V God comparte: cómo construir un entorno de trabajo de IA completamente local, privado, y con control total y autónomo

Vitalik Buterin propone una arquitectura de IA para ejecutarse localmente, destacando la privacidad, la seguridad y la soberanía personal, y advierte sobre los riesgos potenciales de los agentes de IA.

El fundador de Ethereum, Vitalik Buterin, el 2 de abril, publicó un artículo largo en su sitio web personal, compartiendo el entorno de trabajo de IA que creó con la privacidad, la seguridad y la soberanía personal como núcleo: todo el razonamiento de LLM se ejecuta localmente, todos los archivos se almacenan localmente, y todo está completamente aislado en un sandbox; a propósito, evita los modelos en la nube y las API externas.

Al comienzo del artículo, primero advierte: «Por favor, no copies directamente las herramientas y tecnologías descritas en este artículo y asumas que son seguras. Esto es solo un punto de partida, no una descripción de un producto terminado».

¿Por qué ahora escribe esto? Los problemas de seguridad de los AI agent están muy subestimados

Vitalik señala que, a principios de este año, la IA completó una transformación importante de «chatbot» a «agent»: ya no solo te limitas a hacer preguntas, sino que entregas tareas, permitiendo que la IA piense durante mucho tiempo y llame a cientos de herramientas para ejecutarlas. Lo explica con OpenClaw (actualmente el repo de más rápido crecimiento en la historia de GitHub) e identifica además varias cuestiones de seguridad registradas por investigadores:

• Los agentes de IA pueden modificar configuraciones críticas sin confirmación humana, incluyendo agregar nuevos canales de comunicación y modificar las instrucciones del sistema
• Analizar cualquier entrada externa maliciosa (como una página web maliciosa) puede hacer que el agent quede completamente tomado; en una demostración de HiddenLayer, los investigadores hicieron que la IA resumiera un lote de páginas, en cuyo interior había una página maliciosa que instruía al agent para descargar y ejecutar un script de shell
• Algunas habilidades de terceros (skills) ejecutan filtraciones silenciosas de datos, enviando la información mediante el comando curl a servidores externos controlados por el autor de la skill
• Entre las skills que analizaron, aproximadamente 15% contienen instrucciones maliciosas

Vitalik enfatiza que su punto de partida sobre la privacidad es diferente al de los investigadores tradicionales de ciberseguridad: «Vengo de una postura profundamente temerosa de que la nube alimente con la totalidad de la vida personal a la IA: justo cuando el cifrado de extremo a extremo y el software local con prioridad finalmente se vuelven la norma, y cuando por fin damos un paso adelante, podríamos estar retrocediendo diez pasos».

Cinco objetivos de seguridad

Estableció un marco claro de objetivos de seguridad:

• Privacidad de LLM: en situaciones que involucren datos de privacidad personal, reducir al máximo el uso de modelos remotos
• Otra privacidad: minimizar la filtración de datos que no sean de LLM (como consultas de búsqueda, otras API en línea)
• Evasión de LLM: evitar que el contenido externo «entre» en mi LLM y haga que actúe en contra de mis intereses (por ejemplo, enviar mis tokens o datos privados)
• LLM accidental: evitar que el LLM envíe datos privados por error a un canal incorrecto o los publique en la red
• Puerta trasera de LLM: prevenir mecanismos ocultos incorporados deliberadamente en el entrenamiento del modelo. Le recordó especialmente: los modelos abiertos son pesos abiertos (open-weights), y casi ninguno es realmente de código abierto (open-source)

Elección de hardware: 5090 portátiles ganan; DGX Spark decepciona

Vitalik probó tres configuraciones de hardware de inferencia local; su enfoque principal fue el modelo Qwen3.5:35B, junto con llama-server y llama-swap:

Su conclusión es: por debajo de 50 tok/sec es demasiado lento, y 90 tok/sec es ideal. La experiencia con el portátil NVIDIA 5090 es la más fluida; AMD todavía tiene más problemas en los bordes, pero se espera que mejore en el futuro. Un MacBook de gama alta también es una opción efectiva, aunque él personalmente no lo probó.

Sobre DGX Spark, lo dijo sin rodeos: «Se describe como un ‘supercomputador de IA de escritorio’, pero en realidad tokens/sec es más bajo que el de las mejores GPUs de portátiles, y además hay que resolver detalles adicionales como la conexión de red. Esto es muy decepcionante». Su recomendación es: «Si no puedes pagar un portátil de gama alta, compra en conjunto con amigos una máquina lo suficientemente potente, colócala en un lugar con IP fija y usad todos la conexión remota».

Por qué los problemas de privacidad de la IA local son más urgentes de lo que crees

El artículo de Vitalik, en paralelo con el debate de seguridad de Claude Code lanzado el mismo día, crea un eco interesante: mientras los agentes de IA entran en flujos de trabajo cotidianos de desarrollo, los problemas de seguridad también están pasando de riesgos teóricos a amenazas reales.

Su mensaje central es muy claro: en un momento en que las herramientas de IA son cada vez más potentes y cada vez más capaces de acceder a tus datos personales y a los permisos de tu sistema, «prioridad local, aislamiento en sandbox y mínima confianza» no es paranoia, sino un punto de partida racional.

• Este artículo se reproduce con autorización de: 《Cadena de Noticias》
• Título original: 《Vitalik: Cómo construyo un entorno de trabajo de IA completamente local, privado y bajo control propio》
• Autor del texto original: Elponcrab