ChatGPT и Gemini генерируют пароли, которые можно взломать за часы

ChatGPT и Gemini генерируют пароли, которые можно взломать за часы

ChatGPT и Gemini генерируют пароли, которые можно взломать за часы

Генеративный ИИ плохо справляются с созданием надёжных паролей. К такому выводу пришли специалисты компании Irregular, изучающие вопросы безопасности ИИ. Исследователи протестировали Claude, ChatGPT и Gemini. Всем моделям дали одинаковую задачу: сгенерировать 16-символьный пароль с буквами разного регистра, цифрами и спецсимволами.

На первый взгляд результаты выглядели убедительно: онлайн-проверки сложности показывали «очень сильный пароль» и даже обещали «сотни лет» на взлом такой комбинации. Но, как выяснилось, это иллюзия.

Проблема в том, что чекеры не учитывают характерные шаблоны, которые используют языковые модели. А вот злоумышленники могут учитывать. По данным Irregular, все протестированные ИИ генерировали пароли с повторяющимися структурами — особенно в начале и в конце строки.

Например, при 50 отдельных запросах к Claude (модель Opus 4.6) исследователи получили только 30 уникальных паролей. Причём 18 из них оказались полностью идентичными. Почти все строки начинались и заканчивались одинаковыми символами. Кроме того, ни в одном из 50 вариантов не было повторяющихся символов, что тоже говорит о предсказуемости, а не о случайности.

 

Похожие закономерности обнаружились и у OpenAI GPT-5.2 и Gemini 3 Flash. Даже когда исследователи попросили модель Nano Banana Pro «написать случайный пароль на стикере», характерные шаблоны Gemini всё равно сохранялись.

 

The Register повторил эксперимент с Gemini 3 Pro. Модель предлагала три варианта: «высокой сложности», «с упором на символы» и «случайный буквенно-цифровой». Первые два следовали узнаваемым шаблонам, а третий выглядел более случайным. При этом Gemini отдельно предупреждала, что такие пароли не стоит использовать для важных аккаунтов, и советовала воспользоваться менеджером паролей — например, 1Password или Bitwarden.

 

Irregular пошла дальше и оценила энтропию (меру случайности) таких паролей. Для 16-символьных строк, созданных LLM, она составила примерно 20–27 бит. Для действительно случайного пароля той же длины показатель должен быть около 98–120 бит.

 

В практическом плане это означает, что подобные ИИ-пароли теоретически можно перебрать за несколько часов, даже на старом компьютере.

Дополнительная проблема в том, что шаблоны позволяют выявлять, где ИИ использовался для генерации паролей. Поиск характерных последовательностей символов в GitHub уже приводит к тестовым проектам, инструкциям и документации с такими строками.

В Irregular считают, что по мере роста популярности вайб-кодинга и автоматической генерации кода проблема может только усилиться. Если ИИ будет писать большую часть кода (как ранее предполагал CEO Anthropic Дарио Амодеи), то и слабые пароли, созданные моделями, могут массово проникнуть в проекты.

Антифрод за 3 млрд: операторы оценили маркировку иностранных звонков

Российским операторам связи предстоят новые расходы. Согласно расчётам к проекту Минцифры, внедрение обязательной маркировки международных звонков может обойтись отрасли примерно в 3 млрд рублей ежегодно. Новые правила планируется запустить с 1 марта 2027 года.

После этого входящие вызовы с иностранных номеров должны будут сопровождаться специальной пометкой.

А если это позволяет техническая инфраструктура оператора, абоненту также будут показывать страну, из которой поступает звонок.

Инициатива, как пишет «КоммерсантЪ», входит во второй пакет антифрод-мер, подписанный президентом 26 июня. Предполагается, что дополнительная маркировка поможет пользователям быстрее распознавать потенциально подозрительные звонки и осложнит работу телефонных мошенников.

Впрочем, сами операторы смотрят на нововведение менее оптимистично. Сейчас они уже маркируют вызовы от юридических лиц, однако считают, что распространение этой системы на международные звонки потребует куда более серьёзных затрат.

По словам представителей компаний, предыдущий этап проекта уже потребовал значительных инвестиций в оборудование и модернизацию сетевой инфраструктуры.

В Минцифры, напротив, уверены, что расходы окажутся не столь значительными. В ведомстве считают, что большая часть необходимой функциональности уже внедрена у операторов, а окончательные суммы можно будет оценить после получения данных от участников рынка.

Таким образом, спор пока идет не вокруг самой идеи маркировки, а вокруг её стоимости. Если расчеты операторов подтвердятся, внедрение новой антифрод-системы станет одним из самых дорогостоящих проектов в сфере телефонной безопасности последних лет.

RSS: Новости на портале Anti-Malware.ru