详细内容或原文请订阅后点击阅览
已测试:AI 生成的密码可保证代码不会泄露
研究人员发现,大型语言模型插入生成代码中的秘密只是表面上与随机代码相似。
来源:OSP网站大数据新闻卡巴斯基实验室和 Irregular 的专家独立确定,领先的大型语言模型按需生成的“随机”密码实际上根本不安全。例如,作为 Irregular 研究的一部分,Claude Opus 模型在 50 次尝试创建密码的过程中,在 18 个案例中产生了相同的密码 - G7$kL9#mQ2&xP4!w,卡巴斯基实验室发现 ChatGPT、Llama 和 DeepSeek 模型对字符有偏好,每个模型都有自己的偏好。
原因是法学硕士不会使用加密安全的随机数生成器合成密码,而是使用学习的规则或遵循趋势:例如,密码通常以大写字母开头,中间有更多数字,并且通常以感叹号结尾。
这在使用 LLM 进行代码合成的情况下是最危险的 - 如果在您需要快速获得可用系统的情况下不检查此类代码,它可能包含 AI 创建的密码,而 AI 通过恶意实践可以“硬编码”访问某些功能所需的秘密。因此,专家强烈建议在生产系统上检查 Docker Compose 环境变量、.env 配置文件、Kubernetes 秘密清单等,以获取 AI 生成的凭据。