专家警告别信AI生成的密码！规律可预测 易被破解

据TechRadar报道，AI大型语言模型（LLM）可以生成看似复杂的密码，但近期的测试表明，这些密码远非随机。

据了解，Irregular公司进行了一项研究，检查了人工智能系统（如Claude、ChatGPT和Gemini）生成的密码，要求它们生成包含符号、数字和大小写字母的16个字符的密码。

乍一看，这些密码看起来很强大，并且也通过了常见的在线强度测试，一些检查器估计破解它们可能需要几个世纪，但仔细查看这些密码后，结论却有所不同。

研究人员分析了50个在不同会话中生成的密码时，发现许多是重复的，且多个密码遵循几乎相同的结构模式。大多数密码都以类似的字符类型开始和结束，且没有包含重复字符。这种没有重复的现象可能让人感到安心，然而它实际上表明输出遵循的是学到的惯例，而不是完全的随机性。

通过基于字符统计和模型日志概率的熵计算，研究人员估计，这些人工智能生成的密码的熵大约在20到27位之间。而一个真正随机的16字符密码通常在相同方法下的熵值应介于98到120位之间。

这一差距相当大——从实际角度来看，这意味着此类密码可能在数小时内就会被暴力破解，即使是在过时的硬件上也能做到。

在线密码强度计量器评估的是表面的复杂性，而不是字符串背后的隐藏统计模式——由于它们没有考虑到人工智能工具如何生成文本，因此可能会将可预测的输出错误地分类为安全。了解这些模式的攻击者可以改进他们的猜测策略，大幅缩小搜索空间。

研究还发现，类似的密码序列出现在公共代码库和文档中，表明人工智能生成的密码可能已经广泛传播。如果开发者在测试或部署过程中依赖这些输出，风险随着时间的推移会累积——事实上，生成这些密码的人工智能系统自己都不完全信任它们，并且在被要求时会发出警告。

例如，Gemini 3 Pro在返回密码建议时，附带了一条警告，称聊天生成的凭证不应用于敏感账户。

Irregular公司表示：“人类和编码代理不应依赖LLM生成密码。通过直接使用LLM输出生成的密码本质上是弱的，这无法通过提示调整来修复，因为LLM已经被设计成生成可预测、合理的输出，而这与安全密码生成不兼容。”

当人工智能在生成密码时，看似复杂却容易被破解，这是否让你重新考虑了依赖AI生成密码的安全性？随着AI在技术领域的快速发展，它是否能够真正满足我们对安全的需求？你觉得开发者应该对AI生成的密码保持警惕，还是接受它作为未来密码生成的标准？欢迎在评论区分享你的看法和经验。

本文由游民星空制作发布，未经允许禁止转载。