Este artigo apresenta os resultados de uma análise da força de senhas realizada por grandes modelos de linguagem e assistentes de IA. Os pesquisadores solicitaram aos modelos Claude, ChatGPT e Gemini que gerassem uma senha forte de 16 caracteres. Em todos os casos, as senhas resultantes aparentavam atender a todos os requisitos de segurança e foram reconhecidas como fortes por ferramentas de avaliação de qualidade de senhas. As senhas combinavam letras maiúsculas e minúsculas, caracteres especiais e números, mas, embora parecessem seguras, na verdade apresentavam entropia mínima, seguiam um modelo padrão e formavam um padrão consistente quando consultadas repetidamente.
Segundo pesquisadores, senhas previsíveis geradas por grandes modelos de linguagem são usadas na prática por usuários reais e sugeridas por assistentes de IA durante o desenvolvimento de código. O nível de entropia em senhas geradas por modelos de IA é estimado em 20 a 27 bits, exigindo de alguns segundos a horas para serem quebradas, enquanto a análise dos resultados por ferramentas de verificação de qualidade de senhas prevê tempos de quebra de séculos. A natureza padronizada dessas senhas é uma consequência da construção de conteúdo por grandes modelos de linguagem com base na predição de tokens.
Das 50 senhas geradas no Claude Opus 4.6, 18 eram exatamente iguais, todas começavam com uma letra (na maioria das vezes "G"), sempre seguida por um número (na maioria das vezes 7), e todas continham os caracteres "L", "9", "m", "2", "$" e "#".
No GPT-5.2, quase todas as senhas começavam com a letra "v", seguida em metade delas pela letra "Q" e um padrão repetitivo de um conjunto limitado de caracteres. No Gemini 3, quase metade das senhas começava com os caracteres "K" ou "k", geralmente seguidos por "#", "P" ou "9", com o conjunto de caracteres significativamente reduzido. Aumentar a "temperatura" ao executar modelos de IA não afeta significativamente a qualidade das senhas geradas.
Quanto aos assistentes de IA usados no desenvolvimento, a qualidade de uma senha depende em grande parte da solicitação feita pelo desenvolvedor. Por exemplo, o Claude Code com Opus 4.6 e o Gemini-CLI com Auto Gemini 3 executaram o comando "openssl rand" para gerar uma senha quando solicitados a gerar uma senha forte. O Gemini-CLI com Auto Gemini 3 usou "openssl rand" quando solicitado a "gerar uma senha" e utilizou um modelo de IA para gerar uma senha quando solicitado a "sugerir uma senha". O Codex com GPT-5.3-Code ocasionalmente executou um utilitário externo para gerar uma senha forte, mas ocasionalmente gerou uma senha previsível internamente. O Claude Code com Opus 4.5 gerou senhas previsíveis internamente na maioria das vezes. O navegador ChatGPT Atlas utilizou um modelo de IA para gerar uma senha fraca ao criar uma senha para registro em um site.
Fonte: opennet.ru
