Anthropic 不敢公開的模型能找出上千漏洞，這 15 條數字安全清單建議收藏

作者： Ole Lehmann

翻譯： 深潮 TechFlow

深潮導讀： Anthropic 發布了最新前沿模型 Claude Mythos Preview，這個模型在所有主流作業系統和瀏覽器中找到了數千個零日漏洞，強到 Anthropic 自己都不敢公開發布。壞消息是，類似能力的模型遲早會落入攻擊者手中。OpenAI 聯合創始人 Karpathy 去年整理過一份數位安全清單，現在是時候認真對待了。

事情是這樣的：Anthropic 昨天宣布了 Claude Mythos Preview。

這個模型有多強？它在所有主流作業系統和瀏覽器中發現了數千個零日漏洞。強到 Anthropic 自己都不敢向公眾發布，怕造成不可控的破壞。

這個模型目前還沒有公開，但一旦壞人拿到了同等能力的模型（這只是時間問題），你將面對的網路攻擊會進階到大多數人根本意識不到自己已經被入侵了。

這就像是軟體世界的疫情。

所以你的數位安全防線，現在就得補上。

Karpathy 的數位安全指南

去年，OpenAI 聯合創始人 Karpathy 整理了一份數位安全指南，涵蓋 AI 時代個人安全防護的基本面。

這是我見過的最好的入門清單之一。以下是你現在就該做的 15 件事：

1. 用密碼管理器（比如 1Password）

給你的每一個帳戶生成一組獨立的隨機密碼。

如果某個服務被攻破，攻擊者會拿著同一套帳戶密碼去撞其他所有平台。密碼管理器直接消滅了這個風險，而且還能自動填充，實際上比重複使用密碼還快。

2. 配硬體安全金鑰（比如 YubiKey）

這是個物理裝置，作為你的第二驗證因子。攻擊者必須實際拿到這個東西，才能登入你的帳戶。

手機簡訊驗證其實很不安全，SIM 卡劫持（有人打電話給電信商冒充你，把你的號碼轉到他們的手機上）操作起來沒你想的那麼難。

買 2 到 3 個 YubiKey，分別放在不同的地方，避免丟了一個就被鎖在外面。

3. 所有裝置開啟生物辨識

Face ID、指紋，你的裝置支援什麼就開什麼。密碼管理器、銀行 App、所有敏感應用都要設上。

這是第三層認證：你是誰。沒有人能從資料庫裡偷走你的臉。

4. 安全問題當作密碼處理

「你媽媽的娘家姓是什麼？」這種問題在 Google 上 10 秒就能查到。

給安全問題生成隨機答案，和密碼一起存放在密碼管理器裡。永遠不要如實回答安全問題。

5. 開啟磁碟加密

Mac 上叫 FileVault，Windows 上叫 BitLocker。

如果你的筆記型電腦被偷了，磁碟加密意味著小偷拿到的是一塊磚頭，而不是你所有的檔案。2 分鐘就能啟用，背景靜默運行。

6. 減少智慧型家居裝置

每一個「智慧」裝置，本質上都是一台連網電腦，還帶著麥克風坐在你家裡。

它們持續收集資料、不斷把資料回傳到伺服器，還常常被入侵。你從亞馬遜買的那個 Wi-Fi 空氣品質偵測器，不需要知道你的精確 GPS 座標。

連網裝置越少，你的網路入口就越少。

7. 換 Signal 作為日常通訊

Signal 對訊息進行端對端加密，沒有人（包括 Signal 自己、你的電信業者、任何攔截資料的人）能讀取你的訊息。

一般簡訊甚至 iMessage 都會儲存中繼資料（誰跟誰聊了、什麼時候聊了、聊了多久），有權限的人都能分析。

建議開啟訊息自動消失功能，90 天是一個不錯的預設值，這樣舊對話不會變成隱患。

8. 用注重隱私的瀏覽器（比如 Brave）

Brave 以 Chromium 為基礎建構，所有 Chrome 擴充套件都能用，體驗幾乎一樣。

9. 預設搜尋引擎換成 Brave Search

原因是它有自己的獨立索引，不像 DuckDuckGo 本質上是 Bing 的外皮。

如果某個搜尋結果不太行，加上「!g」就能把那條查詢重新導向到 Google。

每月 3 美元的高級版。花錢做客戶，總比免費當產品好。

10. 用虛擬信用卡（比如 Privacy.com）

給每個商家生成一張新的卡號。你可以為每張卡設定消費上限，帳單上的姓名和地址隨便填。

如果商家被攻破，攻擊者拿到的只是一次性卡號，而不是你真實的金融身分。這也意味著沒有商家知道你的真實住址。

11. 搞一個虛擬收件地址

Virtual Post Mail 這類服務幫你接收實體郵件、掃描後讓你線上查看。你自己決定哪些要碎掉、哪些要轉寄。

這樣你就不用在每次結帳時把真實家庭住址交給各種網路商店了。

12. 別點電子郵件裡的連結

電子郵件地址偽造起來極其簡單。有了 AI，釣魚郵件現在和真郵件看起來一模一樣。

與其點連結，不如自己手動打開網站登入。

另外也建議關掉郵件設定裡的自動載入圖片，因為嵌入的圖片會被用來追蹤你是否打開了郵件。

13. 選擇性使用 VPN（比如 Mullvad）

VPN 會隱藏你的 IP 位址（用來標識你的裝置與位置的唯一編號），讓你連線的服務看不到你是誰。

不需要 24 小時開著，但在公共 Wi-Fi 或是存取不太信任的服務時打開。

14. 設定 DNS 等級的廣告攔截（比如 NextDNS）

DNS 基本上就是你的裝置用來查找網站的電話簿，在這個層級攔截意味著廣告和追蹤器在載入之前就被擋掉了。

對你裝置上的所有 App 和瀏覽器都有效。

15. 安裝一個網路監控工具（Mac 上推薦 Little Snitch）

它會顯示哪些 App 在跟你的電腦進行通訊、傳了多少資料、傳去了哪裡。

任何回傳資料超出預期的 App 都很可疑，大概率該卸載。

目前 Mythos 只掌握在 Project Glasswing 的防禦方手中（Anthropic、Apple、Google 等）。

但攻擊者很快就會拿到 Mythos 等級的模型，大約 6 個月內，可能更快。所以現在強化安全是緊急的事。

現在花 15 分鐘設定，省掉以後一堆麻煩。