Исследователи Irregular Security опубликовали отчёт, который должен заставить задуматься каждого, кто хоть раз просил ChatGPT, Claude или Gemini придумать пароль. И если внешне результат выглядит убедительно, к примеру, длинная строка вроде G7kL9#mQ2&xP4!w с буквами, цифрами и спецсимволами, то это вовсе не означает, что пароль оригинален и надёжен.
Инструмент KeePass оценивает такой пароль примерно в 100 бит энтропии и ставит отлично. Сервис zxcvbn обещает «века» на перебор. На деле реальная энтропия того же пароля от Claude составила около 27 бит — разница между «взломать за миллиарды лет» и «взломать за секунды».
Наглядный эксперимент с Claude Opus 4.6 поставил всё на своё место. Исследователи запросили у модели 50 паролей — по одному в каждом отдельном разговоре. Один и тот же вариант G7kL9#mQ2&xP4!w появился 18 раз из 50, то есть с вероятностью 36%.
Уникальных паролей во всей выборке набралось лишь 30. Символы L, 9, m, 2, $ и # присутствовали буквально в каждом из 50 вариантов, тогда как большинство букв алфавита не встретились ни разу. GPT-5.2 стабильно начинал пароли с буквы v, Gemini 3 Flash — с K или k.
Корень проблемы в архитектуре самих языковых моделей. Они оптимизированы под предсказание следующего токена, а не под генерацию криптографически случайных последовательностей. Повышение параметра «температуры», настройки, отвечающей за вариативность вывода, ситуацию не спасает. При максимально допустимом значении 1.0 пароли Claude воспроизводили те же паттерны. При минимальном значении 0.0 все 10 попыток дали ровно одинаковый результат.
Проблему эксперты видят и в ИИ-агентах для написания кода. Исследователи проверили Claude Code, Codex, Gemini-CLI и ряд других инструментов. Выяснилось, что даже когда агент технически способен вызвать системную команду openssl rand и получить настоящий стойкий к взлому пароль — он нередко генерирует его прямо в тексте ответа.
Причём поведение зависит от формулировки запроса. «Сгенерируй пароль» у новых версий Claude Code и Gemini-CLI чаще приводило к применению безопасного метода, а «предложи пароль» снова возвращало небезопасный вариант. В обычных же условиях ИИ-агенты регулярно прописывали такие пароли в файлах docker-compose, скриптах настройки баз данных и .env-файлах, нередко без ведома разработчика.
