V神 partilha: como criar um ambiente de trabalho de IA totalmente local, discreto e totalmente sob controlo e autonomia

Vitalik Buterin propôs uma arquitectura de IA executada localmente, salientando a privacidade, a segurança e a soberania própria, e alertando para os potenciais riscos dos agentes de IA.

O fundador da Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu site pessoal, partilhando a configuração do seu ambiente de trabalho em IA, construído com a privacidade, a segurança e a soberania própria como base — com toda a inferência de LLM a ser executada localmente, todos os ficheiros guardados localmente, e um sandboxing completo, evitando deliberadamente modelos na cloud e APIs externas.

Logo no início, o artigo avisa: «Por favor, não copie as ferramentas e tecnologias descritas neste artigo e assuma que são seguras. Isto é apenas um ponto de partida, e não uma descrição de um produto final.»

Porque é que agora escrevo este texto? Os problemas de segurança dos agentes de IA estão a ser seriamente subestimados

Vitalik aponta que, no início deste ano, a IA fez uma transformação importante de «chatbots» para «agents» — já não se trata apenas de colocar perguntas, mas de entregar tarefas, fazendo a IA pensar durante muito tempo e chamar centenas de ferramentas para as executar. Ele dá como exemplo o OpenClaw (actualmente o repo com crescimento mais rápido na história do GitHub) e identifica também vários problemas de segurança registados por investigadores:

• Um agente de IA pode modificar definições críticas sem confirmação humana, incluindo adicionar novos canais de comunicação e alterar instruções do sistema
• A análise de qualquer entrada externa maliciosa (por exemplo, uma página maliciosa) pode levar a que o agente seja completamente controlado; num exemplo apresentado pela HiddenLayer, os investigadores fizeram o AI resumir um conjunto de páginas, incluindo uma página maliciosa que manda o agente descarregar e executar um script de shell
• Algumas skills de terceiros (skills) executam uma fuga silenciosa de dados, enviando os dados para um servidor externo controlado pelo autor da skill através do comando curl
• Entre as skills que analisaram, cerca de 15% incluem comandos maliciosos

Vitalik sublinha que o seu ponto de partida para a privacidade é diferente do dos investigadores tradicionais de segurança informática: «Venho de uma posição profundamente receosa de que dar toda a vida pessoal das pessoas ao AI na cloud — e isso mesmo enquanto a cifragem de ponta a ponta e software com prioridade no local finalmente se tornam mainstream — pode fazer-nos recuar dez passos, quando na verdade deveríamos estar a avançar.»

Cinco objectivos de segurança

Ele definiu um enquadramento claro de objectivos de segurança:

• Privacidade do LLM: em cenários que envolvam dados pessoais, reduzir ao máximo o uso de modelos remotos
• Outra privacidade: minimizar a fuga de dados que não são de LLM (como pesquisas, outras APIs online)
• Escape de LLM: impedir que conteúdos externos «invadam» o meu LLM, levando-o a contrariar os meus interesses (por exemplo, enviar os meus tokens ou dados privados)
• LLM acidental: impedir que o LLM envie, por engano, dados privados para o canal errado ou os publique na Internet
• Backdoor de LLM: impedir mecanismos ocultos que foram deliberadamente treinados no modelo. Ele chama especialmente a atenção: modelos abertos são pesos abertos (open-weights); quase nenhum é verdadeiramente código aberto (open-source)

Escolhas de hardware: a 5090 ultrapassa a DGX Spark, que é decepcionante

Vitalik testou três configurações de hardware de inferência local, usando principalmente o modelo Qwen3.5:35B, em conjunto com llama-server e llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento, 90 tok/sec é o ideal. A experiência com a NVIDIA 5090 portátil foi a mais fluida; a AMD ainda tem mais problemas nas margens, mas no futuro espera-se que melhore. Um MacBook de gama alta também é uma opção eficaz, embora ele pessoalmente não o tenha testado.

Sobre a DGX Spark, ele foi bastante directo: «Ao descreverem-na como um ‘supercomputador de IA para desktop’, mas na prática os tokens/sec são mais baixos do que na melhor GPU de um portátil, e ainda é preciso resolver detalhes adicionais como a ligação de rede — isto é fraco.» A sua recomendação é: se não conseguir pagar um portátil topo de gama, pode comprar em conjunto com amigos uma máquina suficientemente potente, colocá-la num local com um IP fixo e usar todos a ligação remota para trabalhar a partir daí.

Porque os problemas de privacidade da IA local são mais urgentes do que imaginas

Este artigo de Vitalik, em sintonia com a discussão sobre os problemas de segurança do Claude Code lançada no mesmo dia, cria um eco interessante — à medida que os agentes de IA entram nos fluxos de trabalho quotidianos de desenvolvimento, os problemas de segurança também estão a passar do risco teórico para uma ameaça real.

A sua mensagem central é muito clara: no momento em que as ferramentas de IA ficam cada vez mais poderosas e cada vez mais capazes de aceder aos teus dados pessoais e permissões de sistema, «prioridade ao local, sandboxing e confiança mínima» não é paranoia, é um ponto de partida racional.

• Este artigo foi republicado com autorização de: 《鏈新聞》
• Título do original: 《Vitalik：Como eu criei um ambiente de trabalho em IA totalmente local, privado e sob controlo próprio》
• Autor do original: Elponcrab