在世界密码日之际,全球领先的网络安全公司卡巴斯基(Kaspersky)发布最新警告:使用大型语言模型(LLMs)如ChatGPT、Llama和DeepSeek生成密码并不安全。这一结论对近年来用户越来越依赖AI工具处理日常任务的趋势提出了严重质疑。
AI生成的密码存在安全漏洞
根据卡巴斯基的内部研究测试,许多通过AI工具生成的“强密码”实际上很容易受到暴力破解攻击。这是因为,虽然LLM模型在表面上看似能随机组合字符,但生成的密码常常包含明显的规律性,例如常见的字典单词、字符替代(如“P@ssw0rd”)、符号频率异常等。这种非真正随机的输出,大大降低了密码的安全性。
特别是在测试中,卡巴斯基对比了三个主流AI模型生成的1000个密码,发现结果令人堪忧:
- 来自DeepSeek生成的密码中,有 88% 未通过卡巴斯基的密码强度机器学习测试;
- Llama生成的密码中,有 87% 被评定为弱密码;
- ChatGPT表现相对较好,但仍有 33% 被归类为弱密码。
卡巴斯基指出,这些模型存在结构性生成弱密码的隐患,且模型本身并未针对密码强度做专门优化。尤其是DeepSeek,尽管在中文语境中具有强大的文本理解能力,但在密码生成领域,仍无法替代专业工具。
密码生成不能依赖AI通用模型
AI生成工具设计初衷并非用于创建高强度加密密码,它们的训练核心目标是预测“合理文本”,而不是实现“最大随机性”或“最小可预测性”。即便在提示中明确要求“生成一个随机、安全的密码”,模型仍可能输出某些带有模式的结果。例如:
- 字母替代符号(如a变成@,s变成$);
- 使用常用组合(如“123”、“abc”);
- 字典词拼接(如“SecureDog”、“AdminKey”等)。
这些组合极容易被现代密码破解工具识别,即使肉眼看起来复杂,也无法抵御算法攻击。特别是像DeepSeek这样的模型,在应对中文语义和逻辑推理方面表现突出,但其在生成完全不可预测密码方面能力仍显不足。
AI工具生成密码为何容易出问题?
- 缺乏熵源支持:加密安全依赖的是熵(随机性)的质量,而LLMs模型生成密码是基于概率预测序列,难以提供真正的高熵输出;
- 受训练语料影响:AI模型训练数据中充满了历史密码、短语、英文单词、常见组合等,容易产生重复性结构;
- 预测机制非加密机制:模型输出基于“合理性”而非“安全性”,导致其更倾向于输出“像密码的密码”而非“强密码”;
- 模式识别容易:研究表明,AI生成的密码极易被训练有素的破解系统识别出规律,进而快速破解。
为什么密码管理器更值得信赖?
卡巴斯基建议用户应优先使用专业密码管理器,而不是将AI聊天工具作为生成密码的工具。密码管理器的优势包括:
- 使用加密级别的随机数发生器;
- 输出不基于语言模型,无明显模式;
- 自动保存密码在加密保险库中,防止泄露;
- 提供设备间同步、泄露提醒、自动填写等功能。
更关键的是,密码管理器不会像AI模型那样受到自然语言规律的限制,其核心机制设计之初就是为了对抗破解与防止泄露。
总结:安全意识必须与时俱进
随着网络攻击手段不断升级,依赖AI工具生成密码虽然看似便捷,但实际上可能正将用户置于巨大的数据风险之中。特别是如DeepSeek、Llama这样的语言模型,尽管在内容创作、翻译、代码补全等场景表现出色,但在安全场景下并不合适。
在这个世界密码日,卡巴斯基再次提醒用户:密码不是游戏,它是防线的最前沿。拒绝“快捷方式”,选择经过验证的密码管理工具,才是对自己数据安全真正负责的方式。
