AIにパスワードを選ばせるのをやめてください。本当にランダムではなく、予測可能なパターンに従っており、複雑に見えるにもかかわらず、ハッカーが推測しやすくなっています。
AI セキュリティ企業 Irregular とカスペルスキーからそれぞれ独立した2つの研究プログラムが、同じ結論に収束しました。すべての最先端 LLM は、標準的なエントロピーメーターが極度に過大評価する構造的に予測可能なパスワードを生成します。AI コーディングエージェントはこれらの認証情報を自律的に本番インフラストラクチャに埋め込んでおり、従来のシークレットスキャナーはそれらを検出するメカニズムを持っていません。
生成 AI がエンタープライズ開発ワークフローにどのように統合されるかを詳しく調査してきたセキュリティ専門家として、AI セキュリティ評価企業である Irregular が、すでに疑っていたことの数値化がまだ私に立ち止まらせたことを認めます。Irregular は Claude Opus 4.6 に 50 回の独立したセッションでパスワードを生成させました。その 50 回の試行からは、30 の異なる文字列しか現れませんでした。1 つの特定のシーケンス G7$kL9#mQ2&xP4!w は 18 回再発生し、繰り返し率は 36% です。94 文字の印字可能 ASCII アルファベット全体にわたる真に均一な分布では、50 回の抽出で特定の 16 文字シーケンスが 2 回さえ現れる確率はほぼ無限小に近いものです。モデルはパスワードを生成していません。それらを取得しているのです。
この区別は、新しく、かつ十分に理解されていない脅威クラスの中核です。LLM 生成のパスワードは、実務者に必要な要件として適用するよう訓練されているすべての表面的なヒューリスティックを満たします。必要な長さ、大文字の異質性、数値と記号の混合、認識可能な辞書フラグメントの欠如。自動チェッカーは一貫して優れていると評価しています。危険は、ツール設計と異なる脅威モデルにどのように見えるかではなく、自動回帰生成の分布上の特異性を理解している敵に対してどのように機能するかです。
建築上の非互換性
根本的な病理は設定的というより建築的であり、この区別はチューニングによる修復を妨げるため、かなりの実用的意義があります。NIST SP 800-90A Rev. 1 によって、すべてのセキュリティ上重要なエントロピー生成のために義務付けられている暗号学的に安全な疑似乱数生成器 (CSPRNG) は、真に均一な分布から統計的に等確率で抽出された各文字を生成します。文字は優先的に重み付けされていません。位置的バイアスは存在しません。すべてのトークンはすべての先行トークンから独立しています。
大規模言語モデルは根本的に正反対の原則で動作します。蓄積されたコンテキストが与えられた最も妥当な後続トークンに最大確率を割り当てるように訓練されており、このメカニズムは同時に注目すべき生成流暢性の源と暗号アプリケーション向けのカテゴリー的不適合性です。パスワードを生成するよう促された場合、LLM はヒトが生成したパスワードが特性的にどのように見えるかについての内在化された分布知識を利用します。大文字化の優位性、中間位置での数値のクラスタリング、末尾の感嘆符への嗜好。これらは異常ではありません。それらはトレーニングコーパス統計の忠実な表現です。
Irregular は、生成コーパス全体の文字頻度分布に適用されるシャノンエントロピーを使用して、この溝を定量化しています。完全な 94 文字 ASCII セット上の真の CSPRNG から引き出された 16 文字パスワードは、この尺度でおよそ 98 ビットのエントロピーを運びます。Claude Opus 4.6 はおよそ 27 ビットを達成し、暗号基準に対するおよそ 72% の赤字です。log 確率法で評価される GPT-5.2 の 20 文字パスワードは、およそ 20 ビットに近いエントロピーを示します。広く展開されている zxcvbn ライブラリ を含む従来の強度推定機は、これらの同じパスワードを 98 から 100 ビットで特徴付けます。相違は限界的ではありません。ほぼ 1 桁です。
温度は解決策ではありません
LLM 構成に精通した実務者からの反射的な異議は、サンプリング温度を上げることで、文字が引き出される確率風景を平坦化することで、これらの分布バイアスを減らすことになるということです。Irregular の実証的結果は、この直感を否定することに明白です。Claude の最大設定である温度 1.0 で実施されたテストは、効果的なエントロピーの統計的に意味のある改善を生成しません。文字位置バイアスはサンプリングパラメータではなく、モデルの重みでエンコードされており、温度変調はそれらの重み加算分布の下流で動作します。
別に、カスペルスキーのデータサイエンスチームリーダー Alexey Antonov は、ChatGPT、Meta の Llama、DeepSeek によって生成された 1,000 個のパスワードを分析する補完的な調査を実施しました。文字頻度ヒストグラムは、3 つのモデルすべてにわたって顕著な非均一性を開示しました。ChatGPT は文字 x、p、L への体系的な嗜好を示しています。Llama はハッシュ記号と文字 p への嗜好。DeepSeek は t と w への嗜好。温度 0.0 では、Claude はすべての呼び出しで同じ文字列を生成します。これらの調査結果は、異なるモデルファミリーと測定方法論全体で一貫しており、脆弱性の構造的というより偶発的な性質を裏付けています。
実用的な推論は、ターゲット認証情報の生成に使用された LLM を特定した敵が、94^16 キースペースに対する徹底的なブルートフォース攻撃を試みる必要がないということです。彼らはモデル固有の攻撃辞書を構築し、候補を経験的生成頻度の順に並べ、キースペースが数桁小さい確率的に最適化された検索を実行できます。カスペルスキーのクラッキングテストは、DeepSeek パスワードの 88% と Llama パスワードの 87% が対象攻撃に耐えられず、ChatGPT パスワードの 33% も耐えられず、すべて標準的な GPU ハードウェアを使用していることを発見しました。
エージェンティックインジェクション問題
この問題の部分的に会話型 AI インターフェイスからパスワードをリクエストしないよう相談される実務者ユーザー教育に対応可能な部分は、総集計エクスポージャーの一部を表しています。より重大で、かなり扱いにくいベクトルは、専門家開発ツールチェーンに組み込まれた AI コーディングエージェントによる自律的認証情報生成です。
GitHub Copilot、Claude Code、または類似の機器などの AI コーディングエージェントが、データベース初期化、コンテナー化されたサービス構成、または API ブートストラップを伴うタスク仕様を受け取る場合、タスク完了の機能的前提条件としてそれが認証情報を生成します。パスワードを生成するための明示的な命令は必要ありません。エージェントはコンテキストから必要性を推測します。結果の認証情報は、Docker Compose 環境変数、.env 構成ファイル、または Kubernetes シークレットマニフェストに埋め込まれ、機能的正確性ではなく認証情報の出所に向けられている開発者によってバージョン管理にコミットされます。
LLM Applications 2025 用 OWASP Top 10 は、不安全な出力処理を重大なリスクカテゴリーとして指定しており、LLM 生成コンテンツが適切な検証なしに下流システムとプロセスで使用されるこの障害モード、認証情報の導入をカプセル化しています。認証情報したがって導入されたものは、Gitleaks または Trufflehog でフラグが立てられません。これらのツールは既知のシークレット形式に対するパターンマッチングを採用しており、CSPRNG 派生認証情報を LLM 派生認証情報から区別する文字位置エントロピー分布を評価する能力がないためです。
組織的対応優先度
修復ランドスケープは、組織的に行動する準備ができた組織にとって扱い可能です。以下の優先度は、リスク削減の直接性によって順序付けられています。
2023 年初頭、エージェンティックコーディングツールが広範なエンタープライズ導入を達成した時代から始まるすべての AI 支援リポジトリの遡及的監査を実施してください。特に注意は構成ファイル、Docker Compose YAML、および .env エントリに向けられるべきです。LLM 特性分布シグネチャ、一貫した大文字化初期化、中間数値クラスタリング、末尾の特殊文字を示す認証情報は、明白な複雑さに関係なく調査の価値があります。
CSPRNG 呼び出しに対するプロビナンスを肯定的にトレースできない各認証情報をローテーションしてください。標準的な CSPRNG インターフェイス、Python の secrets.token_urlsafe()、openssl rand -base64、/dev/urandom は、唯一の許容可能なソースです。プロビナンスを確立する監査証跡は運用的に価値があります。そのような証跡がない場合、ローテーションを支持する仮定が優先されるべきです。
AI コーディングツールのシステムプロンプトと安全な開発ガイドラインを修正して、すべての認証情報生成に対して明示的な CSPRNG 呼び出しを義務付けてください。命令はカテゴリー的である必要があります。エージェントはパスワード文字列を生成していません。それは適切なプラットフォーム機能を呼び出しています。この単一文政策修正は、一貫して実施されると、エージェンティックインジェクションのクラスをその開始点で防ぎます。
既知の形式に対するパターンマッチングだけでなく、文字位置分布を評価することができるエントロピー対応分析で静的シークレットスキャニングを拡張してください。この能力ギャップは、現在、この脅威クラスの検出を操作化する際の中心的な技術的課題です。
エンタープライズ契約チャネルを通じて LLM ベンダーにエスカレートしてください。建築修正は、パスワード生成要求を自動回帰生成パイプラインを通して処理するのではなく、CSPRNG バックエンドにルーティングすることであり、AI プロバイダーが利用できるエンジニアリング決定です。NIST SP 800-63B Revision 4 は 2025 年 8 月にリリースされ、認証認証情報のエントロピー要件に関する明確なガイダンスを確立しています。そのレベルに対するベンダー説明責任は正当な契約上の期待です。
より広い認識論的課題
LLM 生成のパスワドの現象は、セキュリティコミュニティの談話では「vibe passwords」と呼ばれています。これは、事実ではなく真実性を捉える称号であり、AI 生成コンテンツがセキュリティ上重要なインフラストラクチャとより深く絡み合うにつれて再発する、より広い認識論的課題の特定のインスタンスです。大規模言語モデルが文脈的に適切で、人間的にもっともらしい出力を生成することに比例した素晴らしい能力を持つトレーニング目標は、構造的に暗号セキュリティの数学的要件と互換性がなく、パターンと可能性が足がかりを提供しない正確な予測不可能性を要求します。
診断ツールと修復経路は存在します。セキュリティコミュニティが必要とするもの、いくらかの緊急性をもって、問題がすでに本番環境に予防的政策ではなく、遡及的調査を保証する規模で伝播していることについて体系的な認識です。
この記事は Foundry Expert Contributor Network の一部として公開されています。
参加したいですか?
