尽管大型语言模型（LLM）在自然语言理解和代码生成等任务中表现出色，但最新研究发现，它们在破解密码方面能力有限。澳大利亚未来数据思维研究实验室的 Mohammad Abdul Rehman、Syed Imad Ali Shah 等人开展了一项研究，探索 LLM 是否能被用于生成针对特定用户的合理密码，结果表明，当前主流模型在该任务上表现不佳。 研究人员构建了虚构的用户档案，包含姓名、生日和兴趣爱好等信息，并要求三款主流开源 LLM（TinyLLaMA、Falcon-RW-1B 和 Flan-T5）根据这些信息生成可能的密码。评估采用密码破解领域常用指标：Hit@1、Hit@5 和 Hit@10，分别衡量模型将正确密码排在前1、5、10名的准确率。 结果显示，所有模型在 Hit@10 指标上的准确率均未超过1.5%，远低于传统密码破解方法。相比之下，基于规则和组合的攻击技术在类似测试中表现显著更优。 研究进一步分析指出，LLM 在密码生成任务中表现差，主要源于其在关键能力上的缺失：一是难以从训练数据中有效回忆与密码相关的具体实例；二是缺乏将已学密码模式迁移到新场景的推理能力。尽管模型在语言层面表现强大，但在密码这一高度领域化、依赖记忆与模式识别的任务中，仍缺乏必要的领域适应性和记忆能力，尤其在未针对泄露密码数据集进行微调的情况下。 该研究强调，当前 LLM 尚不适合用于密码推断。虽然仅测试了三款模型，但其发现为未来安全研究提供了重要方向。相关成果有助于推动更安全、更隐私保护的密码建模技术发展，提升在线账户防护能力，防止恶意用户通过AI工具非法获取敏感信息。