Test rivela che ChatGPT e Llama creano credenziali vulnerabili

Gli esperti avvertono: i modelli linguistici di grandi dimensioni (LLM) generano password deboli e prevedibili, esponendo gli utenti a rischi elevati di violazioni.

Alcuni recenti test condotti su ChatGPT, Llama e DeepSeek rivelano che l’87-88% delle credenziali create da questi strumenti fallisce i criteri di sicurezza standard.

Alcuni ricercatori di Kaspersky, guidati da Alexey Antonov del Data Science Team, hanno generato 1.000 password tramite i principali LLM, richiedendo chiavi composte da almeno 12 caratteri con lettere maiuscole, minuscole, numeri e simboli. Sebbene i modelli rispettino formalmente queste specifiche, un algoritmo di machine learning sviluppato da Antonov nel 2024 dimostra che quasi il 60% delle password decifrabili in meno di un’ora con GPU moderne o servizi cloud.

ChatGPT performa leggermente meglio con il 33% di fallimenti, ma Llama di Meta e DeepSeek registrano l’87% e l’88% di credenziali vulnerabili, poiché privilegiano pattern comuni come sostituzioni prevedibili (es. “a” con “@”, “e” con “3”). Questa prevedibilità deriva dai dati di training basati su password leakate reali, rendendo gli LLM inefficienti per generare entropia casuale.

Le tue password AI potrebbero crollare in minuti

Antonov evidenzia come i cybercriminali sfruttino questi bias: invece di provare combinazioni sequenziali esaustive, attaccanti iniziano da varianti delle password più frequenti estratte da breach storici, accelerando crack del 51% in un minuto, 65% in un’ora e 81% in un mese su dataset come RockYou (15 milioni di credenziali).

Pertanto, LLM come PassGAN – un Password Generative Adversarial Network – imparano da hash trapelati per produrre ipotesi realistiche, superando tool tradizionali come Hashcat in velocità. TechRadar cita studi su 43 milioni di profili LinkedIn, dove PassGAN indovina il 12% da solo e il 25% combinato con cracker classici, enfatizzando che password sotto 7 caratteri cadono in 6 minuti anche con simboli.

I test Kaspersky confermano questa tendenza: nonostante l’apparente complessità, le password AI mancano di vera casualità, facilitando attacchi brute-force potenziati. Antonov raccomanda generatori dedicati come password manager o standard NIST, con parole d’accesso costituite da 20 o più caratteri.