.webp)
Perusahaan keamanan siber Irregular menemukan password yang dibuat menggunakan AI seperti Claude, ChatGPT, dan Gemini terlihat rumit, tetapi sebenarnya mudah ditebak.
Dalam analisis terbarunya, Irregular menguji model AI dengan meminta mereka membuat password enam karakter yang mengandung huruf, angka, dan simbol. Hasilnya menunjukkan pola berulang dan bahkan output yang identik di beberapa percobaan.
Pada pengujian terhadap Claude Opus 4.6, dari 50 password yang dihasilkan hanya 30 yang unik. Terdapat 20 duplikasi, dan 18 di antaranya merupakan string yang sama persis.
SCROLL TO CONTINUE WITH CONTENT
Masalah lain adalah pola yang terlalu konsisten. Claude hampir selalu memulai password dengan huruf, umumnya huruf kapital "G", lalu diikuti angka "7". Karakter seperti "L", "9", "m", "2", "$", dan "#" muncul di setiap password yang dihasilkan, sementara sebagian besar huruf alfabet tidak pernah digunakan.
ChatGPT juga menunjukkan pola serupa. Hampir semua password dimulai dengan huruf "v", dan hampir separuhnya menggunakan "Q" sebagai karakter kedua. Gemini cenderung memulai dengan huruf "k", baik kecil maupun besar, serta hampir selalu memakai kombinasi "#", "P", atau "9" di posisi awal.
Irregular juga mencatat tidak satu pun dari 50 password mengandung karakter yang berulang. Sekilas ini tampak acak, namun secara probabilitas justru mengindikasikan pola yang dapat ditebak.
Peneliti menjelaskan akar masalahnya ada pada cara kerja large language model (LLM). Model ini dirancang untuk menghasilkan pola yang masuk akal berdasarkan probabilitas statistik, bukan menghasilkan angka acak murni. Akibatnya, password terlihat kompleks tetapi memiliki entropi rendah.
Dalam keamanan siber, kekuatan password ditentukan oleh tingkat keacakan atau entropi, bukan sekadar kombinasi simbol dan huruf besar-kecil, demikian dikutip detikINET dari Techspot, Minggu (22/2/2026).
Irregular menegaskan pengguna dan developer sebaiknya tidak mengandalkan LLM untuk membuat password. Menurut mereka, kelemahan ini bersifat mendasar dan tidak bisa diperbaiki hanya dengan pengaturan prompt atau parameter model.
Temuan ini menjadi pengingat bahwa AI mungkin terdengar meyakinkan, tetapi tidak selalu aman untuk kebutuhan krusial seperti keamanan akun digital.
(asj/fay)
