原文标题：How to stay digitally secure in the Age of Claude Mythos (using Karpathy's 15-step checklist)
原文作者：Ole Lehmann
编译：Peggy，BlockBeats

编者按：当 AI 能力开始逼近「通用工具」的边界，网络安全的含义也在发生变化。它不再只是针对黑客、病毒或数据泄露的防御问题，而正在演变为一场「能力不对称」的博弈。

随着 Anthropic 推出的 Claude Mythos 展现出接近顶级专家的漏洞发现能力，网络攻击正进入更隐蔽且自动化的新阶段，个人安全也从「可选项」变为「必需品」。一方面，攻击门槛正在被压低；另一方面，攻击效率却在指数级提升。这意味着「被动安全」将越来越难以为继。

在这样的背景下，OpenAI 联创 Andrej Karpathy 提出的「数字卫生」清单，提供了一种可操作的应对路径。在 AI 时代，安全不再是「出事之后的补救」，而是「日常行为的一部分」。身份验证、权限隔离、信息最小化与行为习惯的重构。看似琐碎的 15 个步骤，本质上是在重建一个普通用户可以掌控的安全边界。

真正的风险不在于你是否成为攻击目标，而在于当攻击发生时，你是否毫无防备。

以下为原文：

可以确定的是：在网络安全这件事上，你已经没有再偷懒的空间了。

Anthropic 昨天发布的具有里程碑意义的 Mythos，标志着一个无法回头的转折点。

这项技术目前还没有公开，但一旦落入恶意行为者之手（而这几乎是不可避免的）……你将面对的是一种极其先进的网络攻击，大多数人甚至在意识到自己已经被入侵之前，就已经为时已晚。

这就像是软件世界里的「新冠病毒」。

也正因如此，从现在开始，你的网络安全必须做到滴水不漏。

Karpathy 的数字卫生指南

去年，Andrej Karpathy（@karpathy，OpenAI 联合创始人）整理了一份「数字卫生指南」，系统梳理了在 AI 时代保护自身安全的基础方法。

这是我见过最值得作为入门的指南之一。

以下是在这个充满不确定性的时代，你应该采取的全部安全措施：

1、使用密码管理器（例如：1Password）

为你拥有的每一个账户生成独一无二的随机密码。一旦某个服务被攻破，攻击者往往会拿这些账号密码去「撞库」。密码管理器可以彻底杜绝这一风险，而且还能自动填充，实际用起来甚至比重复使用密码更快。

2、配置硬件安全密钥（例如：YubiKey）

这是一种实体设备，作为登录的第二重验证。攻击者必须「拿到实物」才能登录你的账户。相比之下，手机验证码很容易被 SIM 换卡攻击窃取（别人冒充你联系运营商，把你的号码转到他们手机上）。

建议购买 2–3 个 YubiKey，分开放置，避免丢失后被锁在账户外。

3、全面开启生物识别

比如 Face ID、指纹识别等，在密码管理器、银行 App、重要应用中全部启用。这是第三层验证：你「本身」。没有人可以从数据库里偷走你的脸。

4、把安全问题当作密码对待

像「你母亲的姓氏是什么？」这种问题，10 秒就能在网上查到。应该生成随机答案，并存入密码管理器。绝对不要填写真实信息。

5、开启磁盘加密

在 Mac 上叫 FileVault，在 Windows 上叫 BitLocker。如果电脑被偷，加密能让对方拿到的只是「砖头」，而不是你所有数据。开启只需 2 分钟，后台自动运行。

6、减少智能家居设备

每一个「智能设备」本质上都是联网电脑，还带麦克风。它们持续收集数据、频繁联网，而且经常被攻破。你家里那个联网空气检测器，并不需要知道你的精确定位。设备越少，攻击入口越少。

7、使用 Signal 进行通信

Signal 提供端到端加密，任何人（包括平台本身、运营商、监听者）都无法读取内容。普通短信甚至 iMessage 都会保留元数据（谁、何时、联系频率）。开启「自动销毁消息」（例如 90 天），避免历史记录成为风险。

8、使用注重隐私的浏览器（例如：Brave）

基于 Chromium，兼容 Chrome 插件，使用体验几乎一致。

9、将默认搜索引擎切换为 Brave Search

它拥有独立索引（不同于依赖 Bing 的 DuckDuckGo）。如果某次搜索结果不好，可以加「!g」跳转到 Google。付费版约每月 3 美元，值得——你成为客户，而不是「被卖的产品」。

10、使用虚拟信用卡（例如：Privacy.com）

为每个商家生成独立卡号，并设置消费限额。甚至可以填写随机的姓名和地址。一旦商家被攻破，泄露的只是一次性卡号，而不是你的真实金融身份。

11. 使用虚拟邮寄地址

像 Virtual Post Mail 这样的服务，会代收你的实体邮件、扫描内容，并让你在线查看。

你可以自行决定哪些需要销毁，哪些需要转寄。这样一来，就不必在每一次网购结账时，把真实家庭地址交给各种陌生商家。

12. 不要点击邮件中的链接

邮箱地址极其容易伪造。在 AI 的加持下，如今的钓鱼邮件几乎与真实邮件难以区分。与其点击链接，不如手动输入网址，自行登录对应网站。

同时，关闭邮箱中的自动图片加载功能，因为嵌入图片常被用来追踪你是否打开邮件。

13. 有选择地使用 VPN（例如：Mullvad）

VPN（虚拟专用网络）可以向你访问的服务隐藏你的 IP 地址（即标识你设备和位置的唯一编号）。不需要全天开启，但在使用公共 Wi-Fi 或访问不太信任的服务时，一定要开启。

14. 设置 DNS 层级的广告拦截（例如：NextDNS）

DNS 可以理解为设备用来「查找网站」的电话簿。在这一层进行拦截，意味着广告和追踪器在加载之前就被阻断。

而且对设备上的所有应用和浏览器都有效。

15. 安装网络监控工具（例如：Little Snitch）

它可以显示你的电脑上有哪些应用正在联网、发送了多少数据、以及数据流向哪里。任何「回传数据频率异常高」的应用都值得警惕，很可能应该直接卸载。

目前，Mythos 仍只掌握在 Project Glasswing 的防御方手中（如 Anthropic、Apple、Google 等）。但类似能力的模型很快就会落入恶意行为者手中（可能不到 6 个月，甚至更快）。

这也是为什么，现在就必须尽快补强你的安全防线。现在花 15 分钟完成这些设置，可以帮你避免未来一连串的严重问题。

注意安全，祝你一切顺利。

[原文链接]