V神が語る:完全にローカルで、プライベートで、自己管理・自己制御できるAI作業環境をどのように構築するか
ビタリック・ブテリンは、ローカルで稼働するAIのアーキテクチャを提案し、プライバシー、安全性、自主的主権(self-sovereignty)を重視しつつ、AIエージェントの潜在的なリスクに警鐘を鳴らしている。
イーサリアムの創設者ビタリック・ブテリンは4月2日、個人サイトで長文を公開し、プライバシー、安全性、自主的主権を中核に据えて構築したAI作業環境の設定について共有した――すべてのLLM推論はローカルで実行し、すべてのファイルはローカルに保存し、全面的にサンドボックス化し、クラウドモデルや外部APIは意図的に避けている。
記事の冒頭ではまず、次のように警告する。「この記事で説明しているツールや技術をそのままコピーし、それらが安全だと仮定しないでください。これは出発点にすぎず、完成品の説明ではありません。」
なぜ今この文章を書くのか? AIエージェントの安全問題は深刻に過小評価されている
ビタリックは、今年初めにAIが「チャットボット」から「エージェント」への重要な転換を遂げたと指摘する――もはや問題を尋ねるだけでなく、タスクをAIに委ね、AIが長時間考え、数百ものツールを呼び出して実行するようになった。彼はOpenClaw(現在GitHub史上で最も成長が速いrepo)を例に挙げ、研究者が記録した複数の安全問題も同時に挙げている:
- AIエージェントは、人の手による確認なしに重要な設定を変更でき、例えば新しい通信チャネルの追加やシステムプロンプトの変更が可能
- どんな悪意のある外部入力(たとえば悪意のあるWebページ)でも解析すれば、エージェントが完全に乗っ取られてしまう可能性がある。HiddenLayerのあるデモでは、研究員がAIに一群のWebページを要約させたところ、そこに、AIにエージェントへシェルスクリプトをダウンロードさせて実行させる命令が隠されていた
- 一部のサードパーティのスキルパッケージ(skills)は、curlコマンドを通じてデータを、スキル作者が制御する外部サーバへ送信することで、静かにデータを漏えいさせることがある
- 彼らが分析したスキルパッケージのうち、約15%に悪意のある命令が含まれていた
ビタリックは、プライバシーへの彼の出発点は従来の資安研究者とは異なると強調する。「私は、自分の個人の生活を丸ごとクラウドのAIに食べさせることに深い恐怖を抱く立場から来ています――エンドツーエンド暗号化とローカル優先ソフトウェアがついに主流化し、私たちがようやく前進し始めたその時点で、私たちは逆に10歩下がってしまうかもしれないのです。」
五つの安全目標
彼は明確な安全目標の枠組みを設定した:
- LLMプライバシー:個人のプライバシーデータが関わる状況において、できるだけ遠隔(リモート)モデルの使用を減らす
- その他のプライバシー:LLM以外のデータ漏えいを最小化する(例:検索クエリ、その他のオンラインAPI)
- LLMの脱獄(イージャイル):外部コンテンツが「侵入」して、私のLLMが私の利益に反する(例:私のトークンや私的なデータを送信する)ようにさせることを防ぐ
- LLMの不注意:LLMが誤ってプライベートデータを間違ったチャネルに送信したり、ネットワーク上に公開したりするのを防ぐ
- LLMバックドア:意図的にモデルへ訓練されて混入させる隠れた仕組みを防ぐ。特に彼は次を注意している。オープンモデルはオープンな重み(open-weights)であり、本当の意味でオープンソース(open-source)なものはほとんどない
ハードウェアの選択:5090のノートPCが勝ち、DGX Sparkはがっかり
ビタリックは3種類のローカル推論用ハードウェア構成をテストし、主にQwen3.5:35Bモデルを使用し、llama-serverとllama-swapを組み合わせた:
| ハードウェア | Qwen3.5 35B(tokens/sec) | Qwen3.5 122B(tokens/sec) |
|---|---|---|
| NVIDIA 5090 ノートPC(24GB VRAM) | 90 | 実行できない |
| AMD Ryzen AI Max Pro(128GB 統一メモリ、Vulkan) | 51 | 18 |
| DGX Spark(128GB) | 60 | 22 |
彼の結論はこうだ。50 tok/sec未満は遅すぎ、90 tok/secが理想。NVIDIA 5090ノートPCの体験が最もスムーズだった。AMDは現時点でもまだ境界的な問題が多いが、将来的には改善の見込みがある。高性能なMacBookも有効な選択肢だが、彼自身は個人的に試していない。
DGX Sparkについては、彼は容赦なくこう言う。「『デスクトップAIスーパコンピューター』と説明されているが、実際にはtokens/secは優れたノートPCのGPUより低く、さらにネットワーク接続などの細部を追加で整える必要まである――これはかなり残念だ。」彼の提案はこうだ。高性能なノートPCを買う余裕がないなら、友人たちと一台の十分に強力なマシンを共同購入し、固定IPのある場所に置いて、みんなが遠隔で接続して使う。
なぜローカルAIのプライバシー問題は、あなたが思うよりも切迫しているのか
ビタリックの記事は、同日にリリースされたClaude Codeの安全性問題に関する議論と、興味深い呼応を見せている――AIエージェントが日常の開発ワークフローに入り込む一方で、安全性の問題も、理論上のリスクから現実の脅威へと変わりつつある。
彼の核心メッセージはとても明確だ。AIツールがますます強力になり、あなたの個人データやシステム権限へよりアクセスできるようになるその状況において、「ローカル優先、サンドボックス化、最小限の信頼」は偏執ではなく、合理的な起点である。
- 本文は許可を得て転載:『鏈新聞』
- 原題:《Vitalik:我如何打造完全本地、私密、自主可控的AI工作環境》
- 原著者:Elponcrab
関連記事