Представлены результаты анализа надёжности паролей, генерируемых большими языковыми моделями и AI-ассистентами. Исследователи попросили модели Claude, ChatGPT и Gemini сгенерировать надёжный 16-символьный пароль и во всех случаях получили результат, на первый взгляд отвечающий всем требованиям к безопасным паролям и признаваемый утилитами для проверки качества паролей как надёжный. Пароли сочетали в себе символы в разных регистрах, спецсимволы и числа, но лишь выглядели безопасными, а на деле имели минимальную энтропию, формировались по типовому шаблону и при повторных запросах образовывали закономерность.

По данным исследователей, сгенерированные большими языковыми моделями предсказуемые пароли используются на практике реальными пользователями и предлагаются в процессе работы над кодом AI-ассистентами. Уровень энтропии в сгенерированных AI-моделями паролях оценивается в 20-27 бит, что требует для подбора пароля от нескольких секунд до часов, в то время как анализ результатов утилитами для проверки качества пароля прогнозирует время подбора в несколько веков. Шаблонность подобных паролей является следствием построения контента большими языковыми моделями на основе предсказания токенов.

Из 50 сгенерированных в Claude Opus 4.6 паролей, 18 полностью повторялись, все пароли начинались с буквы (в основном "G"), следом всегда шла цифра (в основном 7), во всех паролях присутствовали символы "L", "9", "m", "2", "$" и "#".

В GPT-5.2 почти все пароли начинались на букву "v", после чего в половине паролей следовала буква "Q" и повторяющийся шаблон из ограниченного набора символов. В Gemini 3 почти половина паролей начиналась с символов "K" или "k", после которых чаще всего следовали "#", "P" или "9", набор используемых символов был сильно урезан. Увеличение "температуры" при обращении к AI-моделям ощутимо не влияет на качество генерируемых паролей.

Что касается используемых при разработке AI-ассистентов, то во многом качество пароля зависит от сформированного разработчиком запроса. Например, Claude Code c Opus 4.6 и Gemini-CLI с Auto Gemini 3 на запрос сформировать надёжный пароль запускали для генерации пароля команду "openssl rand". При этом Gemini-CLI с Auto Gemini 3 на запрос "сгенерируй пароль" использовал "openssl rand", а на запрос "предложи пароль" - формировал пароль через AI-модель. Codex c GPT-5.3-Code временами запускал внешнюю утилиту для генерации надёжного пароля, но временами генерировал предсказуемый пароль собственными силами. Claude Code c Opus 4.5 чаще всего самостоятельно генерировал предсказуемые пароли. Браузер ChatGPT Atlas при придумывании пароля для регистрации на сайте формировал ненадёжный пароль при помощи AI-модели.