Lời người biên tập: Khi năng lực AI bắt đầu tiến sát đến ranh giới của "công cụ đa năng", ý nghĩa của an ninh mạng cũng đang thay đổi. Nó không còn là vấn đề phòng thủ trước tin tặc, virus hay rò rỉ dữ liệu nữa, mà đang dần biến thành một cuộc chơi "bất đối xứng về năng lực".

Khi Claude Mythos do Anthropic giới thiệu thể hiện khả năng phát hiện lỗ hổng gần ngang tầm với các chuyên gia hàng đầu, các cuộc tấn công mạng đang bước vào một giai đoạn mới với tính tự động hóa cao và càng trở nên tinh vi hơn, an ninh cá nhân cũng chuyển từ "tùy chọn" thành "nhu cầu thiết yếu". Một mặt, ngưỡng tấn công đang bị hạ thấp; mặt khác, hiệu suất tấn công lại đang được nâng lên theo cấp số nhân. Điều này có nghĩa là "an ninh thụ động" sẽ ngày càng khó duy trì.

Trong bối cảnh đó, danh sách "vệ sinh kỹ thuật số" do đồng sáng lập OpenAI, Andrej Karpathy, đề xuất đã đưa ra một lộ trình ứng phó khả thi. Trong thời đại AI, an ninh không còn là "biện pháp khắc phục sau sự cố" nữa, mà là "một phần của hành vi hàng ngày". Xác thực danh tính, phân quyền truy cập, tối thiểu hóa thông tin và tái cấu trúc thói quen hành vi. 15 bước tưởng chừng vụn vặt này, về bản chất, là đang xây dựng lại một ranh giới an ninh mà người dùng phổ thông có thể kiểm soát.

Rủi ro thực sự không nằm ở chỗ bạn có trở thành mục tiêu tấn công hay không, mà nằm ở chỗ khi cuộc tấn công xảy ra, bạn có đang hoàn toàn không có phòng bị hay không.

Dưới đây là nguyên văn bài viết:

Một điều chắc chắn là: Trong vấn đề an ninh mạng, bạn không còn chỗ cho sự lười biếng nữa.

Mythos mang tính bước ngoặt được Anthropic công bố hôm qua đã đánh dấu một bước ngoặt không thể quay đầu.

Công nghệ này hiện vẫn chưa được công khai, nhưng một khi rơi vào tay những kẻ có ý đồ xấu (và điều này gần như không thể tránh khỏi)...... bạn sẽ phải đối mặt với một hình thức tấn công mạng cực kỳ tinh vi, mà đa số mọi người thậm chí còn không kịp nhận ra mình đã bị xâm nhập thì đã quá muộn.

Nó giống như "virus corona" trong thế giới phần mềm.

Cũng chính vì vậy, từ bây giờ trở đi, an ninh mạng của bạn phải được đảm bảo tuyệt đối, không một kẽ hở.

Hướng dẫn Vệ sinh Kỹ thuật số của Karpathy

Năm ngoái, Andrej Karpathy (@karpathy, Đồng sáng lập OpenAI) đã tổng hợp một "Hướng dẫn Vệ sinh Kỹ thuật số", hệ thống hóa các phương pháp cơ bản để bảo vệ bản thân trong thời đại AI.

Đây là một trong những hướng dẫn nhập môn đáng giá nhất mà tôi từng thấy.

Dưới đây là tất cả các biện pháp an ninh bạn nên thực hiện trong thời đại đầy bất định này:

1. Sử dụng trình quản lý mật khẩu (Ví dụ: 1Password)

Tạo mật khẩu ngẫu nhiên, độc nhất cho từng tài khoản bạn sở hữu. Một khi một dịch vụ bị tấn công, kẻ tấn công thường dùng các tài khoản và mật khẩu này để "dò mật khẩu" (credential stuffing). Trình quản lý mật khẩu có thể loại bỏ hoàn toàn rủi ro này, và thậm chí còn tự động điền, dùng thực tế còn nhanh hơn cả việc dùng lại mật khẩu cũ.

2. Cấu hình khóa bảo mật phần cứng (Ví dụ: YubiKey)

Đây là một thiết bị vật lý, hoạt động như lớp xác thực thứ hai để đăng nhập. Kẻ tấn công phải "có được vật thể thực" mới có thể đăng nhập vào tài khoản của bạn. So với điều này, mã xác minh SMS rất dễ bị đánh cắp thông qua tấn công SIM Swap (kẻ gian mạo danh bạn liên hệ với nhà mạng để chuyển số của bạn sang điện thoại của chúng).

Đề xuất mua 2–3 chiếc YubiKey, đặt ở các nơi khác nhau để tránh bị khóa tài khoản nếu mất.

3. Bật xác thực sinh trắc học toàn diện

Chẳng hạn như Face ID, vân tay, v.v., bật tất cả trong trình quản lý mật khẩu, ứng dụng ngân hàng, các ứng dụng quan trọng. Đây là lớp xác thực thứ ba: chính "bản thân" bạn. Không ai có thể đánh cắp khuôn mặt của bạn từ cơ sở dữ liệu.

4. Coi các câu hỏi bảo mật như mật khẩu

Những câu hỏi kiểu "Tên thời con gái của mẹ bạn là gì?" có thể tra cứu trên mạng chỉ trong 10 giây. Hãy tạo câu trả lời ngẫu nhiên và lưu vào trình quản lý mật khẩu. Tuyệt đối không điền thông tin thật.

5. Bật mã hóa ổ đĩa

Trên Mac gọi là FileVault, trên Windows gọi là BitLocker. Nếu máy tính bị đánh cắp, mã hóa sẽ biến thứ kẻ trộm nhận được thành "cục gạch", chứ không phải là toàn bộ dữ liệu của bạn. Chỉ mất 2 phút để bật, và nó chạy tự động ở chế độ nền.

6. Giảm thiểu thiết bị smart home

Mỗi "thiết bị thông minh" về bản chất là một máy tính kết nối mạng, và thường đi kèm micro. Chúng liên tục thu thập dữ liệu, kết nối mạng thường xuyên và thường xuyên bị tấn công. Cái máy đo không khí kết nối mạng trong nhà bạn không cần phải biết vị trí chính xác của bạn. Càng ít thiết bị, càng ít điểm vào cho các cuộc tấn công.

7. Sử dụng Signal để liên lạc

Signal cung cấp mã hóa end-to-end, bất kỳ ai (kể cả chính nền tảng, nhà mạng, người nghe lén) đều không thể đọc được nội dung. Tin nhắn văn bản thông thường và thậm chí cả iMessage đều lưu giữ siêu dữ liệu (ai, khi nào, tần suất liên lạc). Hãy bật tính năng "tự hủy tin nhắn" (ví dụ: 90 ngày) để tránh lịch sử trở thành rủi ro.

8. Sử dụng trình duyệt chú trọng quyền riêng tư (Ví dụ: Brave)

Dựa trên Chromium, tương thích với tiện ích mở rộng của Chrome, trải nghiệm sử dụng gần như一致.

9. Chuyển công cụ tìm kiếm mặc định sang Brave Search

Nó có bộ chỉ mục độc lập (khác với DuckDuckGo phụ thuộc vào Bing). Nếu một kết quả tìm kiếm nào đó không tốt, bạn có thể thêm "!g" để chuyển sang Google. Phiên bản trả phí khoảng 3 đô la mỗi tháng, rất đáng — bạn trở thành khách hàng, chứ không phải là "sản phẩm bị bán".

10. Sử dụng thẻ tín dụng ảo (Ví dụ: Privacy.com)

Tạo số thẻ độc lập cho từng nhà bán lẻ và đặt hạn mức chi tiêu. Thậm chí có thể điền tên và địa chỉ ngẫu nhiên. Một khi nhà bán lẻ bị tấn công, thứ bị rò rỉ chỉ là số thẻ dùng một lần, chứ không phải danh tính tài chính thật của bạn.

11. Sử dụng địa chỉ gửi thư ảo

Các dịch vụ như Virtual Post Mail sẽ thay bạn nhận thư vật lý, quét nội dung và cho phép bạn xem trực tuyến.

Bạn có thể tự quyết định thứ nào cần hủy, thứ nào cần chuyển tiếp. Bằng cách này, bạn không phải đưa địa chỉ nhà thật cho đủ loại nhà bán lẻ lạ mặt trong mỗi lần thanh toán mua sắm trực tuyến.

12. Không nhấp vào liên kết trong email

Địa chỉ email cực kỳ dễ giả mạo. Với sự hỗ trợ của AI, các email lừa đảo (phishing) ngày nay gần như không thể phân biệt được với email thật. Thay vì nhấp vào liên kết, hãy tự nhập thủ công URL trang web và tự đăng nhập vào website tương ứng.

Đồng thời, tắt tính năng tự động tải ảnh trong hộp thư, vì ảnh nhúng thường được dùng để theo dõi xem bạn có mở email hay không.

13. Sử dụng VPN có chọn lọc (Ví dụ: Mullvad)

VPN (Mạng riêng ảo) có thể ẩn địa chỉ IP của bạn (tức là số định danh duy nhất cho thiết bị và vị trí của bạn) khỏi các dịch vụ bạn truy cập. Không cần bật cả ngày, nhưng nhất định phải bật khi sử dụng Wi-Fi công cộng hoặc truy cập các dịch vụ bạn không tin tưởng lắm.

14. Thiết lập chặn quảng cáo ở cấp DNS (Ví dụ: NextDNS)

DNS có thể hiểu là cuốn danh bạ mà thiết bị dùng để "tìm trang web". Chặn ở tầng này có nghĩa là quảng cáo và trình theo dõi bị chặn trước khi chúng kịp tải.

Và nó có hiệu lực với tất cả các ứng dụng và trình duyệt trên thiết bị của bạn.

15. Cài đặt công cụ giám sát mạng (Ví dụ: Little Snitch)

Nó hiển thị những ứng dụng nào trên máy tính của bạn đang kết nối mạng, đã gửi bao nhiêu dữ liệu và dữ liệu chảy về đâu. Bất kỳ ứng dụng nào "gửi dữ liệu về với tần suất bất thường cao" đều đáng cảnh giác, rất có thể nên gỡ cài đặt ngay.

Hiện tại, Mythos vẫn chỉ nằm trong tay phe phòng thủ của Project Glasswing (như Anthropic, Apple, Google, v.v.). Nhưng các mô hình có năng lực tương tự sẽ sớm rơi vào tay những kẻ có ý đồ xấu (có thể chưa đến 6 tháng, hoặc thậm chí nhanh hơn).

Đây cũng là lý do tại sao, ngay bây giờ bạn phải nhanh chóng củng cố tuyến phòng thủ an ninh của mình. Bây giờ dành 15 phút để hoàn thành các cài đặt này có thể giúp bạn tránh được một loạt vấn đề nghiêm trọng trong tương lai.

Chú ý an toàn, chúc bạn mọi điều tốt lành.