[AIマイナーニュース速報] AI生成パスワードは「ハリボテ」！？予測可能なパターンで数時間で突破される危険性

📰 ニュース概要

• AI製パスワードの脆弱性: セキュリティ企業Irregularの調査により、Claude、ChatGPT、Geminiが生成するパスワードは、既存のチェッカーでは「強力」と判定されるものの、実際には予測可能なパターンを含んでいることが判明した。
• 驚愕の低エントロピー: 真にランダムな16文字のパスワードが約98〜120ビットのエントロピーを持つのに対し、LLM生成のものはわずか20〜27ビット程度であり、旧式のPCでも数時間で総当たり突破（ブルートフォース）が可能とされる。
• GitHub等への影響: AIが生成した特定の文字列パターンを検索すると、GitHub上のテストコードやドキュメントに同様のパスワードが多数露出しており、深刻なセキュリティリスクとなっている。

💡 重要なポイント

• 「予測しやすさ」が仇に: LLMは「もっともらしい、予測可能な出力」を行うように最適化されているため、セキュリティに不可欠な「真のランダム性」とは根本的に相性が悪い。
• チェッカーの盲点: 一般的なパスワード強度確認ツールはAI特有のパターンを学習していないため、AI製の脆弱なパスワードを「世紀単位の時間がかかる強力なもの」と誤判定してしまう。

🦈 サメの眼（キュレーターの視点）

AIは「それっぽいもの」を作る天才だけど、パスワードに関してはその「それっぽさ」が命取りだサメ！調査では50回生成させて20回も重複が出たり、開始と終了の文字が固定されていたりと、パターンが丸見えだったんだサメ。特に開発エージェントが自動でコードを書く時代、AIが勝手に生成した認証情報がGitHubに溢れている現状は、ハッカーにとってのバイキング会場（食べ放題）になってるサメ！「複雑に見える＝安全」という常識を疑うべき時が来たサメ。プロンプトを工夫しても、LLMの仕組み上「真のランダム」は作れないという指摘は非常に重いサメ！

🚀 これからどうなる？

AIを活用した開発やコーディングが普及するにつれ、AIが生成した脆弱なパスワードを一括して特定し、突破する新しいスタイルのサイバー攻撃が増加すると予想される。開発者はAIにパスワードを生成させるのをやめ、信頼できるパスワードマネージャーを使用するように既存のコードを修正する必要がある。

💬 はるサメ視点の一言

見た目だけマッチョなパスワードに騙されちゃダメだサメ！中身はスカスカのカルパス以下だサメ！🦈🔥

📚 用語解説

• エントロピー: 情報の予測不可能性（乱雑さ）を表す指標。この値が高いほど、パスワードは推測されにくく安全になる。

• ブルートフォース攻撃: 考えられるすべての文字の組み合わせを片っ端から試してパスワードを解読する「総当たり」攻撃のこと。

• GitHub: 世界中の開発者がプログラムのコードを保存・公開するプラットフォーム。ここにAI製のパスワードが漏洩していることが問題視されている。

• 情報元: AI-generated password isn’t random, it just looks that way