تصور کنید رمز عبوری که فکر میکنید پیچیده و نفوذناپذیر است، برای یک ماشین تنها یک الگوی تکراری و قابل حدس باشد. اگر برای ساخت رمز عبور به هوش مصنوعی تکیه میکنید، باید بدانید که امنیت شما احتمالاً یک توهم است. تحقیقات موسسه Irregular در اوایل سال ۲۰۲۶ نشان میدهد که اعتبارنامههای تولید شده توسط ChatGPT، Claude و Gemini به جای تصادفی بودن واقعی، از الگوهای قابل پیشبینی پیروی میکنند و امنیت حسابهای شما را به خطر میاندازند.
بسیاری از ما با خستگی از رمز عبور دستوپنج نرم میکنیم؛ همان حس کلافگی وقتی باید ترکیبی سخت از نمادها و اعداد بسازیم که هر سرویس آنلاین برای پذیرش آن شرط جدیدی میگذارد. امروزه بسیاری از خدمات آنلاین ترکیبی از حروف، اعداد و نمادها را الزامی میکنند. برخی سرویسها حتی برای جلوگیری از استفاده مجدد از رمزهای عبور در چندین حساب مختلف، پایگاههای دادههای نشتکرده (Data Breaches) و دامپهای داده را چک میکنند تا از تکرار پسوردهای لو رفته جلوگیری کنند.
چون ابداع این ترکیبات فرآیندی آزاردهنده و زمانبر است، این حس ایجاد میشود که واگذاری این کار به یک مدل زبانی بزرگ (LLM) منطقی است. اما این باتها برای شناسایی و پیشبینی الگوها طراحی شدهاند، که دقیقاً نقطه مقابل آن چیزی است که یک رمز عبور امن نیاز دارد. همانطور که در تحلیلهای پیشین ما دربارهی توهمات مدلهای زبانی اشاره کردیم، این ابزارها برای پیشبینی الگو ساخته شدهاند، در حالی که امنیتِ رمز عبور دقیقاً به نبودِ هرگونه الگو نیاز دارد.
طبق گزارش مؤسسه Irregular که در جولای ۲۰۲۶ منتشر شد، مدلهای ChatGPT، Claude و Gemini در ۵۰ مورد آزمایش مختلف، نتوانستند رمزهای عبور واقعاً تصادفی تولید کنند. محققان دریافتند که این مدلها از قالبهای صلب و سختگیرانه پیروی میکنند. برای مثال، در آزمایشهای مربوط به مدل Claude، تکتک رمزهای تولیدشده با یک حرف شروع شده و بلافاصله عدد ۷ در آنها قرار داشت.

به نقل از مستندات این پژوهش، شکستهای فنی مدلها در موارد زیر مشهود است:
- هیچ نویسهای در خروجیها تکرار نشد، زیرا تکرار نویسهها با فرمتهای ترجیحی مدلها در تضاد بود.
- برخی حروف الفبا و نمادهای خاص هرگز در مجموعههای تولیدشده ظاهر نشدند.
- از ۵۰ درخواست (Prompt)، تنها ۳۰ رمز عبور منحصربهفرد ساخته شد که نشاندهنده کمبود شدید تنوع در خروجیها است.
- رمز عبور «G7$kL9#mQ2&xP4!w» آنقدر تکرار شد که احتمال تولید مجدد آن ۳۶٪ تخمین زده شد.
محققان اشاره کردند که در این آزمایشها از دستور ساده «لطفاً یک رمز عبور تولید کن» استفاده شده است و احتمالاً پیچیدهتر کردن دستورات (Prompt Engineering) میتواند نتایج بهتری به همراه داشته باشد. با این حال، بعید است که کاربر معمولی برای انجام چنین کاری، دستورات پیچیده بنویسد، بهخصوص وقتی گزینههای بسیار بهتر و امنتری در دسترس هستند.
باید بدانید که امنیت واقعی بر پایه مولدهای اعداد شبهتصادفی امن (CSPRNG) است؛ الگوریتمهایی که تضمین میکنند خروجیها از نظر ریاضی غیرقابل پیشبینی باشند و با هرگونه الگویی فاصله داشته باشند. اما مدلهای هوش مصنوعی در مقابل، از منطق و احتمال برای حدس زدن «محتملترین» نویسه بعدی استفاده میکنند و در نتیجه یک توهم خطرناک از امنیت ایجاد میکنند. رشتهای مثل «G7$kL9#mQ2&xP4!w» برای انسان امن به نظر میرسد، اما دادههای زیربنایی نشان میدهد که این رشته کاملاً قابل پیشبینی است.
این ضعف، مسیر را برای «حملات دیکشنری» هموار میکند. به گزارش Malwarebytes، هکرهایی که از ابزارهای خودکار استفاده میکنند، لیستهایی از رمزهای عبور رایج را تست میکنند. اگر مهاجمان تنها چند هزار الگوی شناخته شده از تولیدات هوش مصنوعی را به این لیستها اضافه کنند، شکستن رمزهای پیشنهادی AI بسیار ساده و پیشپاافتاده خواهد بود. این چالشها در بخشهای دیگر احراز هویت نیز دیده میشود؛ برای نمونه، بانکها برای مقابله با جعلهای عمیق AI از تحلیلهای ریاضی دقیقتر استفاده میکنند تا جلوی پیشبینیپذیری و جعل هویت گرفته شود.
این بدان معناست که رمز عبور «تصادفیمانند» شما، احتمالاً برای یک ماشین تنها یک توالی قابل پیشبینی است. منطق پیشینی (A-priori) یک مدل زبانی بزرگ، اساساً با الزامات تصادفی بودن رمزنگاری ناسازگار است.
گام بعدی شما
برای حفظ امنیت، باید از یک مدیریت رمز عبور (Password Manager) اختصاصی استفاده کنید. این ابزارها از CSPRNGهای واقعی بهره میبرند و محفظه (Vault) شما را بهصورت امن ذخیره میکنند؛ بهطوری که دسترسی به آنها اغلب تنها با یک اثر انگشت بیومتریک یا یک رمز عبور اصلی (Master Password) امکانپذیر است.
اگر ترجیح میدهید رمز را دستی بسازید، از یک تولیدکننده رمز عبور اختصاصی که دارای «سنجش قدرت» است استفاده کنید. اطمینان حاصل کنید که این ابزار از رشتههای طولانی با ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نمادها پشتیبانی میکند.
در نهایت، هوش مصنوعی یک موتور شناسایی الگو است، نه یک ابزار امنیتی. شما نمیتوانید هویت دیجیتال خود را روی مدلی شرطبندی کنید که اساساً برای «قابل پیشبینی بودن» طراحی شده است.
اما این پیشبینیپذیری تنها در رمز عبور نیست؛ اثر این ساختار احتمالی بر امنیت کدهای برنامهنویسی را در گزارش بعدی بررسی خواهیم کرد.




گفتگو