O modelo que a Anthropic não ousa divulgar consegue identificar milhares de vulnerabilidades; esta lista de 15 dicas de segurança digital recomenda-se guardar.

Autor: Ole Lehmann

Tradução: Deep Tide TechFlow

Guia de leitura da Deep Tide: A Anthropic lançou o mais recente modelo de ponta Claude Mythos Preview. Este modelo encontrou milhares de vulnerabilidades zero-day em todos os sistemas operativos e navegadores mais comuns, sendo tão forte que a própria Anthropic não se atreve a publicá-lo abertamente. A má notícia é que modelos com capacidades semelhantes acabarão, mais cedo ou mais tarde, por cair nas mãos de atacantes. O cofundador da OpenAI, Karpathy, compilou no ano passado uma lista de verificação de segurança digital; agora é altura de a levar a sério.

É assim: Ontem, a Anthropic anunciou o Claude Mythos Preview.

Quão potente é este modelo? Descobriu milhares de vulnerabilidades zero-day em todos os sistemas operativos e navegadores mais comuns. Tão forte que nem a própria Anthropic se atreve a o lançar ao público, com receio de causar danos incontroláveis.

Este modelo ainda não foi tornado público, mas assim que os malfeitores obtiverem um modelo com capacidades equivalentes (é apenas uma questão de tempo), os ataques informáticos com que vais lidar vão ser tão avançados que a maioria das pessoas nem sequer vai perceber que já foi comprometida.

É como uma epidemia no mundo do software.

Por isso, agora tens de reforçar a tua linha de defesa de segurança digital.

Guia de segurança digital de Karpathy

No ano passado, o cofundador da OpenAI, Karpathy, compilou um guia de segurança digital, cobrindo os fundamentos da proteção pessoal na era da IA.

Esta é uma das melhores listas de arranque que já vi. Aqui estão as 15 coisas que deves fazer já:

1. Usa um gestor de passwords (por exemplo, 1Password)

Gera uma password aleatória e independente para cada conta.

Se um serviço for comprometido, os atacantes vão usar o mesmo conjunto de credenciais para tentar entrar em todas as outras plataformas. Um gestor de passwords elimina diretamente este risco e ainda permite preenchimento automático, o que é, na prática, mais rápido do que reutilizar passwords.

2. Protege com chaves de segurança por hardware (por exemplo, YubiKey)

Isto é um dispositivo físico, a funcionar como o teu segundo fator de autenticação. Os atacantes têm de ter efectivamente este dispositivo em mãos para conseguirem iniciar sessão na tua conta.

As mensagens por código no telemóvel são, na verdade, pouco seguras; o sequestro de SIM (alguém liga para a operadora, fingindo ser tu, para transferir o teu número para o telefone deles) não é assim tão difícil como possas pensar.

Compra 2 a 3 YubiKey e guarda-os em locais diferentes, para não ficares bloqueado do lado de fora se perderes um.

3. Ativa a biometria em todos os dispositivos

Face ID, impressão digital — ativa o que o teu dispositivo suportar. O gestor de passwords, as apps bancárias e todas as aplicações sensíveis: tudo com isso.

Esta é a terceira camada de autenticação: quem tu és. Ninguém consegue roubar o teu rosto a partir de uma base de dados.

4. Trata as perguntas de segurança como palavras-passe

«Qual é o apelido de solteira da tua mãe?» — este tipo de pergunta dá para descobrir no Google em 10 segundos.

Gera respostas aleatórias para as perguntas de segurança, e guarda-as junto com as passwords no gestor de passwords. Nunca respondas verdadeiramente às perguntas de segurança.

5. Ativa a encriptação do disco

No Mac chama-se FileVault; no Windows chama-se BitLocker.

Se o teu portátil for roubado, a encriptação do disco significa que o ladrão fica com uma simples tábua, e não com todos os teus ficheiros. Leva 2 minutos para ser ativada e funciona em silêncio em segundo plano.

6. Reduz dispositivos inteligentes na tua casa

Cada dispositivo «inteligente» é, na essência, um computador ligado em rede, com um microfone instalado na tua casa.

Eles recolhem dados continuamente, fazem reenvios constantes para servidores e são frequentemente pirateados. O medidor de qualidade do ar Wi‑Fi que compraste na Amazon não precisa de saber as tuas coordenadas GPS exatas.

Quanto menos dispositivos ligados em rede tiveres, menos portas de entrada terá a tua rede.

7. Usa Signal para a comunicação diária

O Signal encripta as mensagens de ponta a ponta; ninguém (incluindo o próprio Signal, o teu operador, ou qualquer pessoa que intercepte dados) consegue ler as tuas mensagens.

SMS comuns e até iMessage guardam metadados (com quem falaste, quando falaste, durante quanto tempo), e quem tiver permissões consegue analisá-los.

Recomenda-se ativar a função de mensagens que desaparecem; 90 dias é um bom valor predefinido, para que conversas antigas não se tornem num risco.

8. Usa um browser focado em privacidade (por exemplo, Brave)

O Brave é construído com base em Chromium; todas as extensões do Chrome funcionam, com uma experiência quase idêntica.

9. Troca o motor de busca predefinido por Brave Search

A razão é que tem o seu próprio índice independente, ao contrário do DuckDuckGo, que na essência é apenas uma “pele” do Bing.

Se algum resultado de pesquisa não estiver a ser bom, basta adicionares «!g» para redirecionar a consulta para o Google.

Versão premium por 3 dólares por mês. Pagar para ser cliente é melhor do que ser, gratuitamente, um produto.

10. Usa cartões de crédito virtuais (por exemplo, Privacy.com)

Gera um número de cartão novo para cada comerciante. Podes definir limites de gasto para cada cartão, e podes preencher livremente o nome e morada na fatura.

Se o comerciante for comprometido, o que o atacante obtém é apenas um número de cartão único e temporário, não a tua verdadeira identidade financeira. Isto também significa que nenhum comerciante sabe a tua morada real.

11. Cria uma morada de receção virtual

Serviços como o Virtual Post Mail ajudam-te a receber correio físico, e depois, após a digitalização, permitem-te ver online. Tu decides o que queres destruir e o que queres reencaminhar.

Desta forma, não tens de entregar a tua morada residencial real a várias lojas online em cada checkout.

12. Não carregues links em e-mails

É extremamente fácil falsificar endereços de e-mail. Com IA, os e-mails de phishing agora parecem exatamente iguais aos reais.

Em vez de carregares em links, é melhor abrir tu mesmo o site manualmente e iniciar sessão.

Além disso, recomenda-se desligar a opção de carregar imagens automaticamente nas definições de e-mail, porque as imagens incorporadas serão usadas para rastrear se abriste o e-mail.

13. Usa VPN de forma seletiva (por exemplo, Mullvad)

A VPN oculta o teu endereço IP (o número único que identifica o teu dispositivo e a tua localização), fazendo com que os serviços aos quais te conectas não consigam ver quem és.

Não precisas de a manter ligada 24 horas por dia, mas liga-a quando estiveres em Wi‑Fi público ou a aceder a serviços que não confias tanto.

14. Configura bloqueio de anúncios ao nível do DNS (por exemplo, NextDNS)

O DNS é, na prática, o “livro de contactos” que o teu dispositivo usa para procurar sites; ao bloqueares neste nível, significa que anúncios e rastreadores são eliminados antes de serem carregados.

Funciona para todas as apps e browsers no teu dispositivo.

15. Instala uma ferramenta de monitorização de rede (no Mac, é recomendado Little Snitch)

Ela mostra quais as apps no teu computador que estão a comunicar, quantos dados enviaram e para onde os enviaram.

Qualquer app que envie dados de retorno para além do esperado é suspeita e, muito provavelmente, deve ser desinstalada.

Neste momento, o Mythos só está nas mãos do lado defensivo do Project Glasswing (Anthropic, Apple, Google, etc.).

Mas os atacantes vão obter rapidamente modelos ao nível do Mythos, provavelmente dentro de cerca de 6 meses, ou até mais cedo. Por isso, reforçar a segurança é urgente.

Agora, ao dedicares 15 minutos a configurar, poupas-te a uma série de problemas no futuro.