A utilização de modelos de linguagem de grande escala (LLM) para simplificar tarefas quotidianas tornou-se norma no sector tecnológico. No entanto, uma investigação recente faz um alerta para todos os utilizadores e programadores: as passwords geradas por ferramentas como o ChatGPT, Claude ou Gemini são muito menos seguras do que aparentam. Embora sequências como ‘G7$kL9#mQ2&xP4!w’ pareçam ser o pináculo da aleatoriedade, a verdade é que escondem padrões previsíveis que os piratas informáticos podem explorar com facilidade.
O mito da aleatoriedade
O problema central reside na arquitectura fundamental da inteligência artificial generativa. Para que uma palavra-passe seja verdadeiramente segura, a sua criação deve assentar num gerador de números pseudo-aleatórios criptograficamente seguro (CSPRNG). Este sistema garante que cada caractere tem uma probabilidade idêntica de ser escolhido, sem qualquer ligação ao caractere anterior.
Pelo contrário, os LLM são desenhados para prever o próximo “token” ou elemento mais provável com base num contexto prévio. Esta natureza preditiva é, por definição, incompatível com a aleatoriedade pura. Ao pedir a uma IA para criar uma chave de segurança, o modelo não está a realizar um sorteio cego, mas sim a construir uma sequência que “parece” uma palavra-passe aos olhos humanos, seguindo padrões estatísticos internos que a tornam vulnerável.
Padrões repetitivos e previsíveis
Analistas do grupo Irregular realizaram testes exaustivos com as versões mais recentes dos principais modelos do mercado e os resultados são preocupantes. No caso do Claude Opus 4.6, em 50 tentativas independentes, o modelo gerou apenas 30 palavras-passe únicas. Mais grave ainda: uma sequência específica foi repetida 18 vezes, o que representa uma probabilidade de 36% de repetição.
Outros modelos apresentam vícios semelhantes. O GPT-5.2 demonstrou uma tendência invulgar para iniciar quase todas as chaves com a letra “v”, enquanto o Gemini 3 Flash revelou uma preferência sistemática pela letra “K” ou “k”. Para um atacante que conheça estas tendências, o esforço necessário para quebrar uma conta reduz-se de forma drástica, uma vez que o universo de possibilidades a testar é muito menor do que o esperado.
Entropia em queda livre
A força de uma palavra-passe mede-se através da entropia de Shannon. Uma chave de 16 caracteres bem construída deve oferecer cerca de 98 bits de entropia, o que torna um ataque de força bruta impossível de concretizar em tempo útil. Contudo, as chaves geradas pelo Claude Opus apresentaram apenas 27 bits de entropia. O cenário é ainda pior no GPT-5.2, onde chaves de 20 caracteres registaram apenas 20 bits de entropia.
Na prática, isto significa que uma palavra-passe que deveria demorar séculos a ser descoberta pode, na verdade, ser quebrada em poucos segundos num computador doméstico comum. Nem mesmo o ajuste da “temperatura” do modelo — um parâmetro que controla a criatividade da resposta — resolve a questão. Ao elevar a temperatura ao máximo, os padrões repetitivos mantêm-se; ao reduzi-la para o mínimo, a IA passa a entregar exactamente a mesma palavra-passe em todas as interacções.
Riscos no desenvolvimento de software
O perigo estende-se ao mundo da programação profissional. Agentes de código como o Claude Code ou o Gemini-CLI estão a inserir estas credenciais fracas em sistemas de produção, muitas vezes sem que o programador o solicite explicitamente. No ambiente do chamado “vibe-coding”, onde o código é gerado e implementado de forma acelerada e sem revisões minuciosas, estas vulnerabilidades acabam por chegar aos servidores finais.
Para garantir a protecção dos dados, a recomendação dos especialistas é clara: deve-se evitar o uso de IA para criar segredos. Em vez disso, os utilizadores devem optar por gestores de passwords dedicados e os programadores devem configurar os seus agentes para utilizar métodos seguros, como o openssl rand ou o /dev/random. A auditoria de código gerado por IA é agora, mais do que nunca, uma etapa obrigatória na cibersegurança moderna.
