还在用AI生成的密码?是时候换掉它了!
【编者按】在人工智能席卷各行各业的今天,我们似乎习惯了向AI寻求各种问题的答案,甚至包括生成密码这样的敏感任务。然而,最新研究揭示了一个令人不安的真相:主流AI模型生成的密码看似复杂,实则暗藏规律,极易被破解。这不仅是个人用户的安全隐患,更可能波及大量依赖AI编写代码的应用程序和网站。当我们盲目信任AI的输出时,是否忽略了其底层逻辑的局限性?本文将带你揭开AI生成密码的脆弱面纱,并提供更可靠的安全建议。记住,在网络安全的世界里,看似强大的表象往往是最危险的陷阱。
你曾经向AI要过密码吗?
当你这样做时,它会迅速生成一个,并自信地告诉你这个密码强度很高。
但根据网络安全公司Irregular独家分享给天空新闻的研究,现实情况恰恰相反。
这项已获天空新闻核实的研究发现,三大主流模型——ChatGPT、Claude和Gemini——生成的密码都高度可预测。Irregular联合创始人丹·拉哈维为此发出警告:不要用AI生成密码。
他告诉天空新闻:“你绝对不应该这样做。如果你已经这样做了,请立即更改密码。我们认为这个问题还没有引起足够重视。”
可预测的模式是网络安全的大敌,因为它们意味着密码可能被网络犯罪分子使用的自动化工具猜中。
但由于大语言模型实际上并非随机生成密码,而是根据训练数据中的模式推导结果,它们创造的并非真正的高强度密码,只是看起来像高强度密码——这种“强大”的表象实际上高度可预测。
有些AI生成的密码需要数学分析才能揭示其弱点,但许多密码规律性太强,肉眼就能明显看出问题。
例如,Irregular使用Anthropic的Claude AI生成的50个密码样本中,只有23个是唯一密码。其中一个密码“K9#mPx$vL2nQ8wR”出现了10次。其他密码包括K9#mP2$vL5nQ8@xR、K9$mP2vL#nX5qR@j和K9$mPx2vL#nQ8wFs等。
当天空新闻测试Claude以验证Irregular的研究时,它生成的第一个密码是K9#mPx@4vLp2Qn8R。
OpenAI的ChatGPT和Google的Gemini AI生成的密码规律性稍弱,但仍出现重复密码和可预测的字符模式。
Google的图像生成系统NanoBanana在被要求生成便签上的密码图片时,也容易出现同样的错误。
“连老式电脑都能破解”
在线密码检查工具称这些密码极其强大。它们在天空新闻的测试中表现出色:一个密码检查器发现,Claude生成的密码需要1.29亿亿年才能被计算机破解。
但这仅仅是因为检查器不知道其中的模式,实际上这些密码比看起来脆弱得多。
拉哈维表示:“我们最好的评估是,目前如果你使用大语言模型生成密码,连老式电脑都能在相对较短的时间内破解它们。”
这不仅是不知情的AI用户面临的问题,也是开发人员面临的问题——他们越来越多地使用AI编写大部分代码。
在最广泛使用的代码仓库GitHub上搜索可识别的AI生成密码片段,可以发现这些密码已经出现在应用程序、程序和网站的代码中。
例如,搜索“K9#mP”(Claude常用的前缀)得到113个结果,搜索“k9#vL”(Gemini使用的子字符串)得到14个结果。还有许多其他例子,通常明显是作为密码使用的。
大多数结果是无害的,由AI编码代理为“安全最佳实践”文档、密码强度测试代码或占位符代码生成。
然而,Irregular在一些疑似真实服务器或服务中发现了此类密码,并且该公司能够让编码代理在可能重要的代码区域生成密码。
拉哈维呼吁AI公司指导其模型使用工具生成真正随机的密码,就像人类使用计算器一样。他说:“有些人可能甚至没有意识到自己面临这个问题,仅仅是因为他们将一个相对复杂的操作委托给了AI。”
你应该怎么做?
网络安全公司Check Point的公共部门负责人格雷姆·斯图尔特提供了一些建议。
他说:“好消息是,这是少数几个有简单解决方案的安全问题之一。”
“就问题的严重性而言,这属于‘可避免、一旦出错影响巨大’的类别,而不是‘所有人即将被黑客攻击’的类别。”
其他专家指出,问题在于密码本身,众所周知密码容易泄露。
Entrust全球技术解决方案副总裁罗伯特·汉恩表示:“有更强大、更简单的身份验证方法。”他建议人们尽可能使用面部和指纹识别等通行密钥。
如果没有这些选项呢?普遍建议是:选择一个长且易记的短语,并且不要向AI索要密码。
天空新闻已联系OpenAI,而Google和Anthropic拒绝置评。
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/lif/9568.html
