نماذج اللغة تولد كلمات مرور ضعيفة وسهلة التخمين

كشفت دراسات حديثة أن كلمات المرور التي تولدها نماذج اللغة الكبيرة (LLMs)، والتي تبدو عشوائية ومعقدة، تحمل نقاط ضعف كبيرة يمكن استغلالها بسهولة. تأتي هذه النتائج وسط تزايد استخدام هذه النماذج في توليد كلمات المرور، مما يثير مخاوف جدية بشأن أمن البيانات.

تُستخدم نماذج اللغة الكبيرة بشكل متزايد في مهام تتراوح من المساعدة في البرمجة إلى توليد المحتوى، ومن ضمنها توليد كلمات المرور. ومع ذلك، فإن الآلية التي تعمل بها هذه النماذج تجعلها غير مناسبة لتوليد كلمات مرور آمنة حقيقية، مما يمثل تحديًا جديدًا للأمن السيبراني.

نقاط ضعف كلمات المرور المولدة بواسطة نماذج اللغة الكبيرة

تعتمد كلمة المرور القوية على توليد أرقام عشوائية بشكل آمن. تستخدم الخوارزميات الآمنة، المعروفة باسم CSPRNG، نماذج لا تخضع للتنبؤ لضمان أن كل حرف لديه فرصة متساوية في الاختيار. هذا يضمن العشوائية الحقيقية.

نماذج اللغة الكبيرة، على النقيض من ذلك، مصممة للتنبؤ بالكلمة أو الرمز الأكثر ترجيحًا بناءً على السياق السابق. هذه الطبيعة التنبؤية متأصلة في تصميمها، مما يجعلها متنافية مع مفهوم العشوائية الحقيقية المطلوبة لتوليد كلمات مرور قوية.

أنماط متكررة في كلمات المرور المولدة

أجرى محللون اختبارات توليد كلمات المرور على نماذج لغوية بارزة مثل GPT، و Claude، و Gemini. كشفت النتائج عن أنماط واضحة ومتكررة في كلمات المرور الناتجة عبر جميع النماذج.

على سبيل المثال، في 50 محاولة مستقلة باستخدام Claude Opus 4.6، ظهرت 30 كلمة مرور فقط، وواحدة منها تكررت 18 مرة، مما يشير إلى احتمالية 36% لتوليد نفس كلمة المرور. هذا يعد مؤشرًا خطيرًا على ضعف الأمان.

بالإضافة إلى ذلك، لوحظ أن GPT-5.2 يولد كلمات مرور تبدأ غالبًا بالحرف “v”، بينما تبدأ كلمات المرور المولدة بواسطة Gemini 3 Flash باستمرار بالحرف “K” أو “k”. هذه التحيزات ليست مجرد ملاحظات بسيطة، بل تعكس تحيزات تنبؤية يمكن للمهاجمين استغلالها مباشرة.

مخاطر على الأمن السيبراني

تتجاوز هذه المشكلة المستخدمين العاديين الذين يطلبون من روبوتات الدردشة المساعدة. تم اكتشاف أن وكلاء الترميز مثل Claude Code، و Codex، و Gemini-CLI يولدون كلمات مرور تعتمد على نماذج اللغة أثناء مهام تطوير البرمجيات، وأحيانًا دون علم المطور.

في بيئات “الترميز السريع” (vibe-coding)، حيث يتم بناء الكود ونشره دون تدقيق دقيق، يمكن لهذه بيانات الاعتماد الضعيفة أن تتسلل إلى أنظمة الإنتاج دون اكتشاف. هذا يزيد من خطر الاختراق الأمني.

مدى ضعف كلمات المرور المولدة

لفهم مدى ضعف كلمات المرور هذه، طبق الباحثون صيغة إنتروبيا شانون واستخدموا بيانات الاحتمالية اللوغاريتمية المستخرجة مباشرة من النماذج. كلمة المرور المكونة من 16 حرفًا، عند بنائها بشكل صحيح، يجب أن تحمل حوالي 98 بت من الإنتروبيا، وهو مقياس للقوة يجعل عملية التكسير بالقوة الغاشمة شبه مستحيلة.

ومع ذلك، أظهرت كلمات المرور من Claude Opus 4.6 حوالي 27 بت فقط من الإنتروبيا. وكان الوضع أكثر إثارة للقلق مع كلمات المرور المكونة من 20 حرفًا من GPT-5.2، والتي بلغت حوالي 20 بت فقط. هذا المستوى المنخفض يمكن تكسيره في ثوانٍ على جهاز قياسي.

حتى تغيير إعدادات “درجة الحرارة” في النماذج لم يقدم حلاً. تشغيل Claude بأقصى درجة حرارة (1.0) لا يزال يؤدي إلى نفس الأنماط المتكررة. وعند تقليلها إلى 0.0، تكررت نفس كلمة المرور في كل مرة.

وجد الباحثون أيضًا أن بادئات كلمات المرور المولدة بواسطة نماذج اللغة، مثل `K7#mP9` و `k9#vL`، تظهر في مستودعات GitHub العامة والمستندات التقنية عبر الإنترنت. هذا يشير إلى نقاط ضعف معروفة يمكن استغلالها.

لذلك، يجب على فرق الأمن مراجعة وتدوير أي بيانات اعتماد قد تكون أدوات الذكاء الاصطناعي أو وكلاء الترميز قد ولدوها. وينبغي على المطورين تكوين الوكلاء لاستخدام طرق آمنة من الناحية التشفيرية، مثل `openssl rand` أو `/dev/random`، ومراجعة جميع الأكواد التي تم إنشاؤها بواسطة الذكاء الاصطناعي بحثًا عن كلمات المرور المضمنة قبل النشر.