Специалисты по кибербезопасности из Irregular заявили, что лучше не использовать большие языковые модели для создания паролей, несмотря на то что комбинации выглядят надёжно. Уязвимость кроется в механизме работы LLM.
Для теста исследователи взяли наиболее популярные модели: GPT, Gemini и Claude последних версий. Пароли, созданные LLM, набирали до 100 баллов в калькуляторе энтропии паролей, что является очень хорошим результатом.
Однако после этого LLM просили создать ещё порядка 50 паролей, и вот тут вскрывалась главная уязвимость. Комбинации содержали закономерности, видимые даже невооружённым взглядом: одинаковое начало, повторяющиеся паттерны составления и другие.
Суть в том, что модели работают циклично для поиска лучшего результата, из-за чего пароли очень похожи. При этом проблема не фиксится промптом. С другой стороны, программы для генерации паролей собирают комбинации так, чтобы пароль было сложно предугадать, а символы подбираются из равномерного распределения вероятностей.
