隨著Anthropic 推出的Claude Mythos 展現出接近頂尖專家的漏洞發現能力,網路攻擊正進入更隱密且自動化的新階段,個人安全也從「可選項」變為「必需品」。一方面,攻擊門檻正在被壓低;另一方面,攻擊效率卻在指數級提升。這意味著「被動安全」將越來越難以為繼。
本文源自 Andrej Karpathy 的《Digital Hygiene》原文,由動區動趨翻譯、編輯、整理報導。
(前情提要:川普要全面封殺Anthropic!拒絕改Claude「殺人限制」,對頭OpenAI竟破天荒聲援)
(背景補充:鞭打 Claude code 加速的 badclaude 開源專案,被 Anthropic 寄侵權通知信了)
可以確定的是:在網路安全這件事上,你已經沒有再偷懶的空間了。
Anthropic 昨天發布的具有里程碑意義的Mythos,標誌著一個無法回頭的轉折點。
這項技術目前還沒有公開,但一旦落入惡意行為者之手(而這幾乎是不可避免的)……你將面對的是一種極其先進的網路攻擊,大多數人甚至在意識到自己已經被入侵之前,就已經為時已晚。
這就像是軟體世界裡的「新冠病毒」。
也因為如此,從現在開始,你的網路安全必須做到滴水不漏。
Karpathy 的數位衛生指南
去年,Andrej Karpathy(@karpathy,OpenAI 聯合創始人)整理了一份「數位衛生指南」,系統梳理了在AI 時代保護自身安全的基礎方法。
這是我見過最值得作為入門的指南之一。
以下是在這個充滿不確定性的時代,你應該採取的全部安全措施:
1.使用密碼管理器(例如:1Password)
為你擁有的每一個帳戶產生獨一無二的隨機密碼。一旦某個服務被攻破,攻擊者往往會拿這些帳號密碼去「撞庫」。密碼管理器可以徹底杜絕這個風險,而且還能自動填充,實際用起來甚至比重複使用密碼更快。
2、設定硬體安全金鑰(例如:YubiKey)
這是一種實體裝置,作為登入的第二重驗證。攻擊者必須「拿到實體物品」才能登入你的帳號。相較之下,手機驗證碼很容易被SIM 換卡攻擊竊取(別人冒充你聯絡電信商,把你的號碼轉到他們手機上)。
建議購買2–3 個YubiKey,分開放置,避免遺失後被鎖在帳戶外。
3.全面開啟生物識別
例如Face ID、指紋辨識等,在密碼管理器、銀行App、重要應用程式中全部啟用。這是第三層驗證:你「本身」。沒有人可以從資料庫偷走你的臉。
4.把安全問題當作密碼對待
像是「你母親的姓氏是什麼?」這種問題,10 秒就能在網路上查到。應該產生隨機答案,並存入密碼管理器。絕對不要填寫真實資料。
5.開啟磁碟加密
在Mac 上叫FileVault,在Windows 上叫BitLocker。如果電腦被偷,加密能讓對方拿到的只是「磚頭」,而不是你所有資料。開啟只需2 分鐘,後臺自動執行。
6.減少智慧家庭裝置
每一個「智慧型裝置」本質上都是連網電腦,還附麥克風。它們持續收集資料、頻繁聯網,而且經常被攻破。你家裡那個連網空氣偵測器,並不需要知道你的精確定位。裝置越少,攻擊入口越少。
7.使用Signal 進行通訊
Signal 提供端對端加密,任何人(包括平台本身、電信業者、監聽器)都無法讀取內容。一般簡訊甚至iMessage 都會保留元資料(誰、何時、聯絡頻率)。開啟「自動銷毀訊息」(例如90 天),避免歷史記錄成為風險。
8.使用注重隱私的瀏覽器(例如:Brave)
基於Chromium,相容於Chrome 外掛,使用體驗幾乎一致。
9.將預設搜尋引擎切換為Brave Search
它擁有獨立索引(不同於依賴Bing 的DuckDuckGo)。如果某次搜尋結果不好,可以加「!g」跳到Google。付費版約每月3 美元,值得—你成為客戶,而不是「被賣的產品」。
10.使用虛擬信用卡(例如:Privacy.com)
為每個商家產生獨立卡號,並設定消費限額。甚至可以填寫隨機的姓名和地址。一旦商家被攻破,洩漏的只是一次性卡號,而不是你的真實金融身分。
11. 使用虛擬郵寄地址
像Virtual Post Mail 這樣的服務,會代收你的實體郵件、掃描內容,並讓你線上上檢視。
你可以自行決定哪些需要銷毀,哪些需要轉寄。這樣一來,就不必在每一次網購結帳時,把真實家庭地址交給各種陌生商家。
12. 不要點選郵件中的連結
郵箱地址極為容易偽造。在AI 的加持下,如今的釣魚郵件幾乎與真實郵件難以區分。與其點選連結,不如手動輸入網址,自行登入對應網站。
同時,關閉信箱中的自動圖片載入功能,因為嵌入圖片常被用來追蹤你是否開啟郵件。
13. 選擇性地使用VPN(例如:Mullvad)
VPN(虛擬私人網路)可以隱藏你的IP 位址(即標識你裝置和位置的唯一編號)。不需要全天開啟,但在使用公共Wi-Fi 或存取不太信任的服務時,請務必開啟。
14. 設定DNS 層級的廣告攔截(例如:NextDNS)
DNS 可以理解為裝置用來「尋找網站」的電話簿。在這一層進行攔截,意味著廣告和追蹤器在載入之前就被阻斷。
而且對裝置上的所有應用和瀏覽器都有效。
15. 安裝網路監控工具(例如:Little Snitch)
它可以顯示你的電腦上有哪些應用程式正在連網、傳送了多少資料、以及資料流向哪裡。任何「回傳資料頻率異常高」的應用都值得警惕,很可能應該直接解除安裝。
目前,Mythos 仍只掌握在Project Glasswing 的防禦方手中(如Anthropic、Apple、Google 等)。但類似能力的模式很快就會落入惡意行為者手中(可能不到6 個月,甚至更快)。
這也是為什麼,現在就必須盡快補強你的安全防線。現在花15 分鐘完成這些設定,可以幫你避免未來一連串的嚴重問題。
注意安全,祝你一切順利。
📍相關報導📍
華爾街日報爆料:川普斬首伊朗哈米尼靠 Claude AI 定位,OpenAI 全面接管五角大廈系統
