你曾经向人工智能询问过密码吗?
当您这样做时,它会快速生成一个,自信地告诉您输出很强大。
事实上,根据天空新闻独家分享的研究,事实并非如此。 人工智能 网络安全公司 Irregular。
这项研究已得到天空新闻的验证,发现所有三种主要模型—— 聊天GPT、Claude 和 Gemini – 制作了高度可预测的密码,导致 Irregular 联合创始人 Dan Lahav 呼吁使用人工智能来制作密码。
“你绝对不应该这样做,”他告诉天空新闻。 “如果你这样做了,你应该立即更改你的密码。我们认为人们还没有足够了解这是一个问题。”
可预测的模式是良好网络安全的敌人,因为它们意味着网络犯罪分子使用的自动化工具可以猜测密码。
但由于大型语言模型 (LLM) 实际上不会随机生成密码,而是根据训练数据中的模式得出结果,因此它们实际上并没有创建强密码,而只是创建看起来像强密码的东西 – 一种实际上高度可预测的强度印象。
一些人工智能制作的密码需要数学分析才能揭示其弱点,但许多密码非常规则,肉眼清晰可见。
例如,Irregular 使用 Anthropic 的 Claude AI 生成的 50 个密码样本仅生成了 23 个唯一密码。一个密码 – K9#mPx$vL2nQ8wR – 已使用 10 次。其他包括 K9#mP2$vL5nQ8@xR、K9$mP2vL#nX5qR@j 和 K9$mPx2vL#nQ8wFs。
当天空新闻测试克劳德检查 Irregular 的研究时,它吐出的第一个密码是 K9#mPx@4vLp2Qn8R。
与 AI 程序 Claude 讨论随机生成的密码
开放人工智能 聊天 GPT 和 谷歌的 Gemini AI 的输出稍微不太规律,但仍然产生重复的密码和可预测的密码字符模式。
谷歌的图像生成系统 NanoBanana 在被要求在便利贴上生成密码图片时也容易出现同样的错误。
一系列人工智能生成的便利贴,其中包含来自 Google 应用程序 NanoBanana 的密码
“即使是旧电脑也能破解它们”
在线密码检查工具称这些密码非常强大。他们出色地通过了天空新闻台进行的测试:一名密码检查器发现克劳德密码在 1.29 亿万亿年内都不会被计算机破解。
但这只是因为检查者不知道这种模式,这使得密码比看起来要弱得多。
“我们最好的评估是,目前,如果您使用法学硕士来生成密码,即使是旧计算机也可以在相对较短的时间内破解它们,”拉哈夫先生说。
这不仅是不知情的人工智能用户的问题,也是开发人员的问题,他们越来越多地使用人工智能来编写大部分代码。
阅读天空新闻的更多内容:
人工智能的辞职会让世界陷入“危险”吗?
政府能否跟上大型科技的步伐?
根据在使用最广泛的代码存储库 GitHub 上搜索可识别的人工智能密码块的结果,人工智能生成的密码已经可以在应用程序、程序和网站中使用的代码中找到。
例如,搜索 K9#mP(Claude 使用的常见前缀)会产生 113 个结果,k9#vL(Gemini 使用的子字符串)会产生 14 个结果。还有许多其他示例,通常明显是密码。
大多数结果都是无辜的,由人工智能编码代理为“安全最佳实践”文档、密码强度测试代码或占位符代码生成。
然而,Irregular 在它怀疑是真实服务器或服务的地方发现了一些密码,并且该公司能够让编码代理在潜在的重要代码区域生成密码。
拉哈夫表示:“有些人可能会在没有意识到的情况下遇到这个问题,因为他们将相对复杂的操作委托给了人工智能。”他呼吁人工智能公司指示他们的模型使用工具来生成真正随机的密码,就像人类使用计算器一样。
你应该做什么?
网络安全公司 Check Point 公共部门负责人格雷姆·斯图尔特 (Graeme Stewart) 给出了一些保证。
“好消息是,这是罕见的安全问题之一,可以通过简单的修复来解决,”他说。
“就其规模而言,这属于‘可避免的、出错时影响很大’类别,而不是‘每个人都将被黑客攻击’。”
其他专家指出,问题出在密码本身,众所周知,密码容易泄露。
Entrust 技术解决方案全球副总裁 Robert Hann 表示:“有更强大、更简单的身份验证方法。”他建议人们尽可能使用面部和指纹 ID 等密钥。
如果这不是一个选择呢?普遍建议:选择一个长的、容易记住的短语,不要问人工智能。
天空新闻已联系 OpenAI,而谷歌和 Anthropic 拒绝置评。
关键词:
