近期一項由資安公司 Irregular 進行的研究透露,我們日常倚賴的大型語言模型,包括 Claude、ChatGPT 與 Gemini,在生成密碼這件看似簡單的任務上,存在嚴重的安全缺陷。
這些 AI 產出的密碼乍看之下符合所有安全準則,實際上卻高度可預測。密碼被暴力破解的成本,遠低於多數人的想像。這項發現不僅對個人用戶構成警示,更對企業開發流程與供應鏈安全帶來深遠影響。
LLM 密碼的「強度錯覺」
多數人判斷一組密碼是否夠強,最直覺的做法就是將它丟進線上密碼強度檢測工具,這些工具會根據字元集合的多樣性與長度來估算破解難度。一組包含大小寫字母、數字與特殊符號的 16 字元密碼,通常會被判定為「需要數百年才能破解」。
然而,這套評估邏輯建立在一個前提上:密碼是隨機生成的。當密碼來自 LLM 時,這個前提便不再成立。
Irregular 的研究團隊分別要求 Claude、ChatGPT 與 Gemini 生成符合標準安全規範的 16 字元密碼,結果令人驚訝:這些密碼雖然表面上複雜,卻呈現出固定的模板與偏好。
研究人員針對 Claude 的 Opus 4.6 模型進行了 50 次獨立測試,每次都在不同的對話視窗中提出相同請求。結果顯示,50 組密碼中僅有 30 組是獨特的,其中 18 組甚至是完全相同的字串。更值得注意的是,絕大多數密碼的開頭與結尾字元呈現高度一致性,且沒有任何一組密碼包含重複字元。
這種「無重複字元」的特徵看似增強了安全性,實際上卻恰恰證明了這些輸出並非真正隨機。真正的隨機序列理應偶爾出現字元重複,而 LLM 刻意避免重複的行為,正是其遵循「看起來像密碼」這種學習模式的證據。OpenAI 的 GPT-5.2 與 Google 的 Gemini 3 Flash 同樣展現類似傾向,尤其在密碼開頭部分的一致性特別明顯。
可預測性如何讓暴力破解變得可導引?
理解這項研究的關鍵在於「熵值」的概念(測量系統「無序程度」或「不確定性」的指標,熵高=混亂/不確定,熵低=有序/可預測)。研究團隊使用資訊熵(Shannon entropy)與模型自身的對數機率兩種方法,估算 LLM 生成密碼的實際熵值。結果顯示,這些密碼的熵值僅有約 20 至 27 位元,而一組真正隨機的 16 字元密碼應達到 98 至 120 位元。
這意味著什麼?在實務層面,這代表 LLM 生成的密碼即使在數十年前的舊電腦上,也可能在數小時內被暴力破解。
傳統暴力破解是一種盲目的搜尋過程,攻擊者必須嘗試所有可能的字元組合。然而,當攻擊者掌握了 LLM 的生成偏好,包括常見的起始字元、結尾模式、特殊符號的位置分布等,整個攻擊策略便從盲打轉變為有方向的搜尋。攻擊者可以據此調整規則設定與策略,大幅縮小搜尋空間。
此外,研究人員還做了一個額外實驗。他們不是請文字模型直接輸出密碼,而是請 Google 的圖像生成模型畫一張「便條紙上寫著密碼」的圖片。結果發現,圖片裡出現的密碼字串,竟然跟 Gemini 文字模型生成的密碼呈現相同的模式。
這個發現的意義在於,連圖像模型「畫」出來的密碼都有固定偏好,代表這種傾向不是某個特定模型的問題,而是深植於 AI 訓練過程中的共通行為。既然問題出在模型的底層邏輯,那麼無論你怎麼改寫提示詞、調整參數,都無法根本解決這個偏好,因為它不是表面設定的問題。
LLM 的設計目標與密碼安全的要求互相矛盾
這項研究的影響範圍遠不止於個人帳戶安全。在 AI 輔助開發日益普及的今天,開發者若習慣性使用 LLM 生成密碼,這些具有可辨識模式的字串可能被帶入測試程式碼、技術文件、設定範例,最終流入 GitHub 等公開平台。
研究團隊實際以常見的 LLM 密碼序列在網路與 GitHub 上進行搜尋,確實找到了相關痕跡,包括測試碼、設定說明與技術文件等。
這種「模式可被回溯搜尋」的特性創造了一個新的攻擊面向。攻擊者不再需要逐一嘗試破解,而是可以透過模式比對,快速識別哪些系統可能使用了 LLM 生成的弱密碼。
當 Anthropic 執行長 Dario Amodei 預言 AI 將撰寫大部分程式碼時,這項研究提醒我們,AI 生成的密碼並不如預期般安全。
更根本的問題在於 LLM 的設計目標與密碼安全的要求互相矛盾。LLM 被訓練來產出「人類覺得合理、通順」的文字,下一個詞要接得順、符合語法與語意邏輯,這種「可預測性」正是它的核心能力。
然而密碼安全的要求剛好相反,密碼必須不可預測,越難猜越好。所以當人類要求一個專門產出合理內容的工具去產出不可預測的內容,結果注定是不及格的。
Irregular 將此稱為「能力與行為落差」,即 LLM 有能力輸出看起來像密碼的字串,但其行為邏輯讓這些字串必然帶有可預測模式。隨著 AI 輔助開發持續擴大,這種「看起來做到了但其實沒做好」的落差,或許將在更多領域浮現。
改用密碼學安全的隨機數生成器與專業密碼管理器
面對這項發現,最直接的應對措施是徹底放棄,將「請 LLM 給我密碼」視為有效的密碼產生流程。
密碼生成應交由專門設計的密碼管理器,如 1Password、Bitwarden,或作業系統原生的密碼管理功能。這些工具使用密碼學安全的偽隨機數生成器,其設計原理與 LLM 截然不同,能夠產出真正不可預測的序列。
值得一提的是,Gemini 3 Pro 在生成密碼時已會主動發出警告,建議用戶不要將聊天介面產生的密碼用於敏感帳戶,並推薦使用第三方密碼管理器。
對於企業而言,應立即對既有系統進行稽核,盤點是否存在使用 LLM 生成密碼的流程或痕跡。在政策與工具層面,可在持續整合流程中加入檢測機制,掃描設定檔與文件是否出現符合 LLM 生成模式的可疑字串。對於高敏感帳戶,則應強制啟用多因素驗證或 Passkeys,以降低單點失守的風險。
*本文開放合作夥伴轉載,參考資料:《The Register》、《TechRadar》,圖片來源:Unsplash
(責任編輯:鄒家彥)
線