ChatGPT, Gemini veya Claude gibi yapay zeka modellerine şifre oluşturması için güveniyorsanız, hesaplarınızı hackerlara altın tepside sunuyor olabilirsiniz.
Birçok kullanıcı, karmaşık ve güvenli şifreler bulmakta zorlandığı için yapay zekadan yardım alıyor. Ancak yeni bir araştırma, bu yöntemin aslında siber saldırganların işini kolaylaştırdığını kanıtladı. Sorunun kaynağı ise oldukça ironik: Yapay zekanın “rastgelelik” taklidi yaparken aslında belirli matematiksel kalıplara hapsolması.
AI Şifreleri Neden Güvensiz?
Yapay zeka modelleri, veri setlerindeki olasılıkları kullanarak içerik üretir. Parola üretirken de “gerçekten rastgele” bir seçim yapmak yerine, daha önce güvenli olduğu kabul edilmiş kombinasyonları bir araya getirir. Bu da ortaya çıkan şifrelerin bir “imza” taşımasına neden olur.
Araştırmadan çıkan çarpıcı bulgular:
Favori Harfler: Üretilen parolaların neredeyse tamamı büyük harfle başlıyor ve özellikle “G” harfi anormal bir sıklıkla tercih ediliyor.
Sürekli Tekrar: İncelenen 50 şifreden sadece 30’unun benzersiz olduğu görüldü. Hatta
G7$kL9#mQ2&xP4!wkombinasyonu tam 18 kez farklı kullanıcılara “özel” diye sunuldu.Sabit Karakter Seti: Araştırmada kullanılan tüm yapay zekalar;
L, 9, m, 2, $ ve #karakterlerini mutlaka şifreye dahil ederken, bazı karakterleri ise “karmaşık görünmez” endişesiyle hiç kullanmadı.Gerçek Rastgelelik Eksikliği: Hiçbir AI şifresinde yan yana iki aynı karakter (örneğin “AA” veya “11”) bulunamadı. Yapay zeka, bunun “rastgele görünmeyeceğini” düşündüğü için kaçınıyor, oysa gerçek bir rastgelelikte bu durumun yaşanması kaçınılmazdır.
Brute-Force Saldırıları İçin “Kolay Lokma”
Hackerlar artık bu kalıpları (pattern) öğrendi. Bir saldırgan, yapay zekanın parola oluşturma mantığını bildiği sürece, milyonlarca kombinasyonu denemek yerine sadece AI’nın “olasılık dahilindeki” şifrelerini deneyerek hesapları dakikalar içinde ele geçirebiliyor. Araştırmacılar, bu hatalı parola kalıplarına şimdiden GitHub üzerindeki birçok açık kaynak kodunda rastladıklarını belirtiyor.
Uzmanlar Ne Diyor?
Güvenlik araştırmacıları, yapay zekayı bir parola yöneticisi (Password Manager) gibi görmenin ölümcül bir hata olduğu konusunda hemfikir. Hatta artık Gemini gibi bazı sohbet botları, parola oluşturulmak istendiğinde “Bu parolaları kullanmayın, veriler sunucular üzerinden işleniyor” şeklinde uyarılar çıkarmaya başladı.
Yapay zeka henüz bir “rastgele sayı üreteci” (Random Number Generator) değildir. Eğer gerçekten güvenli bir parola istiyorsanız; köklü parola yöneticilerinin yerleşik “parola oluşturucu” araçlarını kullanın. 2026 yılındayız ve siber suçlular da en az sizin kadar yapay zeka kullanıyor; onlara bir avantaj vermeyin.
