چرا هیچ زمان نباید از هوش مصنوعی برای ساخت رمز عبور منفعت گیری کنیم؟_آفتاب وطن

عصر هوش مصنوعی با همه مزایایی که دارد، چالش‌های امنیتی بزرگی را هم به‌همراه داشته است. درحالی که تعداد بسیاری از کاربران برای ساده‌سازی کارهای خود از چت‌بات‌هایی همانند ChatGPT یا Claude منفعت گیری می‌کنند، تحقیقات تازه مشخص می کند که منفعت گیری از این ابزارها برای تشکیل رمز عبور (Password)، ریسک امنیتی زیاد بالایی دارد.

بر پایه پژوهش تازه شرکت امنیتی Irregular، رمزهای عبوری که توسط مدل‌های بزرگ زبانی (LLM) تشکیل خواهد شد، اگرچه در ظاهر پیچیده به نظر می‌رسند، اما به شکلی باورنکردنی «قابل گمان» و «ناامن» می باشند.

محققان از سه هوش مصنوعی محبوب یعنی ChatGPT (شرکت OpenAI)، Claude (شرکت Anthropic) و Gemini (گوگل) خواستند تا رمزهای عبور ۱۶ کاراکتری، شامل حروف بزرگ و کوچک، اعداد و نمادهای خاص بسازند.

در نگاه اول، خروجی این مدل‌ها شباهت بسیاری به پسوردهای اتفاقی ساخته شده توسط ابزارهای مدیریت پسورد اپل یا گوگل داشته است. حتی ابزارهای سنجش قوت پسورد همانند KeePass نیز به این رمزها امتیاز «زیاد قوی» داده‌اند. اما به حرف های محققان، مشکل مهم به فقدان اتفاقی‌سازی واقعی مربوط می‌شود. آنها توضیح خواهند داد که هوش مصنوعی بر پایه پیش‌بینی کلمه یا کاراکتر بعدی آموزش دیده است، نه تشکیل داده‌های کاملاً اتفاقی.

کارکرد مدل‌های هوش مصنوعی در تشکیل پسورد

نتایج بازدید ۵۰ پسورد تشکیل شده توسط مدل Claude Opus 4.6 نشان داده که همه آن‌ها با یک سخن اغاز خواهد شد که در اکثر موارد سخن بزرگ «G» می بود. کاراکتر دوم تقریباً همیشه عدد «۷» بوده و مجموعه‌ای از کاراکترها همانند L ,9 ,m ,2, $, # در همه ۵۰ مورد تکرار شده بودند.

مدل هوش مصنوعی ChatGPT تقریباً همه پسوردهای خود را با سخن «v» اغاز کرده و در نیمی از موارد، کاراکتر دوم «Q» بوده است. مدل Gemini گوگل نیز حالت بهتری نداشته و اکثر پسوردهای پیشنهادی آن با سخن «K» (بزرگ یا کوچک) اغاز شده و با ترکیبی از # یا P ادامه اشکار کرده‌اند.

مسئله دیگر این که در هیچ‌یک از پسوردهای تشکیل شده، کاراکتر تکراری دیده نشده است. احتمالا فکر کنید این نوشته امنیت را بالا می‌برد، اما محققان می‌گویند از نظر آماری، در یک توالی واقعاً اتفاقی، گمان تکرار کاراکترها وجود دارد. در واقع حذف تکرار توسط AI مشخص می کند که مدل برای «همانند شدن به رمز اتفاقی» تلاش می‌کند، نه این که واقعاً کاراکترهای اتفاقی تشکیل کند.

هرچند کاربران عادی به گمان زیادً کمتر برای ساخت پسوردهای خود از هوش مصنوعی پشتیبانی خواهند گرفت، اما مشکل بزرگ‌تر به «ایجنت یا عامل‌های هوش مصنوعی» (AI Agents) مربوط می‌شود که برای کدنویسی یا مدیریت سیستم‌ها منفعت گیری خواهد شد. محققان با جستجو در GitHub فهمید شده‌اند که تعداد بسیاری از برنامه‌نویسان از AI برای تشکیل پسوردهای سیستمی منفعت گیری کرده‌اند و الگوهای کشف شده در این تحقیق، به وفور در کدهای عمومی دیده می‌شود.

شرکت Irregular معتقد است این مشکل با به‌روزرسانی یا تحول دستورات (Prompt) حل‌شدنی نیست؛ چرا که ذات مدل‌های زبانی با اتفاقی بودن در تضاد است.