數位資產如何自保？OpenAI 聯創的 15 步清單

原文標題：如何在克洛德·米索斯時代保持數位安全（使用卡帕斯的 15 步核對清單）
原文作者：Ole Lehmann
編譯：Peggy，BlockBeats

編者按：當 AI 能力開始逼近「通用工具」的邊界時，網路安全的含義也在發生變化。它不再只是針對駭客、病毒或資料外洩的防禦問題，而正在演變為一場「能力不對稱」的遊戲。

隨著 Anthropic 推出的克洛德·米索斯展現出接近頂級專家的漏洞發現能力，網路攻擊正進入更隱蔽且自動化的新階段，個人安全也從「可選項」變為「必需品」。一方面，攻擊門檻正在被壓低；另一方面，攻擊效率卻在指數級提升。這意味著「被動安全」將越來越難以為繼。

在這樣的背景下，OpenAI 聯創 Andrej Karpathy 提出的「數位衛生」清單，提供了一種可操作的應對路徑。在 AI 時代，安全不再是「出事之後的補救」，而是「日常行為的一部分」。身份驗證、權限隔離、資訊最小化與行為習慣的重構。看似瑣碎的 15 個步驟，本質上是在重建一個普通用戶可以掌控的安全邊界。

真正的風險不在於你是否成為攻擊目標，而在於當攻擊發生時，你是否毫無防備。

以下為原文：

可以確定的是：在網路安全這件事情上，你已經沒有再偷懶的空間了。

Anthropic 昨天發布的具有里程碑意義的 Mythos，標誌著一個無法回頭的轉折點。

這項技術目前還沒有公開，但一旦落入惡意行為者之手（而這幾乎是不可避免的）……你將面對的是一種極其先進的網路攻擊，大多數人甚至在意識到自己已經被入侵之前，就已經為時已晚。

這就像是軟體世界裡的「新冠病毒」。

也正因如此，從現在開始，你的網路安全必須做到滴水不漏。

Karpathy 的數位衛生指南

去年，Andrej Karpathy（@karpathy，OpenAI 聯合創始人）整理了一份「數位衛生指南」，系統梳理了在 AI 時代保護自身安全的基礎方法。

這是我見過最值得作為入門的指南之一。

以下是在這個充滿不確定性的時代，你應該採取的全部安全措施：

1、使用密碼管理器（例如：1Password）

為你擁有的每一個帳戶生成獨一無二的隨機密碼。一旦某個服務被攻破，攻擊者往往會拿這些帳號密碼去「撞庫」。密碼管理器可以徹底杜絕這一風險，而且還能自動填充，實際用起來甚至比重複使用密碼更快。

2、配置硬體安全密鑰（例如：YubiKey）

這是一種實體設備，作為登錄的第二重驗證。攻擊者必須「拿到實物」才能登錄你的帳戶。相比之下，手機驗證碼很容易被 SIM 換卡攻擊竊取（別人冒充你聯繫運營商，把你的號碼轉到他們手機上）。

建議購買 2–3 個 YubiKey，分開放置，避免丟失後被鎖在帳戶外。

3、全面開啟生物識別

比如 Face ID、指紋識別等，在密碼管理器、銀行 App、重要應用中全部啟用。這是第三層驗證：你「本身」。沒有人可以從數據庫裡偷走你的臉。

4、把安全問題當作密碼對待

像「你母親的姓氏是什麼？」這種問題，10 秒就能在網上查到。應該生成隨機答案，並存入密碼管理器。絕對不要填寫真實信息。

5、開啟磁碟加密

在 Mac 上叫 FileVault，在 Windows 上叫 BitLocker。如果電腦被竊，加密能讓對方拿到的只是「磚頭」，而不是你所有數據。開啟只需 2 分鐘，後台自動運行。

6. 減少智能家居設備

每一個「智能設備」本質上都是連網電腦，還帶麥克風。它們持續收集數據、頻繁連網，而且經常被攻破。你家裡那個連網空氣檢測器，並不需要知道你的精確位置。設備越少，攻擊入口越少。

7. 使用 Signal 進行通訊

Signal 提供端到端加密，任何人（包括平台本身、運營商、監聽者）都無法讀取內容。普通簡訊甚至 iMessage 都會保留元數據（誰、何時、聯絡頻率）。開啟「自動銷毀訊息」（例如 90 天），避免歷史記錄成為風險。

8. 使用注重隱私的瀏覽器（例如：Brave）

基於 Chromium，兼容 Chrome 擴充功能，使用體驗幾乎一致。

9. 將預設搜尋引擎切換為 Brave Search

它擁有獨立索引（不同於依賴 Bing 的 DuckDuckGo）。如果某次搜索結果不好，可以加「!g」跳轉到 Google。付費版約每月 3 美元，值得——你成為客戶，而不是「被賣的產品」。

10. 使用虛擬信用卡（例如：Privacy.com）

為每個商家生成獨立卡號，並設置消費限額。甚至可以填寫隨機的姓名和地址。一旦商家被攻破，洩露的只是一次性卡號，而不是你的真實金融身份。

11. 使用虛擬郵寄地址

像 Virtual Post Mail 這樣的服務，會代收你的實體郵件、掃描內容，並讓你線上查看。

你可以自行決定哪些需要銷毀，哪些需要轉寄。這樣一來，就不必在每一次網購結帳時，把真實家庭地址交給各種陌生商家。

12. 不要點擊郵件中的連結

郵箱地址極其容易偽造。在 AI 的加持下，如今的釣魚郵件幾乎與真實郵件難以區分。與其點擊連結，不如手動輸入網址，自行登錄對應網站。

同时，關閉郵箱中的自動圖片加載功能，因為嵌入圖片常被用來追蹤你是否開啟郵件。

13. 有選擇地使用 VPN（例如：Mullvad）

VPN（虛擬專用網路）可以向你訪問的服務隱藏你的 IP 位址（即標識你裝置和位置的唯一編號）。不需要全天開啟，但在使用公共 Wi-Fi 或訪問不太信任的服務時，一定要開啟。

14. 設定 DNS 層級的廣告攔截（例如：NextDNS）

DNS 可以理解為裝置用來「查找網站」的電話簿。在這一層進行攔截，意味著廣告和追蹤器在加載之前就被阻擋。

而且對裝置上的所有應用和瀏覽器都有效。

15. 安裝網路監控工具（例如：Little Snitch）

它可以顯示你的電腦上有哪些應用正在聯網、發送了多少資料、以及資料流向哪裡。任何「回傳資料頻率異常高」的應用都值得警惕，很可能應該直接卸載。

目前，Mythos 仍只掌握在 Project Glasswing 的防禦方手中（如 Anthropic、Apple、Google 等）。但類似能力的模型很快就會落入惡意行為者手中（可能不到 6 個月，甚至更快）。

這也是為什麼，現在就必須儘快補強你的安全防線。現在花 15 分鐘完成這些設定，可以幫你避免未來一連串的嚴重問題。

注意安全，祝你一切順利。

[原文連結]