El fundador V comparte: Cómo crear un entorno de trabajo con IA totalmente local, privado y bajo control propio y totalmente autónomo

Vitalik Buterin plantea una arquitectura de IA ejecutada localmente, destacando la privacidad, la seguridad y la soberanía personal, y advierte sobre los riesgos potenciales de los agentes de IA.

El fundador de Ethereum, Vitalik Buterin, el 2 de abril, publicó un texto largo en su sitio web personal, compartiendo el entorno de trabajo de IA que construyó con la privacidad, la seguridad y la soberanía personal como núcleo: que todas las inferencias de LLM se ejecuten localmente, que todos los archivos se almacenen localmente y que todo esté completamente en un entorno aislado (sandbox), evitando a propósito los modelos en la nube y las API externas.

Al comienzo del artículo, primero advierte: «Por favor, no copies directamente las herramientas y tecnologías descritas en este artículo, y no asumas que son seguras. Esto solo es un punto de partida, no una descripción de un producto terminado».

¿Por qué escribir ahora este texto? Los problemas de seguridad de los agentes de IA están siendo subestimados en gran medida

Vitalik señala que, a principios de este año, la IA completó una transformación importante de «chatbot» a «agente»: ya no solo le haces preguntas, sino que le asignas tareas, haciendo que la IA piense durante mucho tiempo y llame a cientos de herramientas para ejecutarlas. Lo ejemplifica con OpenClaw (el repo que ha crecido más rápido en la historia de GitHub) y también menciona varias cuestiones de seguridad registradas por investigadores:

• Los agentes de IA pueden modificar configuraciones críticas sin necesidad de confirmación humana, incluida la adición de nuevos canales de comunicación y la modificación de las instrucciones del sistema
• Analizar cualquier entrada externa maliciosa (como una página web maliciosa) puede llevar a que el agente sea tomado completamente; en una demostración de HiddenLayer, los investigadores hicieron que la IA resumiera un conjunto de páginas, dentro de las cuales había una página maliciosa que le indicaba al agente descargar y ejecutar un script de shell
• Algunas habilidades de terceros (skills) pueden ejecutar filtraciones silenciosas de datos, enviando datos a servidores externos controlados por el autor de la habilidad mediante el comando curl
• En las habilidades que analizaron, aproximadamente el 15% incluye instrucciones maliciosas

Vitalik enfatiza que su punto de partida sobre la privacidad es distinto al de los investigadores tradicionales de ciberseguridad: «Vengo de una postura profundamente temerosa ante el hecho de que la vida personal de las personas sea alimentada completa a la IA en la nube; justo cuando el cifrado de extremo a extremo y el software local con prioridad por fin se están convirtiendo en la corriente principal, podríamos estar retrocediendo diez pasos».

Cinco objetivos de seguridad

Estableció un marco claro de objetivos de seguridad:

• Privacidad de LLM: en situaciones que involucran datos de privacidad personal, reducir al máximo el uso de modelos remotos
• Otra privacidad: minimizar la filtración de datos que no sean de LLM (como búsquedas, otras API en línea)
• Evasión de LLM (LLM jailbreak): impedir que contenido externo «entre» en mi LLM y haga que actúe en contra de mis intereses (por ejemplo, enviar mis tokens o datos privados)
• LLM accidental: impedir que el LLM envíe por error datos privados al canal equivocado o los publique en la red
• Puerta trasera de LLM (LLM backdoor): impedir mecanismos ocultos entrenados intencionalmente dentro del modelo. Especialmente recuerda: los modelos abiertos son pesos abiertos (open-weights); casi ninguno es realmente de código abierto (open-source)

Elección de hardware: 5090 laptops ganan, DGX Spark decepciona

Vitalik probó tres configuraciones de hardware de inferencia local y utilizó principalmente el modelo Qwen3.5:35B, junto con llama-server y llama-swap:

Su conclusión es: por debajo de 50 tok/sec es demasiado lento, 90 tok/sec es ideal. La experiencia con la NVIDIA 5090 laptop es la más fluida; AMD todavía tiene más problemas en los bordes, pero en el futuro se espera que mejore. También hay opciones efectivas de MacBook de gama alta, aunque él personalmente no las probó.

Sobre el DGX Spark, fue contundente: «Lo describen como un “supercomputador de IA de escritorio”, pero en realidad tokens/sec es más bajo que el de una GPU de laptop mejor, y además hay que encargarse de detalles adicionales como la conexión de red: esto es flojo». Su recomendación es: si no puedes permitirte una laptop de gama alta, puedes comprar en conjunto con amigos una máquina lo suficientemente potente, colocada en un lugar con una IP fija, para que todos se conecten de forma remota.

Por qué el problema de privacidad de la IA local es más urgente de lo que crees

Este artículo de Vitalik, junto con el debate sobre la seguridad del Claude Code publicado el mismo día, forma un eco interesante: mientras los agentes de IA entran en el flujo de trabajo cotidiano de desarrollo, los problemas de seguridad también se están moviendo desde riesgos teóricos hacia amenazas reales.

Su mensaje central es muy claro: en el momento en que las herramientas de IA son cada vez más poderosas y pueden acceder cada vez más a tus datos personales y a permisos del sistema, «prioridad local, aislamiento (sandbox) y mínima confianza» no es paranoia, sino un punto de partida racional.

• Este artículo se reproduce con autorización de: 《鏈新聞》
• Título original: 《Vitalik：Cómo construí un entorno de trabajo de IA completamente local, privado y bajo control soberano》
• Autor del texto original: Elponcrab