Kodėl dirbtinio intelekto generuojami slaptažodžiai nėra tokie saugūs, kaip manoma

Daugelis vartotojų šiandien pasitiki dirbtinio intelekto (DI) įrankiais, tokiais kaip ChatGPT, Claude ar Gemini, prašydami sukurti stiprius ir saugius slaptažodžius. Šie modeliai greitai generuoja 16 simbolių ilgio slaptažodžius, kuriuose derinamos didžiosios ir mažosios raidės, skaičiai bei specialieji ženklai. Iš pirmo žvilgsnio tokie slaptažodžiai atrodo atsitiktiniai ir sunkiai atspėjami, tačiau naujausi saugumo tyrimai rodo, kad tai gali būti klaidingas įspūdis.

Dirbtinio intelekto generuojamų slaptažodžių saugumo iššūkiai

Specialistų atlikti tyrimai atskleidė, kad DI generuojami slaptažodžiai dažnai pasižymi pasikartojančiais šablonais. Pavyzdžiui, viename iš bandymų, kuriame Claude modelis buvo paprašytas sukurti 50 unikalių 16 simbolių slaptažodžių, tik 30 iš jų buvo iš tiesų unikalūs. Dauguma slaptažodžių turėjo panašias pradžios ir pabaigos sekas, trūko tam tikrų simbolių, o jų struktūra atspindėjo statistinius modelio mokymosi duomenų dėsningumus. Panašios problemos buvo pastebėtos ir kituose modeliuose, tokiuose kaip OpenAI GPT 5.2 ar Google Gemini 3 Flash.

Entropija – pagrindinis slaptažodžio saugumo rodiklis

Slaptažodžio saugumas dažnai matuojamas entropijos dydžiu, kuris parodo, kiek slaptažodis yra nenuspėjamas. Kuo didesnė entropija, tuo daugiau galimų kombinacijų ir sunkiau jį nulaužti bruteforce metodu. Tyrimai parodė, kad DI generuotų 16 simbolių slaptažodžių entropija siekia tik apie 20–27 bitus, tuo tarpu tikrai atsitiktiniai slaptažodžiai tokiu pačiu ilgiu turėtų turėti nuo 98 iki 120 bitų entropijos. Tai reiškia, kad DI slaptažodžiai yra žymiai mažiau saugūs ir gali būti nulaužti per kelias valandas net naudojant senesnes technikas.

Kodėl DI modeliai negali generuoti tikrai atsitiktinių slaptažodžių?

Problemos šaknys slypi pačiuose kalbos modeliuose. Jie nėra skirti generuoti tikrai atsitiktinius skaičius ar simbolius, o prognozuoti labiausiai tikėtiną simbolių seką remdamiesi mokymosi duomenų statistika. Todėl net ir prašant sukurti „atsitiktinį“ slaptažodį, modelis generuoja sekas, kurios yra statistiškai labiau tikėtinos, o ne visiškai atsitiktinės. Tai skiriasi nuo kriptografiškai saugių atsitiktinių skaičių generatorių, kurie yra būtini tikrai stipriems slaptažodžiams kurti.

Kaip užtikrinti slaptažodžių saugumą?

Vietoje DI rekomenduojama naudoti specializuotus slaptažodžių valdytojus, kurie naudoja kriptografiškai saugius atsitiktinių skaičių generatorius. Jei jau naudojate DI sugeneruotą slaptažodį, svarbu jį kuo greičiau pakeisti. Be to, svarbu suprasti, kad panašūs DI modelių apribojimai gali kelti grėsmę ir kitose srityse, kur naudojama dirbtinio intelekto prognozavimo logika, todėl būtina nuolat vertinti ir stiprinti saugumo priemones.