Senhas geradas pelo ChatGPT e Gemini não são seguras, alertam especialistas

Especialistas da empresa de cibersegurança Irregular fizeram um alerta para vulnerabilidades encontradas em senhas geradas por ferramentas de inteligência artificial (IA). A análise levou em consideração três plataformas conhecidas: ChatGPT, Gemini e Claude.

• Google admite que hackers estão usando o Gemini em golpes de vagas falsas
• Hackers usam o Gemini como suporte para criar e monitorar ciberataques

De acordo com os pesquisadores, as ferramentas sugerem senhas aparentemente fortes aos usuários, mas que, na verdade, podem ser facilmente descobertas por cibercriminosos. Dessa forma, o que parece ser uma credencial complexa se torna uma senha bastante previsível que pode ser decifrada em poucas horas.

Para chegar a essa conclusão, a Irregular pediu para que cada uma das três ferramentas de IA consideradas na análise gerassem senhas de 16 caracteres que contassem com caracteres especiais, números e letras maiúsculas e minúsculas.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Em um primeiro momento, os especialistas receberam respostas com senhas que pareciam ser bastante complexas, algo corroborado por verificadores online, que também garantiam a força da credencial. Muitos deles ainda afirmavam que levaria séculos para que a senha fosse quebrada por computadores comuns, por exemplo. Mas havia um porém nessa suposta “força” de senhas geradas por IAs.

Por que senhas geradas por IA não são fortes?

Segundo os pesquisadores, as senhas geradas pelo ChatGPT, Gemini e Claude eram fortes apenas na aparência. Isso porque todas possuíam padrões comuns que poderiam se tornar um problema, caso hackers obtivessem o entendimento desses modelos para aprimorar suas táticas criminosas de roubo de credenciais.

Nos testes feitos pela Irregular, o Claude, por exemplo, recebeu a solicitação para gerar uma senha 50 vezes, cada uma em uma conversa diferente com a IA. A resposta foi preocupante: das 50 senhas devolvidas, apenas 30 eram únicas, sendo que 20 delas eram duplicadas e a grande maioria começava e terminava com os mesmos caracteres.

Cenários semelhantes foram encontrados em análises com a versão GPT-5.2 da ferramenta da OpenAI e o Gemini 3 Flash, do Google. Nesses casos, todas as senhas mostraram padrões semelhantes, principalmente no início das sequências.

O Gemini 3 Pro, também analisado nos testes da Irregular, foi o único que trouxe uma resposta diferente após receber a solicitação, com a opção “alfanumérico aleatório” oferecendo uma sequência menos padronizada que outras. A ferramenta ainda retornou com um aviso de segurança ao sugerir que aquelas senhas não deveriam ser usadas em contas com informações sensíveis, reforçando a vulnerabilidade de tais sequências.

Leia também:

• Falha em extensões do Claude expõe 10 mil usuários a execução remota de códigos
• Olhou, vazou: ataque em IA rouba seus dados sem você clicar em nada
• Especialistas alertam para falhas de segurança críticas no Moltbook

Fonte: The Register