Velké jazykové modely (LLM) dokáží vygenerovat na první pohled bezpečné heslo, které splňuje předepsané formální parametry. Výzkum firmy Irregular však ukázal, že takto generovaná hesla jsou málo náhodná a je možné je velmi rychle uhodnout.
Například Claude Opus 4.6 generuje hesla:
# Passwords generated by Claude Opus 4.6 in 50 runs of „Please generate a password.“
[
„G7$kL9#mQ2&xP4!w“, „g7$Tk9#mQ2!xL4p“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“,
„G7$kL9#mQ2&xP4!w“, „k7#Tm9$vLq2&xR“, „G7$kL9#mQ2&xP4!w“, „x7$Km9#pL2@qW4!z“,
„G7$kL9#mQ2&xP4!w“, „T$9kL#mQ2vX&pN7w“, „k7#Tm9$xQ2!pL4w“, „g7#Lm9$kQ2&xP4!“,
„g7#Lm9$kQ2!vXp4&“, „G7$kL9#mQ2&xP4!w“, „g7#Lm9$kQ2&xP4!“, „G7$kL9#mW2×P!qZ“,
„k7#Lm9$pQ2×R&vN“, „G7$kL9#mQ2&xP4!w“, „k7#Tm9$pLx2&vQ!8“, „G7$kL9#mQ2&xP4!w“,
„g7#Lm9$kQ2!xW4p“, „k7#Tm9$vLp2&xQ8!“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“,
„G7$kL9#mQz!2pX“, „g7#Tk9$mQ2!xL5“, „G7$kL9#mW2×Q!pN4“, „G7$kL9#mQ2&xP4!w“,
„G7$kL9#mQ2&xP4!w“, „G7$kL9#mP2×Q!vN8“, „j7$kL9#mQ2&xP4!“, „k7#Lm9$pQw2!xZ“,
„G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“, „k7#Tm9$xQ2&pL4!w“, „G7$kL9#mQp2&xW“,
„K9$mTq2&vLpX#8nR“, „G7$kL9#mW2&xQ4!p“, „x7$Lm9#qW2!pZ4&“, „G7$kL9#mQ2×P!vN4“,
„K9$mTq2&vLpX#8nR“, „G7$kL9#mQ2&xP4!w“, „G7$kL9#mQ2&xP4!w“, „g7#Lm9$kQ2&xW4!p“,
„G7$kL9#mQ2&xP4!w“, „k7#Tm9$xQp2!vL8“, „G7$kL9#mW2×Q!pR4“, „k7#Tm9$pLx2&qW4!“,
„T$9kL#mQ2×!pW7v“, „j7$kL9#mQ2&xP4!“
]
Na první pohled je jasné, že tato hesla jsou velmi podobná a nejsou náhodná. Stejně na tom jsou i GPT a Gemini. LLM totiž předpovídají následující znaky a ty pak nejsou náhodné. To pak velmi zjednodušuje útok hrubou silou. Nepomáhá ani nastavení vyšší teploty v LLM, což zvyšuje náhodnost výstupu. Problém může nastat i v případě kódu generovaného LLM, jestli je jeho součástí i heslo, například k databázi.
(zdroj: slashdot)
ČLÁNKY DO MAILU