نتایج یک تحقیق جدید: چرا هرگز نباید از هوش مصنوعی برای ساخت رمز عبور استفاده کنیم؟

عصر هوش مصنوعی با تمام مزایایی که دارد، چالش‌های امنیتی بزرگی را هم به‌همراه داشته است. درحالی که بسیاری از کاربران برای ساده‌سازی کارهای خود از چت‌بات‌هایی مثل ChatGPT یا Claude استفاده می‌کنند، تحقیقات جدید نشان می‌دهد که استفاده از این ابزارها برای تولید رمز عبور (Password)، ریسک امنیتی بسیار بالایی دارد.

بر اساس پژوهش جدید شرکت امنیتی Irregular، رمزهای عبوری که توسط مدل‌های بزرگ زبانی (LLM) تولید می‌شوند، اگرچه در ظاهر پیچیده به نظر می‌رسند، اما به شکلی باورنکردنی «قابل حدس» و «ناامن» هستند.

محققان از سه هوش مصنوعی محبوب یعنی ChatGPT (شرکت OpenAI)، Claude (شرکت Anthropic) و Gemini (گوگل) خواستند تا رمزهای عبور ۱۶ کاراکتری، شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص بسازند.

در نگاه اول، خروجی این مدل‌ها شباهت زیادی به پسوردهای تصادفی ساخته شده توسط ابزارهای مدیریت پسورد اپل یا گوگل داشته است. حتی ابزارهای سنجش قدرت پسورد مثل KeePass نیز به این رمزها امتیاز «بسیار قوی» داده‌اند. اما به گفته محققان، مشکل اصلی به فقدان تصادفی‌سازی واقعی مربوط می‌شود. آنها توضیح می‌دهند که هوش مصنوعی بر پایه پیش‌بینی کلمه یا کاراکتر بعدی آموزش دیده است، نه تولید داده‌های کاملاً تصادفی.

عملکرد مدل‌های هوش مصنوعی در تولید پسورد

نتایج بررسی ۵۰ پسورد تولید شده توسط مدل Claude Opus 4.6 نشان داده که تمام آن‌ها با یک حرف شروع می‌شوند که در اکثر موارد حرف بزرگ «G» بود. کاراکتر دوم تقریباً همیشه عدد «۷» بوده و مجموعه‌ای از کاراکترها مثل L ,9 ,m ,2, $, # در تمام ۵۰ مورد تکرار شده بودند.

مدل هوش مصنوعی ChatGPT تقریباً تمام پسوردهای خود را با حرف «v» شروع کرده و در نیمی از موارد، کاراکتر دوم «Q» بوده است. مدل Gemini گوگل نیز وضعیت بهتری نداشته و اکثر پسوردهای پیشنهادی آن با حرف «K» (بزرگ یا کوچک) شروع شده و با ترکیبی از # یا P ادامه پیدا کرده‌اند.

نکته دیگر اینکه در هیچ‌یک از پسوردهای تولید شده، کاراکتر تکراری دیده نشده است. شاید فکر کنید این موضوع امنیت را بالا می‌برد، اما محققان می‌گویند از نظر آماری، در یک توالی واقعاً تصادفی، احتمال تکرار کاراکترها وجود دارد. در واقع حذف تکرار توسط AI نشان می‌دهد که مدل برای «شبیه شدن به رمز تصادفی» تلاش می‌کند، نه اینکه واقعاً کاراکترهای تصادفی تولید کند.

هرچند کاربران عادی احتمالاً کمتر برای ساخت پسوردهای خود از هوش مصنوعی کمک خواهند گرفت، اما مشکل بزرگ‌تر به «ایجنت یا عامل‌های هوش مصنوعی» (AI Agents) مربوط می‌شود که برای کدنویسی یا مدیریت سیستم‌ها استفاده می‌شوند. محققان با جستجو در GitHub متوجه شده‌اند که بسیاری از برنامه‌نویسان از AI برای تولید پسوردهای سیستمی استفاده کرده‌اند و الگوهای کشف شده در این تحقیق، به وفور در کدهای عمومی دیده می‌شود.

شرکت Irregular معتقد است این مشکل با به‌روزرسانی یا تغییر دستورات (Prompt) حل‌شدنی نیست؛ چرا که ذات مدل‌های زبانی با تصادفی بودن در تضاد است.