Anthropic 不敢公開的模型能找出上千漏洞，這 15 個數位安全清單建議收藏

作者： Ole Lehmann

编译： 深潮 TechFlow

Anthropic 发布了最新前沿模型 Claude Mythos Preview，这个模型在所有主流操作系统和浏览器中找到了数千个零日漏洞，强到 Anthropic 自己都不敢公开发布。 壞消息是，類似能力的模式遲早會落入攻擊者手中。 OpenAI 聯合創始人 Karpathy 去年整理過一份數位安全清單，現在是時候認真對待了。

事情是这样的：Anthropic 昨天宣布了 Claude Mythos Preview。

這個模型有多強？ 它在所有主流作業系統和瀏覽器中發現了數千個零日漏洞。 強到 Anthropic 自己都不敢向大眾發布，怕造成不可控的破壞。

这个模型目前还没有公开，但一旦坏人拿到了同等能力的模型（这只是时间问题），你将面对的网络攻击会先进到大多数人根本意识不到自己已经被入侵了。

這就像是軟體世界的疫情。

所以你的數位安全防線，現在就得補上。

Karpathy 的数字安全指南

去年，OpenAI 联合创始人 Karpathy 整理了一份数字安全指南，覆盖了 AI 时代个人安全防护的基本面。

這是我見過的最好的入門清單之一。 以下是你现在就该做的 15 件事：

1. 用密码管理器（比如 1Password）

给你的每一个账户生成一个独立的随机密码。

如果某個服務被攻破，攻擊者會拿著同一套帳號密碼去撞其他所有平台。 密碼管理器直接消滅了這個風險，而且還能自動填充，實際上比重複使用密碼還快。

2. 配硬體安全金鑰（如 YubiKey）

這是一個實體設備，作為你的第二個驗證因子。 攻擊者必須實際拿到這個東西才能登入你的帳戶。

手机验证码其实很不安全，SIM 卡劫持（有人打电话给运营商冒充你，把你的号码转到他们的手机上）操作起来没你想的那么难。

買 2 到 3 個 YubiKey，分別放在不同的地方，防止丟了一個就被鎖在外面。

3. 所有裝置開啟生物辨識

Face ID、指紋，你的裝置支援什麼就開什麼。 密碼管理器、銀行 App、所有敏感應用程式都設上。

這是第三層認證：你是誰。 沒人能從資料庫偷走你的臉。

4. 安全问题当密码处理

「你妈妈的娘家姓是什么？」这种问题在 Google 上 10 秒就能查到。

給安全性問題產生隨機答案，和密碼一起存在密碼管理器裡。 永遠不要如實回答安全問題。

5. 開啟磁碟加密

Mac 上叫 FileVault，Windows 上叫 BitLocker。

如果你的笔记本被偷了，磁盘加密意味着小偷拿到的是一块板砖，而不是你所有的文件。 2 分鐘就能開啟，後台靜默運轉。

6. 减少智能家居设备

每一个「智能」设备本质上都是一台联网电脑，带着麦克风坐在你家里。

它們持續收集資料、不斷向伺服器回傳、仍常被駭。 你從亞馬遜買的那個 Wi-Fi 空氣品質偵測儀，不需要知道你的精確 GPS 座標。

連網設備越少，你的網路入口就越少。

7. 换 Signal 做日常通讯

Signal 对消息进行端到端加密，没有人（包括 Signal 自己、你的运营商、任何拦截数据的人）能读取你的消息。

普通短信甚至 iMessage 都会存储元数据（谁跟谁聊了、什么时候聊的、聊了多久），有权限的人都能分析。

建議開啟訊息自動消失功能，90 天是個不錯的預設值，這樣舊對話就不會變成隱憂。

8. 用注重隐私的浏览器（比如 Brave）

Brave 基于 Chromium 构建，所有 Chrome 扩展都能用，体验几乎一样。

9. 默认搜索引擎换成 Brave Search

原因是它有自己的独立索引，不像 DuckDuckGo 本质上是 Bing 的皮肤。

如果某個搜尋結果不太行，加個「!g」就能把那個查詢重新導向到 Google。

每月 3 美元的高級版。 花錢做客戶，總比免費當產品好。

10. 用虛擬信用卡（如 Privacy.com）

為每個商家產生一張新卡號。 可以給每張卡片設消費上限，帳單姓名和地址隨便填入。

如果商家被攻破，攻擊者拿到的只是一個一次性卡號，不是你真實的金融身分。 這也意味著沒有商家知道你的真實住址。

11. 搞一个虚拟收件地址

Virtual Post Mail 这类服务帮你接收实体邮件、扫描后让你在线查看。 你自己決定哪些要碎掉、哪些要轉寄。

這樣你就不用在每次結帳時把真實家庭住址交給各種網店了。

12. 別點郵件裡的連結

郵件地址偽造起來極為簡單。 有了 AI，釣魚郵件現在和真郵件看起來一模一樣。

與其點擊鏈接，不如自己手動開啟網站登入。

另外建議關掉郵件設定裡的自動載入圖片，因為嵌入的圖片會被用來追蹤你是否開啟了郵件。

13. 选择性使用 VPN（比如 Mullvad）

VPN 会隐藏你的 IP 地址（标识你的设备和位置的唯一编号），让你连接的服务看不到你是谁。

不需要 24 小時開著，但在公共 Wi-Fi 或存取不太信任的服務時開啟。

14. 设置 DNS 级别的广告拦截（比如 NextDNS）

DNS 基本上就是你设备用来查找网站的电话簿，在这个层级拦截意味着广告和追踪器在加载之前就被干掉了。

對你裝置上的所有 App 和瀏覽器都有效。

15. 装一个网络监控工具（Mac 上推荐 Little Snitch）

它会显示你电脑上哪些 App 在通信、发了多少数据、发去了哪里。

任何回傳資料超出預期的 App 都可疑，大概率該卸載。

目前 Mythos 只掌握在 Project Glasswing 的防禦方手中（Anthropic、Apple、Google 等）。

但攻擊者很快就會拿到 Mythos 等級的模型，大概 6 個月內，可能更快。 所以現在加固安全是緊急的事。

現在花 15 分鐘設置，省掉以後一堆麻煩。