Analiza tvrtke za AI kibernetičku sigurnost Irregular, piše Sky News, pokazala je da popularni modeli poput ChatGPT-ja, Claudea i Geminija generiraju lozinke s ponavljajućim i predvidljivim obrascima - upravo onakvima kakve hakeri najlakše probijaju.

'Definitivno to ne biste trebali raditi. A ako već jeste, odmah promijenite lozinku', upozorio je suosnivač Irregulara Dan Lahav, dodajući da mnogi uopće nisu svjesni tog problema.

Zašto AI lozinke nisu stvarno nasumične

Ključni problem leži u načinu rada velikih jezičnih modela (LLM). Oni ne stvaraju istinski nasumične nizove znakova, već generiraju odgovore na temelju obrazaca naučenih iz podataka za treniranje. Rezultat je lozinka koja izgleda složeno, ali zapravo slijedi prepoznatljive strukture.

U uzorku od 50 njih koje je generirao Claude, istraživači su dobili samo 23 jedinstvene kombinacije, a jedna se lozinka pojavila čak deset puta. Slični obrasci primijećeni su i kod ChatGPT-ja i Geminija, iako nešto rjeđe. Takvi obrasci predstavljaju ozbiljan sigurnosni problem jer automatizirani alati koje koriste kibernetički kriminalci upravo traže ponavljajuće strukture da bi ubrzali probijanje zaštite.

Izgledaju snažno, ali nisu

Paradoks je u tome što standardni online alati za provjeru jačine lozinki ove kombinacije često ocjenjuju iznimno sigurnima. U jednom testu procijenjeno je da bi računalu trebalo '129 milijuna bilijuna godina' da probije lozinku, no ti alati ne prepoznaju skrivene obrasce. Kada se uzme u obzir predvidljivost koju stvaraju AI modeli, čak i starija računala mogu ih razbiti znatno brže nego što se čini, tvrde istraživači.

Rizik ne pogađa samo pojedinačne korisnike. Pretragom GitHuba, najvećeg repozitorija programskog koda, pronađeni su dijelovi lozinki karakterističnih za AI generiranje u projektima, aplikacijama i serverskim sustavima. U mnogim slučajevima riječ je o testnim ili edukativnim primjerima, ali istraživači su pronašli i slučajeve koji upućuju na upotrebu u produkcijskom kodu. To znači da bi neki sustavi mogli biti ranjivi, a da toga njihovi autori nisu ni svjesni.

Postoji jednostavno rješenje

Stručnjaci naglašavaju da problem nije katastrofalan, ali je lako izbjeći. Graeme Stewart iz tvrtke Check Point kaže da se radi o riziku koji je 'lako spriječiti, ali može imati velike posljedice ako se zanemari'.

Preporuka je jasna: ne koristite AI za generiranje lozinki. Umjesto toga upotrijebite upravitelj lozinki ili modernije metode autentifikacije poput passkeya, odnosno prijave putem biometrije, otiska prsta ili prepoznavanja lica. Ako to nije moguće, stručnjaci preporučuju dugu, jedinstvenu i lako pamtljivu frazu koju korisnik sam osmisli, bez pomoći umjetne inteligencije.