安全公司测试显示：主流AI生成密码存在严重可预测性

网络安全公司Irregular对三款主流人工智能工具进行了测试。测试要求每个模型生成50个包含特殊字符、数字和字母的六位“强密码”。

测试结果令人担忧。

在Claude Opus模型生成的50个密码中，仅有30个是唯一的，20个出现重复，其中18个是完全相同的字符串。

研究人员还发现，各模型生成的密码遵循高度可预测的模式。Claude模型几乎总是以大写字母“G”开头，第二个字符则几乎总是数字“7”。某些字符——如“L”、“9”、“m”、“2”、“$”和“#”——毫无例外地出现在每个生成的密码中，而字母表的大部分字符则从未出现。

ChatGPT的表现类似：其密码通常以字母“v”开头，近一半情况下第二个字符是“Q”。

Gemini的表现也未更好：它以大小写“k”开头，第二个字符通常是“#”、“P”或“9”中的一个。

问题的根源在于大语言模型（LLM）的工作原理。这些系统基于统计概率生成看似可信的模式，而非产生真正的随机性。因此，即使生成的密码包含混合字符和特殊符号，其可预测性从根本上破坏了安全性。

密码强度的关键在于熵，即字符串随机性的度量。可预测的模式会降低熵，即使密码看起来复杂。人类本身也容易犯此类错误——例如常见地将数字“3”与字母“E”互换——而人工智能似乎继承了这些弱点。

Irregular的研究人员得出了明确结论：无论是用户还是软件代理，都不应将密码创建任务委托给大语言模型。

该问题无法通过更好的指令（提示词）或调整模型的“温度”参数来解决，因为语言模型本质上就是为了生成可预测的、概率性的输出而优化的。这种运作模式与安全密码生成的要求从根本上不相容。因此，专用密码管理器和加密随机数生成器仍然是适合此目的的正确解决方案。