V God partilha: Como criar um ambiente de trabalho de IA totalmente local, discreto e sob controlo próprio e autónomo

Vitalik Buterin propôs uma arquitectura de IA executada localmente, sublinhando a privacidade, a segurança e a soberania própria, e alertando para os riscos potenciais dos agentes de IA.

O fundador da Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu site pessoal, partilhando o ambiente de trabalho de IA que construiu com a privacidade, a segurança e a soberania própria como núcleo — tudo o que as LLM fazem com inferência é executado localmente, todos os ficheiros são guardados localmente, e está tudo totalmente isolado em sandbox, evitando deliberadamente modelos em nuvem e APIs externas.

Logo no início do artigo, ele começa por avisar: «Não copie directamente as ferramentas e as tecnologias descritas neste artigo e não assuma que elas são seguras. Isto é apenas um ponto de partida, e não uma descrição de um produto final.»

Porque é que agora escrevo este artigo? Os problemas de segurança dos agentes de IA estão a ser seriamente subestimados

Vitalik aponta que, no início deste ano, a IA fez uma transformação importante de «chatbots» para «agents» — já não se trata apenas de lhe fazer perguntas, mas de lhe entregar tarefas, para que a IA pense durante muito tempo e chame centenas de ferramentas para as executar. Ele dá como exemplo o OpenClaw (actualmente o repo com maior crescimento na história do GitHub) e cita também vários problemas de segurança registados por investigadores:

• Um agente de IA pode modificar definições críticas sem confirmação humana, incluindo adicionar novos canais de comunicação e alterar instruções do sistema
• Analisar quaisquer entradas externas maliciosas (por exemplo, páginas web maliciosas) pode levar a que o agente seja totalmente tomado de assalto; numa demonstração da HiddenLayer, os investigadores fizeram a IA resumir um conjunto de páginas, incluindo uma página maliciosa que mandava o agente descarregar e executar um script de shell
• Algumas colecções de competências de terceiros (skills) executam exfiltração silenciosa de dados, enviando os dados para um servidor externo controlado pelo autor da competência através de instruções curl
• Nas skills que analisaram, cerca de 15% contêm instruções maliciosas

Vitalik sublinha que a sua abordagem à privacidade difere da de investigadores tradicionais de segurança informática: «Venho de uma posição profundamente receosa com a ideia de alimentar toda a vida pessoal de alguém a uma IA em nuvem — e, precisamente quando a criptografia ponta-a-ponta e software com preferência local finalmente se tornam mainstream, podemos estar a dar agora dez passos atrás.»

Cinco objectivos de segurança

Ele definiu um enquadramento claro de objectivos de segurança:

• Privacidade das LLM: em cenários que envolvam dados pessoais, reduzir ao máximo o uso de modelos remotos
• Outra privacidade: minimizar fugas de dados que não sejam das LLM (por exemplo, pesquisas, outras APIs online)
• Evasão (jailbreak) das LLM: impedir que conteúdos externos «invadam» a minha LLM, levando-a a contrariar os meus interesses (por exemplo, enviar os meus tokens ou dados privados)
• LLM acidental: impedir que a LLM envie inadvertidamente dados privados para canais errados ou os torne públicos na rede
• LLM backdoor: impedir mecanismos ocultos que sejam propositadamente treinados no modelo. Ele lembra especialmente: modelos abertos são pesos abertos (open-weights), e praticamente nenhum é verdadeiramente open-source (código aberto)

Escolhas de hardware: a 5090 ultrapassa o resto; a DGX Spark desilude

Vitalik testou três configurações de hardware de inferência local, usando principalmente o modelo Qwen3.5:35B, juntamente com llama-server e llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento, 90 tok/sec é ideal. O portátil NVIDIA 5090 foi o que ofereceu a melhor experiência, com maior fluidez; a AMD ainda tem muitos problemas nas margens, mas há esperança de melhorias no futuro. Um MacBook topo de gama também é uma opção eficaz, embora ele, pessoalmente, não o tenha testado.

Sobre a DGX Spark, ele foi pouco diplomático: «Foi descrita como um «supercomputador de IA para secretária», mas, na prática, os tokens/sec são mais baixos do que numa boa GPU de portátil, e ainda há de tratar de detalhes como a ligação à rede — isto é mesmo mau.» A sua recomendação é: se não conseguir pagar um portátil de topo, pode comprar em conjunto com amigos uma máquina suficientemente potente, colocá-la num local com IP fixo e todos usarem ligação remota para trabalhar com ela.

Porque é que os problemas de privacidade da IA local são mais urgentes do que imaginas

O artigo de Vitalik, em conjunto com o debate sobre os problemas de segurança do Claude Code lançado no mesmo dia, cria um eco interessante — enquanto os agentes de IA entram no fluxo quotidiano de desenvolvimento, os problemas de segurança também estão a passar de riscos teóricos a ameaças reais.

A mensagem central dele é muito clara: à medida que as ferramentas de IA ficam cada vez mais poderosas e cada vez mais capazes de aceder aos teus dados pessoais e às permissões do teu sistema, «prioridade ao local, isolamento em sandbox, confiança mínima» não é paranoia, é um ponto de partida racional.

• Este artigo foi republicado com autorização de: «鏈新聞»
• Título original: «Vitalik: Como criei um ambiente de trabalho de IA totalmente local, privado e com controlo autónomo»
• Autor do artigo original: Elponcrab