هل طلبت يومًا من الذكاء الاصطناعي كلمة مرور؟
عندما تفعل ذلك، فإنه يولد واحدة بسرعة، مؤكدًا لك أن الناتج قوي.
في الواقع، هو ليس قويًا على الإطلاق، وفقًا للأبحاث التي شاركتها حصريًا مع سكاي نيوز شركة الأمن السيبراني AI إيريجولار.
وجدت الأبحاث، التي تحقق فيها سكاي نيوز، أن النماذج الثلاثة الرئيسية – ChatGPT، كلود، وجمني – أنتجت كلمات مرور قابلة للتوقع بشكل كبير، مما دفع المؤسس المشارك لإيريجولار دان لاهف إلى توجيه نداء حول استخدام الذكاء الاصطناعي لإنشائها.
“يجب أن لا تفعل ذلك بالتأكيد”، أخبر سكاي نيوز. “وإذا كنت قد فعلت ذلك، يجب أن تغير كلمة مرورك على الفور. ونحن لا نعتقد أنه معروف بما فيه الكفاية أن هذه مشكلة.”
تعتبر الأنماط القابلة للتوقع عدو الأمن السيبراني الجيد، لأنها تعني أن كلمات المرور يمكن توقعها بواسطة أدوات آلية يستخدمها مجرمو الإنترنت.
ولكن بسبب أن النماذج اللغوية الكبيرة (LLMs) لا تولد كلمات مرور عشوائيًا فعلًا، بل تستنتج النتائج بناءً على الأنماط في بيانات تدريبها، فهي في الواقع لا تخلق كلمة مرور قوية، بل شيئًا يبدو ككلمة مرور قوية – انطباع بالقوة يكون في الحقيقة قابلاً للتوقع بشكل كبير.
بينما قد تبدو آمنة، وجدت الأبحاث أن كلمات المرور التي أنشأها الذكاء الاصطناعي كانت قابلة للتوقع بشكل كبير
بعض كلمات المرور التي أنشأها الذكاء الاصطناعي تحتاج إلى تحليل رياضي لكشف نقاط ضعفها، لكن العديد منها منتظم لدرجة أنه يمكن ملاحظته بوضوح بالعين المجردة.
على سبيل المثال، عينة من 50 كلمة مرور أنشأتها إيريجولار باستخدام الذكاء الاصطناعي لـ كلود أنتجت فقط 23 كلمة مرور فريدة. تم استخدام كلمة مرور واحدة – K9#mPx$vL2nQ8wR – 10 مرات. كانت كلمات مرور أخرى تشمل K9#mP2$vL5nQ8@xR، K9$mP2vL#nX5qR@j و K9$mPx2vL#nQ8wFs.
عندما اختبرت سكاي نيوز كلود للتحقق من أبحاث إيريجولار، كانت أول كلمة مرور أخرجها هي K9#mPx@4vLp2Qn8R.
دردشة مع برنامج الذكاء الاصطناعي كلود حول كلمات المرور المولدة عشوائيًا
OpenAI ChatGPT و Google Gemini AI كانت أقل انتظامًا قليلاً في نتائجها، لكنها لا تزال تنتج كلمات مرور متكررة وأنماط قابلة للتوقع في شخصيات كلمات المرور.
كانت نظام توليد الصور من Google NanoBanana أيضًا عرضة لنفس الخطأ عندما طُلب منه إنتاج صور لكلمات مرور على ملاحظات لاصقة.
مجموعة من ملاحظات لاصقة أنشأها الذكاء الاصطناعي تحتوي على كلمات مرور من تطبيق Google NanoBanana
‘حتى أجهزة الكمبيوتر القديمة يمكنها كسرها’
تقول أدوات التحقق من كلمات المرور عبر الإنترنت إن هذه الكلمات المرور قوية للغاية. لقد اجتازت الاختبارات التي أجرتها سكاي نيوز بألوان زاهية: وجد أحد أدوات التحقق أن كلمة مرور من كلود لن يتم كسرها بواسطة جهاز كمبيوتر لمدة 129 مليون تريليون سنة.
ولكن هذا فقط لأن أدوات التحقق غير مدركة للنمط، مما يجعل كلمات المرور أضعف بكثير مما تبدو عليه.
“أفضل تقييم لدينا هو أنه حاليًا، إذا كنت تستخدم LLMs لإنشاء كلمات مرورك، حتى أجهزة الكمبيوتر القديمة يمكنها كسرها في فترة زمنية قصيرة نسبيًا”، كما يقول السيد لاهف.
هذه ليست مجرد مشكلة لمستخدمي الذكاء الاصطناعي غير المدركين، بل أيضًا للمطورين، الذين يستخدمون بشكل متزايد الذكاء الاصطناعي لكتابة غالبية شفراتهم.
اقرأ المزيد من سكاي نيوز:
هل ستترك استقالات الذكاء الاصطناعي العالم في “خطر”؟
هل يمكن أن تواكب الحكومات التكنولوجيا الكبرى؟
يمكن العثور على كلمات المرور التي أنشأها الذكاء الاصطناعي بالفعل في الشيفرات المستخدمة في التطبيقات والبرامج والمواقع الإلكترونية، وفقًا لبحث على GitHub، مستودع الشيفرات الأكثر استخدامًا، عن مقاطع قابلة للتعرف من كلمات المرور التي أنشأها الذكاء الاصطناعي.
على سبيل المثال، أدى البحث عن K9#mP (بادئة شائعة مستخدمة من قبل كلود) إلى 113 نتيجة، و k9#vL (جزء يستخدمه جمن) أدى إلى 14 نتيجة. كانت هناك العديد من الأمثلة الأخرى، التي غالبًا ما كانت مخصصة لتكون كلمات مرور.
معظم النتائج غير مؤذية، تم إنشاؤها بواسطة وكلاء الترميز للوثائق الخاصة بـ “أفضل الممارسات الأمنية”، أو شفرة اختبار قوة كلمة المرور، أو شفرة نموذج مؤقت.
ومع ذلك، وجدت إيريجولار بعض كلمات المرور في ما كان يُشتبه أنه خوادم أو خدمات حقيقية وكان بإمكان الشركة الحصول على وكلاء الترميز لإنشاء كلمات مرور في مجالات قد تكون مهمة من الشيفرة.
“قد يكون بعض الأشخاص معرضين لهذه المشكلة دون حتى أن يدركوا ذلك فقط لأنهم كلفوا الذكاء الاصطناعي بعمل معقد نسبيًا”، قال السيد لاهف، الذي دعا شركات الذكاء الاصطناعي إلى توجيه نماذجها لاستخدام أداة لإنشاء كلمات مرور عشوائية حقًا، تمامًا كما سيستخدم الإنسان آلة حاسبة.
ماذا يجب أن تفعل بدلاً من ذلك؟
غريمي ستيوارت، رئيس القطاع العام في شركة الأمن السيبراني Check Point، يقدم بعض الطمأنينة.
“هذه أخبار جيدة لأنه واحدة من المشكلات الأمنية النادرة التي لها حل بسيط”، قال.
“من حيث أهميتها، تقع هذه المشكلة في فئة ‘يمكن تجنبها، وتأثيرها مرتفع عندما تسوء الأمور’، بدلاً من ‘الجميع على وشك أن يتم اختراقهم’.”
وذكر خبراء آخرون أن المشكلة كانت في كلمات المرور نفسها، التي تُعتبر غير آمنة بشكل ملحوظ.
“هناك طرق مصادقة أقوى وأسهل”، حسب قول روبرت هان، نائب الرئيس العالمي للحلول التقنية في إنترست، الذي أوصى بأن يستخدم الناس مفاتيح المرور مثل التعرف على الوجه وبصمة الإصبع كلما كان ذلك ممكنًا.
وإذا لم تكن هذه خيارًا؟ النصيحة العامة: اختر عبارة طويلة يسهل تذكرها، ولا تطلب من الذكاء الاصطناعي.
تواصلت سكاي نيوز مع OpenAI، بينما رفضت أنتروبيك التعليق.
قال متحدث باسم جوجل: “إن LLMs ليست مصممة لغرض إنشاء كلمات مرور جديدة، على عكس أدوات مثل مدير كلمات مرور جوجل، الذي ينشئ ويخزن كلمات المرور بأمان.
“نواصل أيضًا تشجيع المستخدمين على الابتعاد عن كلمات المرور واعتماد مفاتيح المرور، التي هي أسهل وأضمن للاستخدام.”
