如何进行数字资产的自主托管？OpenAI 联合创始人的 15 步检查清单

原标题：在“克劳德·迈索斯时代”如何保障数字安全（使用卡帕西的15步检查清单）
原文作者：奥莱·莱曼
翻译：佩吉，BlockBeats

编者按：随着人工智能能力逐渐接近“通用工具”的界限，网络安全的内涵也在发生变化。这已不再仅仅是针对黑客、病毒或数据泄露的防御问题，而是正在演变为一场“不对称能力”的较量。

随着Anthropic推出具备顶级专家级漏洞发现能力的Claude Mythos，网络攻击正进入一个更加隐蔽且自动化的新阶段，而个人安全也正从一种“期权”转变为一种“必需”。一方面，攻击门槛正在降低；另一方面，攻击效率正在呈指数级增长。这意味着“被动安全”将越来越难以维系。

在此背景下，OpenAI联合创始人安德烈·卡帕西（Andrej Karpathy）提出的“数字卫生”检查清单提供了一条可行的应对路径。在人工智能时代，安全不再仅仅是“事后的补救措施”，而是“日常行为”的一部分。身份验证、权限隔离、信息最小化以及行为矫正。这看似微不足道的15个步骤，实际上重建了一道普通用户可以掌控的安全边界。

真正的风险不在于你是否会成为攻击的目标，而在于当攻击发生时，你是否毫无防备。

以下是原文：

可以肯定的是，在网络安全方面，你再也不能掉以轻心了。

Anthropic 昨日发布的里程碑式版本 Mythos 标志着一个无法回头的转折点。

这项技术目前尚未公开，但一旦落入恶意攻击者之手（这几乎是不可避免的）……你将面临一场极其高明的网络攻击，大多数人甚至在意识到自己已遭入侵之前，就已为时已晚。

这就像是“软件界的 COVID-19”。

正因如此，从现在起，您的网络安全必须万无一失。

卡帕西的数字卫生指南

去年，安德烈·卡帕西（@karpathy，OpenAI联合创始人）编写了一份《数字卫生指南》，系统地概述了在人工智能时代保护自身的安全基础方法。

这是我读过的最有价值的入门指南之一。

在这个充满不确定性的时代，您应采取以下所有安全措施：

1.使用密码管理器（例如 1Password）

为您的每个账户生成一个唯一的随机密码。一旦某项服务遭到入侵，攻击者通常会利用这些账户密码进行凭证填充攻击。密码管理器可以彻底消除这一风险，甚至还能自动填写，因此实际上比重复使用密码更快捷。

2.设置硬件安全密钥（例如 YubiKey）

这是一款作为登录第二重验证的物理设备。攻击者必须“持有实体密钥”才能访问您的账户。相比之下，短信验证码很容易通过SIM卡兑换攻击被盗（即有人冒充您向运营商申请将您的号码转账到他们的手机上）。

建议购买 2–3 个 YubiKey，并将它们分别存放在不同的地方，以免其中一个丢失时导致无法登录账户。

3.实现无处不在的生物识别技术

例如，在密码管理器、银行应用和关键应用中，应启用 Face ID、指纹识别等功能。这是第三层身份验证：“你”本人。没有人能从数据库里盗取你的脸。

4.将安全问题视为密码

像“你母亲的娘家姓是什么？”这样的问题，在网上10秒就能查到。你应该生成一个随机答案，并将其保存在密码管理器中。切勿提供真实信息。

5.开启磁盘加密

在 Mac 上，它被称为 FileVault；在 Windows 上，它被称为 BitLocker。如果您的电脑被盗，加密功能能确保窃贼得到的只是一台“砖头”，而不是您的所有数据。启用此功能只需2分钟，之后它就会在后台自动运行。

6.减少智能家居设备

每台“智能设备”本质上都是一台配备麦克风的联网计算机。它们持续收集数据，频繁连接互联网，且经常遭到入侵。您的智能家居空气质量监测仪无需知道您的确切位置。设备越少，攻击面就越小。

7.使用 Signal 进行沟通

Signal 提供端到端加密，可防止任何人（包括平台本身、您的运营商以及窃听者）阅读内容。普通短信甚至iMessage都会保留元数据（联系人、时间、联系频率）。启用“消息自动消失”功能（例如 90 天），以避免因保留聊天记录而带来的风险。

8.使用注重隐私的浏览器（例如 Brave）

基于Chromium内核，兼容Chrome扩展程序，提供几乎完全相同的使用体验。

9.将默认搜索引擎切换为 Brave 搜索

它拥有自己的索引（与依赖必应的DuckDuckGo不同）。如果搜索结果不理想，您可以添加“!g”来切换到谷歌。付费版每月约3美元，物有所值——你将成为一名客户，而非“被卖出的产品”。

10.使用虚拟信用卡（例如 Privacy.com）

为每家商家生成一个唯一的卡号，并设定消费限额。你甚至可以提供随机的姓名和地址。如果商家信息遭到泄露，暴露的仅是一次性卡号，而非您的真实财务信息。

11.使用虚拟邮寄地址

像“虚拟邮政”这样的服务会代收您的实体邮件，扫描内容，并让您在线查看。

您可以决定哪些项目要删除，哪些要转发。这样一来，您就不必在每次网购结账时，都向各种陌生的商家提供您的真实家庭地址。

12.请勿点击邮件中的链接

邮箱地址极易被幌骗交易。借助人工智能，如今的钓鱼邮件几乎与真实邮件毫无二致。请不要点击链接，而是手动输入网站地址并登录。

同时，请关闭邮箱/邮件中的自动加载图片功能，因为嵌入的图片通常会被用来追踪您是否打开了邮件。

13.有选择地使用VPN（例如Mullvad）

VPN（虚拟专用网络）可以隐藏您的 IP 地址（即您设备和位置的唯一标识符），使其不被您访问的服务所识别。它不需要一直开启，但在使用公共Wi-Fi或访问可信度较低的服务时，请务必开启它。

14.设置 DNS 级别的广告拦截（例如 NextDNS）

可以将DNS视为设备用于查询网站的“电话簿”。在此级别进行拦截，意味着广告和追踪器在加载之前就被阻止了。

而且它适用于您设备上的所有应用和浏览器。

15.安装网络监控工具（例如 Little Snitch）

它会显示您电脑上哪些应用程序正在连接互联网、它们发送了多少数据，以及这些数据流向何处。任何“向服务器发送数据”频率异常高的应用程序都应引起警惕，并最好予以卸载。

目前，Mythos 仍完全掌握在“玻璃翼计划”（Project Glasswing）的防守方手中（例如 Anthropic、苹果、谷歌等）。然而，具备类似功能的模型很快就会落入恶意行为者的手中（可能在6个月内，甚至更早）。

正因如此，现在加强安全防护至关重要。花15分钟完成这些设置，有助于您避免日后出现一系列严重问题。

请注意安全，祝您一切顺利。

[原文链接]