Netcrook Logo
👤 TRUSTBREAKER
🗓️ 20 Feb 2026  

«العشوائي» ليس عشوائياً: كلمات المرور التي تُولِّدها نماذج اللغة الكبيرة تفتح الباب على مصراعيه أمام القراصنة

العنوان الفرعي: تكشف الأبحاث أن كلمات المرور المُولَّدة بالذكاء الاصطناعي قابلة للتنبؤ بشكل خطير، ما يعرّض الأنظمة الواقعية للخطر.

عندما يتعلق الأمر بالأمن الرقمي، فالعشوائية هي كل شيء. لكن تحقيقاً جديداً يُظهر أن كلمات المرور التي تُنتجها نماذج اللغة الكبيرة (LLMs) الشائعة قد لا تكون سوى وهمٍ بالأمان - تمنح المهاجمين طريقاً سهلاً للاختراق، رغم أنها تبدو قوية للوهلة الأولى.

حقائق سريعة

  • كلمات المرور المُولَّدة بواسطة نماذج اللغة الكبيرة غالباً ما تعيد استخدام أنماط، ما يجعلها شديدة القابلية للتنبؤ.
  • قواعد الشيفرة وملفات الإعدادات في العالم الحقيقي تحتوي بالفعل على هذه الكلمات الضعيفة المُولَّدة بالذكاء الاصطناعي.
  • قد تكون الإنتروبيا الفعلية لكلمات مرور LLM منخفضة إلى 20–27 بت - قابلة للكسر خلال ساعات.
  • مُدقِّقات كلمات المرور القياسية تُبالغ في تقدير قوة هذه السلاسل المصنوعة بالذكاء الاصطناعي.
  • يوصي الخبراء باستخدام أدوات تشفير مخصّصة، لا روبوتات الدردشة، لتوليد كلمات المرور.

وهم الأمان

بالنسبة للعين غير المدرَّبة، تبدو كلمة مرور مثل vQ7!mZ2#K7#mP9 حصناً منيعاً - خليطاً غير متوقع من الحروف والأرقام والرموز. لكن تحت السطح، كلمات المرور التي تُولِّدها نماذج مثل Claude وGPT وGemini مليئة بأنماط خفية. وعلى عكس مولدات الأرقام العشوائية الحقيقية، تعتمد نماذج اللغة الكبيرة على التنبؤ الإحصائي، فتُفضِّل التسلسلات المرجّحة على العشوائية الفعلية.

يرسم تحليل حديث صورة مقلقة: عند طلب توليد كلمة مرور 50 مرة، أنتج Claude Opus 4.6 ثلاثين نتيجة فريدة فقط، مع ظهور كلمة مرور واحدة بطول 16 حرفاً 18 مرة. وقد تم تمثيل بعض الأحرف - مثل G و7 وL و9 وm و2 و$ و# - بشكل مفرط للغاية، بينما لم تظهر مساحات واسعة من الأبجدية إطلاقاً. النتيجة؟ كلمات مرور تبدو معقدة لكنها في الواقع سهلة التخمين.

وهذا ليس مجرد خطر نظري. فقد عثر باحثون يمشطون GitHub والويب الأوسع على أمثلة حية لكلمات مرور على نمط LLM مدمجة في شيفرات حقيقية وملفات إعدادات وحتى بيانات اعتماد قواعد بيانات مكشوفة. ومع تحوّل مساعدي البرمجة بالذكاء الاصطناعي إلى أمرٍ معتاد، تتسرب كلمات مرور غير آمنة بهدوء إلى أنظمة الإنتاج - وغالباً دون أن يدرك المطورون الخطر.

لماذا كلمات مرور LLM ضعيفة؟

تستخدم مولدات كلمات المرور التشفيرية القياسية مولدات أرقام شبه عشوائية آمنة تشفيرياً (CSPRNGs) لضمان أن كل حرف غير قابل للتنبؤ. أما نماذج اللغة الكبيرة، فعلى النقيض، فهي مصممة لإنتاج «الرموز» التالية الأكثر «احتمالاً» بناءً على بيانات متعلمة، ما يجعل مخرجاتها منحازة بطبيعتها ومعرّضة للتكرار. هذا الانحياز يقتطع من الإنتروبيا الحقيقية لكلمة المرور - وأحياناً إلى 20 بت فقط لسلسلة بطول 20 حرفاً، وفقاً لحسابات الإنتروبيا المبنية على ترددات الأحرف المرصودة واحتمالات النموذج. عملياً، يمكن لمهاجم مُصمِّم تخمين كلمة مرور كهذه خلال ثوانٍ أو ساعات باستخدام عتاد متاح تجارياً.

حتى مقاييس قوة كلمات المرور الشائعة تنخدع، فتقيّم كلمات المرور المصنوعة بالذكاء الاصطناعي على أنها «ممتازة» لأنها تبدو معقدة وتستوفي متطلبات الطول. لكن الواقع أكثر خطورة: يمكن للمهاجمين استهداف مجموعة الأنماط الضيقة التي تفضّلها نماذج اللغة الكبيرة، ما يقلّص مساحة البحث في هجمات القوة الغاشمة بشكل كبير.

كيف تحمي نفسك

الرسالة للمستخدمين والمطورين واضحة: لا تستخدم أبداً نموذج لغة كبيراً أو روبوت دردشة لتوليد كلمات المرور أو الأسرار. اعتمد بدلاً من ذلك على مديري كلمات المرور أو المولدات المخصّصة المبنية على CSPRNGs. ينبغي على المطورين تدقيق الشيفرة الحالية بحثاً عن كلمات مرور على نمط LLM، وتدوير أي أسرار مكشوفة، وضمان أن تعتمد الأتمتة المستقبلية على أدوات عشوائية آمنة. كما يجب على مختبرات الذكاء الاصطناعي ومزوّدي الوكلاء تحمّل المسؤولية، عبر تعطيل قدرات توليد كلمات المرور وتوثيق الممارسات الآمنة لمستخدميهم.

الخلاصة

مع تلاشي الحدود بين الذكاء الاصطناعي والتطوير اليومي، تظهر سريعاً المخاطر الخفية لكلمات المرور المُولَّدة بواسطة نماذج اللغة الكبيرة. ما يبدو عشوائياً قد لا يكون كذلك إطلاقاً - وثمن ذلك الوهم قد يكون أمن نظامك. يعتمد مستقبل سلامة كلمات المرور على إبقاء العشوائية عشوائية حقاً - وترك فن عدم القابلية للتنبؤ للأدوات المناسبة.

WIKICROOK

  • LLM (نموذج لغة كبير): نموذج اللغة الكبير (LLM) هو ذكاء اصطناعي متقدم مُدرَّب على مجموعات بيانات نصية ضخمة لتوليد لغة شبيهة بلغة البشر وفهم الاستعلامات المعقدة.
  • CSPRNG (مولد أرقام شبه عشوائية آمن تشفيرياً): يُنتج CSPRNG أرقاماً عشوائية غير قابلة للتنبؤ وآمنة، ما يجعله ضرورياً للتشفير، بما في ذلك التعمية وتوليد المفاتيح والتواقيع الرقمية.
  • الإنتروبيا (في كلمات المرور): إنتروبيا كلمة المرور هي مستوى العشوائية فيها. تعني الإنتروبيا الأعلى كلمات مرور أقوى وأقل قابلية للتنبؤ وأصعب في الكسر.
  • Token (رمز): الرمز هو مفتاح رقمي يتحقق من الهوية ويمنح الوصول إلى الأنظمة. إذا سُرق أو أسيء استخدامه، فقد يتيح للمهاجمين دخولاً غير مصرح به.
  • Brute (القوة الغاشمة): هجوم القوة الغاشمة هو أسلوب اختراق آلي يحاول فيه المهاجمون العديد من كلمات المرور أو المفاتيح حتى يعثروا على الصحيح للحصول على وصول غير مصرح به.
LLM passwords digital security password generation
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news