Vиталik Buterin呼吁采用一种面向“本地优先（local-first）”的人工智能方案。他表示，现代AI工具带来了严重的隐私和安全风险。

总结

• Vitalik Buterin敦促转向本地优先AI，并警告云端系统会暴露用户数据，从而增加被操纵、泄露以及未经授权操作的风险。
• 他引用研究称，大约15%的AI代理“技能”包含恶意指令，并警告模型可能包含隐藏后门或缺乏完全透明度。
• Buterin提出了一套本地化方案，使用端侧模型、沙箱隔离以及人类- AI确认，以限制风险，因为自动化AI代理的能力仍在持续扩展，同时攻击面也在加大。

在他最近的一篇博客文章中，他表示AI正在超越简单的聊天工具。更新的系统如今充当自治代理，它们可以“长时间思考并使用数百种工具”来完成任务。他警告，这种变化会提高敏感数据暴露和未经授权操作的风险。

Buterin表示，他已经停止使用基于云的AI。他将自己的设置描述为“自我主权（self-sovereign）、本地化（local）、私密且安全（private and secure）”。

“我出自对把我们整个个人生活喂给云端AI的深深恐惧，”他写道。他补充说，最近的发展可能意味着在隐私方面“倒退十步”，即便加密和本地优先工具变得更普遍。

Vitalik Buterin强调AI的隐私与安全风险

Buterin表示，许多AI系统依赖云端基础设施。他警告称，用户实际上是在“把我们整个个人生活喂给云端AI”，从而让外部服务器能够访问并存储他们的数据。

他还指出与AI代理相关的风险。一些系统可以在未经用户询问的情况下，“修改关键设置”，或引入新的通信渠道。

“LLMs有时也会失败，”他写道。它们“可能会犯错，或被欺骗”，这使得在它们被赋予更多控制权时更需要安全防护措施。

他文章中引用的研究发现，约有15%的代理“技能”包含恶意指令。研究还显示，一些工具会在“用户不知情”的情况下向外部服务器发送数据。

他警告称，某些模型可能包含隐藏后门。这些后门可能在特定条件下被触发，并导致系统按开发者的利益行事。

Buterin补充说，许多被描述为开源的模型实际上只有“开放权重（open-weights）”。它们的内部结构并没有完全被看见，这为未知风险留下了空间。

为应对风险而建立的Vitalik个人设置

为了解决这些担忧，Buterin提出了一套围绕本地推理、本地存储以及严格沙箱隔离构建的系统。他表示，这个想法是要“对所有内容进行沙箱隔离”，并对外部威胁保持谨慎。

他使用Qwen3.5:35B模型测试了多种硬件配置。低于每秒50个token的性能让他觉得“太烦人”，不适合日常使用。大约每秒90个token则带来了更顺畅的体验。

一台配备NVIDIA 5090 GPU的笔记本电脑实现了接近每秒90个token的表现。DGX Spark硬件达到了约每秒60个token，他将其描述为“很差”，相比之下，高端笔记本电脑要好得多。

他的设置运行在NixOS上，由llama-server负责本地推理。像llama-swap这样的工具有助于管理模型，而bubblewrap用于隔离进程，并限制对文件和网络的访问。

他说，应该谨慎对待AI。该系统可能有用，但不应被完全信任，类似于开发者对智能合约的态度。

为降低风险，他使用一种“2-of-2”确认模型。诸如发送消息或交易之类的操作，需要AI输出和人工批准两者都具备。他表示，将“人类 + LLM”的决策结合起来比仅依赖其中任一方更安全。

在使用远程模型时，Vitalik的请求首先会先经过一个本地模型处理，这有助于在任何内容被发送出去之前移除敏感信息。

对于无法负担这类设置的人，他建议用户“聚在一起组成一个小组的朋友，买一台计算机和至少达到同等算力水平的GPU”，然后远程连接到它上面。

AI代理的增长带来了新的担忧与机遇

AI代理的使用正在增加，像OpenClaw这样的项目正在获得关注。这些系统可以独立运作，并使用多种工具来完成任务。

此类能力也引入了新的风险。处理外部内容（例如恶意网页）可能导致系统出现“轻松被接管”的情况。

一些代理可以在未经批准的情况下更改提示或系统设置。这些行为提高了未经授权访问和数据泄露的可能性。