هل سبق لك أن طلبت من الذكاء الاصطناعي كلمة مرور؟
عندما تفعل ذلك، يقوم بسرعة بإنشاء واحدة، ويخبرك بثقة أن الناتج قوي.
في الواقع، فإنه بعيد كل البعد عن ذلك، وفقًا للأبحاث التي تم مشاركتها حصريًا مع Sky News من قبل شركة الأمن السيبراني الذكاء الاصطناعي Irregular.
وجد البحث، الذي تم التحقق منه من قبل Sky News، أن جميع النماذج الرئيسية الثلاثة – ChatGPT، Claude، وGemini – أنتجت كلمات مرور قابلة للتنبؤ للغاية، مما دفع المؤسس المشارك لشركة Irregular، دان لاهف، للحديث عن استخدام الذكاء الاصطناعي لإنشائها.
“لا يجب عليك بالتأكيد فعل ذلك”، أخبرهم لاهف. “وإذا كنت قد فعلت ذلك، يجب أن تغير كلمة مرورك على الفور. ولا نعتقد أنه معروف بما فيه الكفاية أن هذه مشكلة.”
تشكل الأنماط القابلة للتنبؤ عدوًا للأمن السيبراني الجيد، لأنها تعني أن كلمات المرور يمكن تخمينها بواسطة أدوات آلية يستخدمها مجرمو الإنترنت.
لكن لأن النماذج اللغوية الكبيرة (LLMs) لا تولد كلمات مرور بشكل عشوائي بل تستمد النتائج بناءً على الأنماط في بيانات تدريبها، فإنها لا تخلق في الواقع كلمة مرور قوية، بل شيئًا يبدو ككلمة مرور قوية – انطباع عن القوة وهو في الحقيقة قابل للتنبؤ للغاية.
تحتاج بعض كلمات المرور التي أنشأها الذكاء الاصطناعي إلى تحليل رياضي لكشف ضعفها، لكن العديد منها عادي جدًا بحيث يكون واضحًا للعين المجردة.
على سبيل المثال، أعطت عينة من 50 كلمة مرور تم إنشاؤها بواسطة Irregular باستخدام الذكاء الاصطناعي Claude من Anthropic 23 كلمة مرور فريدة فقط. واحدة من كلمات المرور – K9#mPx$vL2nQ8wR – تم استخدامها 10 مرات. وشملت الكلمات الأخرى K9#mP2$vL5nQ8@xR، K9$mP2vL#nX5qR@j وK9$mPx2vL#nQ8wFs.
عندما اختبرت Sky News Claude للتحقق من أبحاث Irregular، كانت أول كلمة مرور أخرجها هي K9#mPx@4vLp2Qn8R.
دردشة مع برنامج الذكاء الاصطناعي Claude حول كلمات المرور التي تم إنشاؤها عشوائيًا
ChatGPT من جوجل Gemini AI كانت أقل انتظامًا قليلًا في مخرجاتها، لكنها لا تزال أنتجت كلمات مرور مكررة وأنماطًا قابلة للتنبؤ في أحرف كلمات المرور.
نظام إنشاء الصور الخاص بـ Google، NanoBanana، كان أيضًا عرضة لنفس الخطأ عندما طُلب منه إنتاج صور لكلمات مرور على ملاحظات لاصقة.
سلسلة من ملاحظات لاصقة المولدة بواسطة الذكاء الاصطناعي مع كلمات مرور من تطبيق Google NanoBanana
‘حتى أجهزة الكمبيوتر القديمة يمكنها فك تشفيرها’
تقول أدوات التحقق من كلمات المرور عبر الإنترنت إن هذه الكلمات مرور قوية للغاية. لقد اجتازت الاختبارات التي أجرتها Sky News بنجاح: وجد أحد أدوات التحقق من كلمات المرور أن كلمة مرور Claude لن يتم فك تشفيرها بواسطة الكمبيوتر في 129 مليون تريليون سنة.
لكن هذا فقط لأن أدوات التحقق غير مدركة للنمط، مما يجعل كلمات المرور أضعف بكثير مما تبدو عليه.
“أفضل تقدير لدينا هو أنه حاليًا، إذا كنت تستخدم LLMs لإنشاء كلمات المرور الخاصة بك، حتى أجهزة الكمبيوتر القديمة يمكنها فك تشفيرها في وقت قصير نسبيًا،” يقول السيد لاهف.
هذه ليست مجرد مشكلة للمستخدمين غير المدركين للذكاء الاصطناعي، ولكن أيضًا للمطورين، الذين يستخدمون بشكل متزايد الذكاء الاصطناعي لكتابة غالبية شفرتهم.
اقرأ المزيد من Sky News:
هل ترك الذكاء الاصطناعي الوظائف يعني أن العالم في ‘خطر’؟
هل يمكن للحكومات أن تواكب التكنولوجيا الكبرى؟
يمكن العثور على كلمات المرور التي أنشأها الذكاء الاصطناعي بالفعل في الشفرات المستخدمة في التطبيقات والبرامج والمواقع الإلكترونية، وفقًا لبحث على GitHub، وهو المستودع الأكثر استخدامًا للشفرات، عن القطع القابلة للتعرف من كلمات المرور التي أنشأها الذكاء الاصطناعي.
على سبيل المثال، أدى البحث عن K9#mP (وهو بادئة شائعة يستخدمها Claude) إلى 113 نتيجة، وأدى البحث عن k9#vL (وهو جزء فرعي يستخدمه Gemini) إلى 14 نتيجة. كانت هناك العديد من الأمثلة الأخرى، التي كانت غالبًا واضحة بأنها كلمات مرور.
معظم النتائج غير ضارة، تم إنشاؤها بواسطة وكالات الترميز الذكاء الاصطناعي لوثائق “أفضل الممارسات الأمنية”، أو كود اختبار قوة كلمات المرور، أو كود موضع احتياطي.
ومع ذلك، وجدت Irregular بعض كلمات المرور في ما كانت تشتبه أنه خوادم أو خدمات حقيقية وتمكنت الشركة من الحصول على وكالات الترميز لإنشاء كلمات مرور في مجالات مهمة من الشفرات.
“قد يتعرض بعض الأشخاص لهذه المشكلة دون إدراكهم لذلك لمجرد أنهم أوكلوا إجراءً معقدًا نسبيًا إلى الذكاء الاصطناعي،” قال السيد لاهف، الذي دعا شركات الذكاء الاصطناعي إلى توجيه نماذجها لاستخدام أداة لإنشاء كلمات مرور عشوائية حقًا، تمامًا كما يستخدم الإنسان آلة حاسبة.
ماذا يجب أن تفعل بدلاً من ذلك؟
قدم جريمي ستيوارت، رئيس القطاع العام في شركة الأمن السيبراني Check Point، بعض الاطمئنان.
“الخبر السار هو أنه واحدة من المشكلات الأمنية النادرة التي لها حل بسيط” قال.
“فيما يتعلق بمدى أهمية الأمر، فإنه يقع ضمن فئة ‘قابلة للتجنب، ولها تأثير كبير عندما تسوء’، بدلاً من ‘الجميع على وشك أن يتعرضوا للاختراق’.”
لاحظ خبراء آخرون أن المشكلة كانت كلمات المرور نفسها، التي تعتبر من الأساليب التي تُظهر تسربًا بشكل ملحوظ.
“هناك طرق تحقق أقوى وأسهل”، قال روبرت هان، نائب الرئيس العالمي للحلول التقنية في Entrust، الذي أوصى الناس باستخدام مفاتيح المرور مثل التعرف على الوجه وبصمات الأصابع كلما كان ذلك ممكنًا.
وإذا لم يكن ذلك خيارًا؟ النصيحة العامة: اختر عبارة طويلة وسهلة التذكر، ولا تطلب من الذكاء الاصطناعي.
تواصلت Sky News مع OpenAI، بينما رفضت Anthropic التعليق.
قال متحدث باسم Google: “LLMs ليست مصممة لغرض إنشاء كلمات مرور جديدة، على عكس أدوات مثل Google Password Manager، التي تنشئ وتخزن كلمات المرور بشكل آمن.
“نواصل أيضًا تشجيع المستخدمين على الابتعاد عن كلمات المرور وتبني مفاتيح المرور، التي تعتبر أسهل وأكثر أمانًا للاستخدام.”
