Mô hình của Anthropic không dám công khai có thể phát hiện hàng nghìn lỗ hổng, danh sách 15 đề xuất về an ninh số này nên được lưu lại

Tác giả: Ole Lehmann

Biên dịch: TechFlow (Sâu Triều)

Lời dẫn của TechFlow: Anthropic đã công bố mô hình tiền bản xem trước Claude Mythos mới nhất. Mô hình này đã tìm thấy hàng nghìn lỗ hổng zero-day trong mọi hệ điều hành và trình duyệt phổ biến, mạnh đến mức chính Anthropic cũng không dám công bố công khai. Tin xấu là: các mô hình có năng lực tương tự rồi sớm muộn cũng sẽ rơi vào tay kẻ tấn công. Đồng sáng lập OpenAI Karpathy năm ngoái đã tổng hợp một danh sách an toàn số; giờ là lúc phải nghiêm túc đối đãi với nó.

Chuyện là thế này: Hôm qua, Anthropic đã công bố Claude Mythos Preview.

Mô hình này mạnh đến mức nào? Nó đã phát hiện hàng nghìn lỗ hổng zero-day trên mọi hệ điều hành và trình duyệt phổ biến. Mạnh đến mức chính Anthropic còn không dám phát hành cho công chúng, sợ gây ra sự phá hoại không thể kiểm soát.

Hiện mô hình này vẫn chưa được công khai, nhưng một khi kẻ xấu có được mô hình có năng lực tương đương (chỉ là vấn đề thời gian), các cuộc tấn công mạng mà bạn phải đối mặt sẽ trở nên tiên tiến đến mức đa số người hoàn toàn không nhận ra rằng mình đã bị xâm nhập.

Nó giống như một dịch bệnh trong thế giới phần mềm.

Vì vậy, hàng rào an toàn kỹ thuật số của bạn, bây giờ phải nhanh chóng được gia cố.

Hướng dẫn an toàn số của Karpathy

Năm ngoái, đồng sáng lập OpenAI Karpathy đã tổng hợp một hướng dẫn an toàn số, bao phủ những điều cơ bản để tự bảo vệ trong kỷ nguyên AI.

Đây là một trong những danh sách khởi đầu tốt nhất mà tôi từng thấy. Dưới đây là 15 việc bạn nên làm ngay bây giờ:

1. Dùng trình quản lý mật khẩu (ví dụ: 1Password)

Tạo cho mỗi tài khoản của bạn một mật khẩu ngẫu nhiên độc lập.

Nếu một dịch vụ bị xâm nhập, kẻ tấn công sẽ mang cùng bộ tài khoản và mật khẩu đó để thử tấn công tất cả các nền tảng khác. Trình quản lý mật khẩu trực tiếp loại bỏ rủi ro này, đồng thời còn có thể tự động điền—thực tế nhanh hơn việc tái sử dụng mật khẩu.

2. Gắn khóa bảo mật phần cứng (ví dụ: YubiKey)

Đây là một thiết bị vật lý, đóng vai trò là lớp xác thực thứ hai của bạn. Kẻ tấn công phải thực sự lấy được thứ này thì mới có thể đăng nhập tài khoản của bạn.

Mã xác thực qua điện thoại thật ra không an toàn. Việc chiếm đoạt SIM (có người gọi cho nhà mạng giả danh bạn, chuyển số của bạn sang điện thoại của họ) làm không khó như bạn tưởng.

Mua 2 đến 3 YubiKey, đặt ở các nơi khác nhau, để phòng trường hợp mất một cái thì bạn không bị khóa bên ngoài.

3. Bật nhận diện sinh trắc học cho tất cả thiết bị

Face ID, vân tay—thiết bị của bạn hỗ trợ gì thì bật cái đó. Trình quản lý mật khẩu, ứng dụng ngân hàng, mọi ứng dụng nhạy cảm đều bật hết.

Đây là xác thực lớp thứ ba: bạn là ai. Không ai có thể đánh cắp khuôn mặt của bạn từ cơ sở dữ liệu.

4. Xử lý câu hỏi bảo mật như mật khẩu

Câu kiểu: “Họ của nhà ngoại (phía mẹ) của bạn là gì?”—chỉ cần tra trên Google là trong 10 giây đã ra.

Tạo câu trả lời ngẫu nhiên cho các câu hỏi bảo mật, và lưu cùng với mật khẩu trong trình quản lý mật khẩu. Tuyệt đối không trả lời đúng sự thật.

5. Bật mã hóa ổ đĩa

Trên Mac gọi là FileVault, trên Windows gọi là BitLocker.

Nếu laptop của bạn bị trộm, mã hóa ổ đĩa có nghĩa là kẻ trộm chỉ có được một cục “gạch” chứ không phải toàn bộ các tệp của bạn. Chỉ mất 2 phút để bật, chạy âm thầm ở chế độ nền.

6. Giảm thiết bị nhà thông minh

Mỗi thiết bị “thông minh” về bản chất đều là một máy tính nối mạng, có kèm micro ngồi trong nhà bạn.

Chúng liên tục thu thập dữ liệu, rồi liên tục gửi về máy chủ, và còn thường xuyên bị hack. Cái thiết bị đo chất lượng không khí Wi‑Fi mà bạn mua từ Amazon—bạn không cần biết tọa độ GPS chính xác của mình.

Thiết bị kết nối mạng càng ít, số “cửa vào” mạng của bạn càng ít.

7. Dùng Signal cho liên lạc hằng ngày

Signal mã hóa đầu-cuối cho tin nhắn, không ai (kể cả Signal chính nó, nhà mạng của bạn, hay bất kỳ ai thu thập dữ liệu chặn được) có thể đọc tin nhắn của bạn.

Tin nhắn SMS thông thường, thậm chí iMessage, sẽ lưu siêu dữ liệu (ai với ai, khi nào thì chat, chat trong bao lâu), và những người có quyền đều có thể phân tích.

Nên bật tính năng tin nhắn tự biến mất; 90 ngày là một giá trị mặc định khá hợp lý, giúp các cuộc trò chuyện cũ không trở thành rủi ro.

8. Dùng trình duyệt chú trọng quyền riêng tư (ví dụ: Brave)

Brave được xây dựng trên Chromium, mọi tiện ích mở rộng của Chrome đều dùng được, trải nghiệm hầu như giống nhau.

9. Đổi công cụ tìm kiếm mặc định sang Brave Search

Lý do là nó có chỉ mục độc lập riêng, không giống DuckDuckGo—về bản chất là lớp giao diện của Bing.

Nếu một kết quả tìm kiếm nào đó không ổn, thêm “!g” là có thể chuyển hướng truy vấn đó sang Google.

Phiên bản cao cấp 3 đô la/tháng. Trả tiền làm khách hàng thì tốt hơn là miễn phí làm sản phẩm.

10. Dùng thẻ tín dụng ảo (ví dụ: Privacy.com)

Tạo một mã thẻ mới cho từng đơn vị bán (merchant). Có thể đặt giới hạn chi tiêu cho mỗi thẻ, tên trên hóa đơn và địa chỉ có thể điền tùy ý.

Nếu merchant bị tấn công, kẻ tấn công chỉ lấy được một mã thẻ dùng một lần—không phải danh tính tài chính thực của bạn. Điều này cũng đồng nghĩa là không có merchant nào biết địa chỉ nhà thực của bạn.

11. Thiết lập một địa chỉ nhận thư ảo

Các dịch vụ như Virtual Post Mail giúp bạn nhận thư thực, sau khi quét xong thì để bạn xem trực tuyến. Bạn tự quyết định cái nào cần bị hủy vụn, cái nào cần chuyển tiếp.

Như vậy bạn sẽ không phải mỗi lần thanh toán lại giao địa chỉ nhà thật cho đủ loại cửa hàng trực tuyến.

12. Đừng bấm vào các liên kết trong email

Việc giả mạo địa chỉ email cực kỳ dễ dàng. Có AI, email lừa đảo (phishing) giờ trông giống hệt email thật.

Thay vì bấm vào liên kết, tốt hơn là tự mở thủ công trang web rồi đăng nhập.

Ngoài ra, cũng nên tắt tính năng tự động tải hình ảnh trong phần cài đặt email, vì các hình ảnh được nhúng có thể được dùng để theo dõi xem bạn có mở email hay không.

13. Dùng VPN có chọn lọc (ví dụ: Mullvad)

VPN sẽ ẩn địa chỉ IP của bạn (mã định danh duy nhất cho thiết bị và vị trí của bạn), khiến các dịch vụ bạn kết nối không thấy được bạn là ai.

Không cần bật 24 giờ mỗi ngày, nhưng hãy bật khi dùng Wi‑Fi công cộng hoặc truy cập các dịch vụ mà bạn không mấy tin tưởng.

14. Thiết lập chặn quảng cáo ở mức DNS (ví dụ: NextDNS)

DNS về cơ bản là “sổ điện thoại” mà thiết bị của bạn dùng để tra cứu các trang web. Ở cấp độ này, chặn nghĩa là quảng cáo và bộ theo dõi sẽ bị loại bỏ trước khi chúng kịp tải.

Áp dụng cho tất cả App và trình duyệt trên thiết bị của bạn.

15. Cài một công cụ giám sát mạng (trên Mac khuyến nghị Little Snitch)

Nó sẽ hiển thị các App nào trên máy tính của bạn đang liên lạc, gửi bao nhiêu dữ liệu, và gửi đi nơi nào.

Bất kỳ App nào gửi dữ liệu quay trở lại vượt quá mong đợi đều đáng ngờ—khả năng cao là nên gỡ bỏ.

Hiện tại, Mythos chỉ nằm trong tay phía phòng thủ của Project Glasswing (Anthropic, Apple, Google, v.v.).

Nhưng kẻ tấn công rồi sẽ sớm có được các mô hình cấp độ Mythos—khoảng 6 tháng, có thể nhanh hơn. Vì vậy, việc gia cố an ninh ngay bây giờ là việc khẩn cấp.

Bây giờ dành 15 phút để thiết lập sẽ giúp tránh cả đống rắc rối sau này.