作者： Ole Lehmann

编译： 深潮 TechFlow

深潮导读： Anthropic 发布了最新前沿模型 Claude Mythos Preview，这个模型在所有主流操作系统和浏览器中找到了数千个零日漏洞，强到 Anthropic 自己都不敢公开发布。坏消息是，类似能力的模型迟早会落入攻击者手中。OpenAI 联合创始人 Karpathy 去年整理过一份数字安全清单，现在是时候认真对待了。

事情是这样的：Anthropic 昨天宣布了 Claude Mythos Preview。

这个模型有多强？它在所有主流操作系统和浏览器中发现了数千个零日漏洞。强到 Anthropic 自己都不敢向公众发布，怕造成不可控的破坏。

这个模型目前还没有公开，但一旦坏人拿到了同等能力的模型（这只是时间问题），你将面对的网络攻击会先进到大多数人根本意识不到自己已经被入侵了。

这就像是软件世界的疫情。

所以你的数字安全防线，现在就得补上。

Karpathy 的数字安全指南

去年，OpenAI 联合创始人 Karpathy 整理了一份数字安全指南，覆盖了 AI 时代个人安全防护的基本面。

这是我见过的最好的入门清单之一。以下是你现在就该做的 15 件事：

1. 用密码管理器（比如 1Password）

给你的每一个账户生成一个独立的随机密码。

如果某个服务被攻破，攻击者会拿着同一套账号密码去撞其他所有平台。密码管理器直接消灭了这个风险，而且还能自动填充，实际上比重复使用密码还快。

2. 配硬件安全密钥（比如 YubiKey）

这是一个物理设备，作为你的第二验证因子。攻击者必须实际拿到这个东西才能登录你的账户。

手机验证码其实很不安全，SIM 卡劫持（有人打电话给运营商冒充你，把你的号码转到他们的手机上）操作起来没你想的那么难。

买 2 到 3 个 YubiKey，分别放在不同的地方，防止丢了一个就被锁在外面。

3. 所有设备开启生物识别

Face ID、指纹，你的设备支持什么就开什么。密码管理器、银行 App、所有敏感应用都设上。

这是第三层认证：你是谁。没人能从数据库里偷走你的脸。

4. 安全问题当密码处理

「你妈妈的娘家姓是什么？」这种问题在 Google 上 10 秒就能查到。

给安全问题生成随机答案，和密码一起存在密码管理器里。永远不要如实回答安全问题。

5. 打开磁盘加密

Mac 上叫 FileVault，Windows 上叫 BitLocker。

如果你的笔记本被偷了，磁盘加密意味着小偷拿到的是一块板砖，而不是你所有的文件。2 分钟就能开启，后台静默运行。

6. 减少智能家居设备

每一个「智能」设备本质上都是一台联网电脑，带着麦克风坐在你家里。

它们持续收集数据、不断向服务器回传、还经常被黑。你从亚马逊买的那个 Wi-Fi 空气质量检测仪，不需要知道你的精确 GPS 坐标。

联网设备越少，你的网络入口就越少。

7. 换 Signal 做日常通讯

Signal 对消息进行端到端加密，没有人（包括 Signal 自己、你的运营商、任何拦截数据的人）能读取你的消息。

普通短信甚至 iMessage 都会存储元数据（谁跟谁聊了、什么时候聊的、聊了多久），有权限的人都能分析。

建议打开消息自动消失功能，90 天是个不错的默认值，这样旧对话不会变成隐患。

8. 用注重隐私的浏览器（比如 Brave）

Brave 基于 Chromium 构建，所有 Chrome 扩展都能用，体验几乎一样。

9. 默认搜索引擎换成 Brave Search

原因是它有自己的独立索引，不像 DuckDuckGo 本质上是 Bing 的皮肤。

如果某个搜索结果不太行，加个「!g」就能把那条查询重定向到 Google。

每月 3 美元的高级版。花钱做客户，总比免费当产品好。

10. 用虚拟信用卡（比如 Privacy.com）

给每个商家生成一张新卡号。可以给每张卡设消费上限，账单姓名和地址随便填。

如果商家被攻破，攻击者拿到的只是一个一次性卡号，不是你真实的金融身份。这也意味着没有商家知道你的真实住址。

11. 搞一个虚拟收件地址

Virtual Post Mail 这类服务帮你接收实体邮件、扫描后让你在线查看。你自己决定哪些要碎掉、哪些要转寄。

这样你就不用在每次结账时把真实家庭住址交给各种网店了。

12. 别点邮件里的链接

邮件地址伪造起来极其简单。有了 AI，钓鱼邮件现在和真邮件看起来一模一样。

与其点链接，不如自己手动打开网站登录。

另外建议关掉邮件设置里的自动加载图片，因为嵌入的图片会被用来追踪你是否打开了邮件。

13. 选择性使用 VPN（比如 Mullvad）

VPN 会隐藏你的 IP 地址（标识你的设备和位置的唯一编号），让你连接的服务看不到你是谁。

不需要 24 小时开着，但在公共 Wi-Fi 或者访问不太信任的服务时打开。

14. 设置 DNS 级别的广告拦截（比如 NextDNS）

DNS 基本上就是你设备用来查找网站的电话簿，在这个层级拦截意味着广告和追踪器在加载之前就被干掉了。

对你设备上的所有 App 和浏览器都有效。

15. 装一个网络监控工具（Mac 上推荐 Little Snitch）

它会显示你电脑上哪些 App 在通信、发了多少数据、发去了哪里。

任何回传数据超出预期的 App 都可疑，大概率该卸载。

目前 Mythos 只掌握在 Project Glasswing 的防御方手中（Anthropic、Apple、Google 等）。

但攻击者很快就会拿到 Mythos 级别的模型，大概 6 个月内，可能更快。所以现在加固安全是紧急的事。

现在花 15 分钟设置，省掉以后一堆麻烦。