cu adevărat aleatorii. În testele realizate pe Claude Opus 4.6, dezvoltat de Anthropic, parolele generate urmau un tipar evident. Multe începeau cu aceeaşi literă, frecvent „G” majusculă, urmată aproape invariabil de cifra „7”. Anumite caractere apăreau constant, în timp ce o mare parte din alfabet nu era folosită deloc. Acest lucru sugerează că parolele nu sunt produse de un mecanism dedicat de generare aleatorie, ci prin aceiaşi algoritmi statistici utilizaţi pentru formularea răspunsurilor la întrebări obişnuite.
Probleme similare au fost identificate şi la alte modele. ChatGPT, dezvoltat de OpenAI, a generat parole care începeau frecvent cu litera „v”, iar al doilea caracter era adesea „Q”. În mod similar, setul de caractere utilizat era restrâns, nu distribuit uniform. Gemini, creat de Google, a prezentat la rândul său tipare repetitive, multe parole începând cu „K”, urmată de combinaţii previzibile precum „#”, „P” sau „9”.
Concluzia este clară: modelele AI nu refuză solicitări pentru care nu sunt potrivite şi pot produce rezultate convingătoare la prima vedere. Parolele generate par complexe şi evită repetiţiile evidente, însă în profunzime respectă tipare recurente care le fac vulnerabile.
Chiar şi Gemini afişează un avertisment prin care recomandă să nu fie utilizate parole generate de AI pentru conturi sensibile. Cu toate acestea, mulţi utilizatori ignoră aceste avertismente şi deleagă inclusiv sarcini critice, precum generarea credenţialelor de acces. Mai mult, unele aplicaţii şi servicii automatizate folosesc la rândul lor LLM-uri pentru astfel de operaţiuni, perpetuând aceleaşi vulnerabilităţi.
Cercetătorii au descoperit că tiparele create de LLM-uri pot fi identificate prin analiza codului public disponibil pe platforme precum GitHub şi în documentaţii tehnice. Asta înseamnă că există aplicaţii aparent sigure care îşi bazează protecţia pe parole generate prin metode previzibile, transformând securitatea într-o vulnerabilitate mascată de aparenţa complexităţii.