Модель, которую Anthropic не осмеливается раскрывать, может обнаружить тысячи уязвимостей. Эти 15 пунктов списка мер по цифровой безопасности рекомендуется сохранить.

Автор: Ole Lehmann

Перевод: Deep Tide TechFlow

Deep Tide поясняет: Anthropic выпустила новейшую передовую модель Claude Mythos Preview. Эта модель нашла тысячи уязвимостей нулевого дня во всех основных операционных системах и браузерах — настолько, что даже сама Anthropic не осмелилась публично выпустить её. Плохая новость в том, что модели с подобными возможностями рано или поздно окажутся в руках атакующих. В прошлом году сооснователь OpenAI Карпати составил цифровой чек-лист по безопасности — пришло время отнестись к этому всерьёз.

Дело обстоит так: Anthropic вчера объявила о Claude Mythos Preview.

Насколько он силён? Он выявил тысячи уязвимостей нулевого дня во всех основных операционных системах и браузерах. Настолько, что даже Anthropic не решается представить это публике — боится неконтролируемого ущерба.

Модель пока не выпущена публично, но как только плохие парни получат модель с сопоставимыми возможностями (это лишь вопрос времени), вы столкнётесь с сетевыми атаками, которые будут настолько продвинутыми, что большинство людей даже не поймёт, что их уже взломали.

Это похоже на эпидемию в мире ПО.

Так что ваша цифровая линия обороны сейчас должна быть усилена.

Цифровое руководство по безопасности Карпати

В прошлом году сооснователь OpenAI Карпати составил руководство по цифровой безопасности, охватывающее основы личной защиты в эпоху ИИ.

Это один из лучших вводных списков, которые я когда-либо видел. Вот 15 вещей, которые стоит сделать прямо сейчас:

1. Используйте менеджер паролей (например, 1Password)

Сгенерируйте для каждого вашего аккаунта отдельный случайный пароль.

Если какой-то сервис будет взломан, атакующий возьмёт ту же связку учётных данных и попытается проникнуть на все остальные платформы. Менеджер паролей полностью устраняет этот риск — и ещё умеет автоматически заполнять, то есть на практике это даже быстрее, чем повторное использование паролей.

2. Подключите аппаратные ключи безопасности (например, YubiKey)

Это физическое устройство — в качестве вашего второго фактора аутентификации. Злоумышленнику нужно реально заполучить этот предмет, чтобы войти в ваш аккаунт.

СМС-коды сами по себе не так безопасны: перехват SIM (когда кто-то звонит оператору и выдаёт себя за вас, чтобы перевести ваш номер на их телефон) сделать не так уж сложно, как вам кажется.

Купите 2–3 YubiKey и храните их в разных местах, чтобы при потере одного вы не оказались заблокированы снаружи.

3. Включите биометрическую идентификацию на всех устройствах

Face ID, отпечатки пальцев — включайте всё, что поддерживает ваше устройство. Менеджер паролей, банковские приложения, все чувствительные приложения — всё с этим.

Это третий уровень аутентификации: кто вы. Никто не сможет украсть у вас «лицо» из базы данных.

4. Обрабатывайте секретные вопросы как пароли

«Какова девичья фамилия вашей мамы?» — такие вопросы за 10 секунд находятся в Google.

Сгенерируйте для секретных вопросов случайные ответы и храните их вместе с паролями в менеджере паролей. Никогда не отвечайте на секретные вопросы правдиво.

5. Включите шифрование диска

На Mac это FileVault, на Windows — BitLocker.

Если ваш ноутбук украдут, дисковое шифрование означает, что вор получит кирпич, а не все ваши файлы. Это занимает 2 минуты, а работа в фоне выполняется незаметно.

6. Сократите количество устройств «умного дома»

Каждое «умное» устройство по сути — это подключённый к сети компьютер с микрофоном, стоящий у вас дома.

Они постоянно собирают данные, непрерывно отправляют их на серверы и их к тому же часто взламывают. Тот Wi‑Fi датчик качества воздуха, который вы купили у Amazon, не требует знать ваши точные GPS-координаты.

Чем меньше подключённых устройств, тем меньше у вашей сети точек входа.

7. Используйте Signal для повседневной коммуникации

Signal шифрует сообщения end-to-end; никто (включая Signal самого, вашего оператора и любых людей, перехватывающих данные) не сможет прочитать ваши сообщения.

Обычные SMS, а также iMessage хранят метаданные (кто с кем переписывается, когда и как долго), и у имеющих доступ людей есть возможность анализировать.

Рекомендуется включить функцию автоматического исчезновения сообщений: 90 дней — хороший вариант по умолчанию, чтобы старые диалоги не превращались в угрозу.

8. Используйте браузер с упором на приватность (например, Brave)

Brave построен на Chromium, все расширения для Chrome подойдут, а впечатления почти те же.

9. Замените поисковую систему по умолчанию на Brave Search

Причина в том, что у неё есть собственный независимый индекс — в отличие от DuckDuckGo, который по сути является оболочкой Bing.

Если какой-то результат поиска не слишком хорош, добавьте «!g», чтобы перенаправить этот запрос в Google.

Платный премиум за 3 доллара в месяц. Платить за клиента лучше, чем бесплатно быть продуктом.

10. Используйте виртуальные кредитные карты (например, Privacy.com)

Для каждого продавца создавайте новую карточку и новый номер. Каждой карте можно задать лимит расходов, а имя в выписке и адрес можно указать как угодно.

Если продавец будет взломан, атакующий получит только одноразовый номер карты, а не вашу реальную финансовую личность. Это также означает, что продавцу не будет известен ваш реальный адрес проживания.

11. Организуйте виртуальный почтовый адрес

Сервисы вроде Virtual Post Mail помогают вам принимать физическую почту, а после сканирования — давать возможность смотреть её онлайн. Вы сами решаете, какие письма нужно «разрушить», а какие — переслать.

Так вам не придётся каждый раз при оформлении заказа передавать реальный домашний адрес в разные интернет-магазины.

12. Не нажимайте на ссылки в письмах

Подделать адреса электронной почты крайне просто. С появлением ИИ фишинговые письма теперь выглядят точно так же, как настоящие.

Вместо того чтобы нажимать на ссылки, лучше вручную открывайте сайт и входите в аккаунт самостоятельно.

Также рекомендуется отключить автоматическую загрузку изображений в настройках почты: встраиваемые изображения используются, чтобы отслеживать, открыли ли вы письмо.

13. Используйте VPN выборочно (например, Mullvad)

VPN скрывает ваш IP-адрес (уникальный номер, идентифицирующий ваше устройство и местоположение), чтобы подключаемые вами сервисы не видели, кто вы.

Не нужно включать его круглосуточно, но включайте, когда вы находитесь в публичном Wi‑Fi или обращаетесь к сервисам, которым вы не слишком доверяете.

14. Настройте блокировку рекламы на уровне DNS (например, NextDNS)

DNS по сути — это телефонная книга, с помощью которой ваше устройство находит сайты. На этом уровне блокировать означает уничтожать рекламу и трекеры ещё до того, как они загрузятся.

Работает для всех App и браузеров на вашем устройстве.

15. Установите инструмент сетевого мониторинга (на Mac рекомендую Little Snitch)

Он покажет, какие App на вашем компьютере осуществляют сетевое взаимодействие, сколько данных отправляют и куда отправляют.

Любые App, отправляющие данные сверх ожидаемого, подозрительны — с высокой вероятностью их стоит удалить.

На данный момент Mythos находится только у защитной стороны Project Glasswing (Anthropic, Apple, Google и т. п.).

Но атакующие очень скоро получат модели уровня Mythos — примерно в течение 6 месяцев, возможно, быстрее. Поэтому сейчас укрепление безопасности — срочная задача.

Потратьте 15 минут на настройку сейчас — и избавитесь от кучи проблем потом.