Виталик Бутерин поделился: как я создаю полностью локальную, приватную, автономно контролируемую рабочую среду для ИИ

Виталик Бутерин предложил архитектуру ИИ для локального запуска, подчеркнув конфиденциальность, безопасность и само в о е ренность, а также предупредив о потенциальных рисках ИИ-агентов.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своем персональном сайте пространную статью, в которой поделился настройкой своей ИИ-среды, построенной с конфиденциальностью, безопасностью и самосо в е ренностью в качестве основы — все выводы LLM выполняются локально, все файлы хранятся локально, среда полностью изолирована в песочнице; он намеренно уходит от облачных моделей и внешних API.

В начале статьи он сначала предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это лишь отправная точка, а не описание готового продукта».

Почему сейчас он пишет об этом? Проблемы безопасности AI agent серьезно недооценены

Виталик отмечает, что в начале этого года ИИ совершил важный переход от «чат-ботов» к «agent». Теперь вы не просто задаете вопросы — вы поручаете задачи, заставляя ИИ долго обдумывать, вызывать сотни инструментов для выполнения. Он приводит в пример OpenClaw (сейчас — репозиторий с самым быстрым ростом в истории GitHub) и одновременно называет несколько проблем безопасности, зафиксированных исследователями:

• AI agent может изменять критически важные настройки без необходимости ручного подтверждения, включая добавление новых каналов связи и изменение системных подсказок
• Парсинг любых вредоносных внешних входных данных (например, злонамеренной веб-страницы) может привести к тому, что agent окажется полностью захвачен; в одной демонстрации HiddenLayer исследователь заставил ИИ сделать краткое резюме по пачке веб-страниц, среди которых была страница, которая должна командовать агенту скачать и выполнить shell-скрипт
• Некоторые сторонние наборы навыков (skills) выполняют скрытую утечку данных, передавая их через curl на внешние серверы, контролируемые автором навыка
• В проанализированных им наборах навыков около 15% содержат вредоносные команды

Виталик подчеркивает, что его подход к конфиденциальности отличается от традиционной позиции исследователей по кибербезопасности: «Я исхожу из позиции человека, который глубоко боится того, как личная жизнь целиком попадает в облачный ИИ — прямо в тот момент, когда сквозное шифрование и локально-приоритетное ПО наконец становятся мейнстримом, мы, возможно, откатываемся на десять шагов назад».

Пять целей безопасности

Он установил четкую рамку целей безопасности:

• Конфиденциальность LLM: в ситуациях, связанных с персональными данными, максимально сокращать использование удаленных моделей
• Другая конфиденциальность: минимизировать утечки данных, не относящихся к LLM (например, запросы поиска, другие онлайн API)
• Взлом LLM: не допускать «взлома» моей LLM внешним контентом, чтобы она действовала против моих интересов (например, отправляла мои токены или приватные данные)
• Непредвиденное поведение LLM: не допускать, чтобы LLM по ошибке отправляла приватные данные в неверный канал или публиковала их в сети
• Задняя дверь LLM: не допускать скрытые механизмы, намеренно обученные встроенными в модель. Он особо напоминает: открытые модели — это открытые веса (open-weights), и почти ни одна из них не является по-настоящему открытым исходным кодом (open-source)

Выбор железа: 5090 ноутбук обходит DGX Spark, который разочаровал

Виталик протестировал три конфигурации локального вывода (inference), основной упор — на модель Qwen3.5:35B, в связке с llama-server и llama-swap:

Его вывод: ниже 50 tok/sec слишком медленно, 90 tok/sec — идеально. Опыт с NVIDIA 5090 ноутбуком самый плавный; у AMD сейчас еще больше пограничных проблем, но в будущем есть надежда, что это улучшится. Старший MacBook тоже является рабочим вариантом, но лично он не тестировал.

Про DGX Spark он сказал довольно прямо: «Его описывают как „настольный AI-суперкомпьютер“, но по факту tokens/sec ниже, чем у более хороших GPU в ноутбуках, и вдобавок нужно еще разбираться с деталями вроде сетевого подключения — это очень слабo». Его рекомендация такая: если вы не можете позволить себе топовый ноутбук, можно купить достаточно мощную машину совместно с друзьями, разместить ее в месте с фиксированным IP и всем использовать удаленное подключение.

Почему проблемы конфиденциальности локального ИИ более срочные, чем вы думаете

Эта статья Виталика перекликается с дискуссией по вопросам безопасности Claude Code, опубликованной в тот же день: пока AI agent входит в повседневный рабочий процесс разработки, вопросы безопасности тоже переходят из теоретического риска в реальные угрозы.

Его ключевое послание предельно ясное: в тот момент, когда AI-инструменты становятся все мощнее и все лучше получают доступ к вашим персональным данным и системным правам, «локально-приоритетно, в песочнице, минимальное доверие» — это не паранойя, а разумная отправная точка.

• Эта статья воспроизведена с разрешения издания: «Цепная новостная лента»
• Оригинальный заголовок: «Виталик: как я создал полностью локальную, приватную и самоуправляемую среду работы для ИИ»
• Автор оригинала: Elponcrab