O Bot Deixou uma Impressão Digital: Detecção e Atribuição de Senhas Geradas por LLMs

Pesquisadores da GitGuardian analisaram 8.000 senhas de 40 modelos LLM, provenientes de 11 provedores, e identificaram padrões que permitem determinar qual modelo gerou cada senha. Por exemplo, Claude Opus 4.6 gerou apenas 35% de senhas únicas, enquanto o Llama-3.3-70b-instruct produziu a substring Gx#8dL em 96% de suas saídas. Eles desenvolveram cadeias de Markov para classificar essas senhas. Ao escanear 34 milhões de senhas de commits do GitHub entre novembro de 2025 e março de 2026, foram encontradas 28.000 senhas geradas por LLMs, principalmente da Anthropic, Qwen e Google. Essas senhas fracas apareceram em 1.800 arquivos .env contendo credenciais de banco de dados e chaves de API. Embora ainda não seja difundido, o comportamento existe: pessoas solicitam a LLMs que gerem senhas, e agentes de IA as codificam autonomamente em arquivos Terraform e de configuração.