V神 делится: как я создал полностью локальную, конфиденциальную и автономно управляемую среду для работы с ИИ

Виталик Бутерин предложил архитектуру ИИ для локального запуска, подчеркнув конфиденциальность, безопасность и самосуверенитет, а также предупредил о потенциальных рисках AI-агентов.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своем персональном сайте длинный пост, в котором поделился настройкой своей рабочей среды для ИИ, построенной с фокусом на конфиденциальность, безопасность и самосуверенитет: все выводы LLM выполняются локально, все файлы хранятся локально, среда полностью изолирована в песочнице; он намеренно обходит облачные модели и внешние API.

В начале статьи он сначала предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это лишь отправная точка, а не описание готового продукта».

Почему сейчас он пишет об этом? Проблемы безопасности AI-агентов сильно недооценены

Виталик указывает, что в начале этого года ИИ совершил важный переход от «чат-ботов» к «агентам»: теперь вы не просто задаете вопросы, а поручаете задачи, заставляя ИИ долго размышлять и вызывать сотни инструментов для выполнения. Он приводит в пример OpenClaw (repo, который сейчас растет быстрее всего за всю историю GitHub) и одновременно называет несколько проблем безопасности, зафиксированных исследователями:

• AI-агент может изменять критически важные настройки без подтверждения человеком, включая добавление новых каналов связи и изменение системных подсказок
• Разбор любых вредоносных внешних входных данных (например, вредоносной веб-страницы) может привести к полному захвату agent; в одной демонстрации от HiddenLayer исследователи заставили ИИ кратко пересказать набор веб-страниц, в котором пряталась вредоносная страница, дающая команду agent загрузить и выполнить shell-скрипт
• Некоторые сторонние пакеты навыков (skills) выполняют скрытую утечку данных, пересылая их через curl на внешний сервер, которым управляет автор навыков
• В проанализированных им пакетах навыков примерно 15% содержат вредоносные команды

Виталик подчеркивает, что его подход к конфиденциальности отличается от традиционной работы исследователей по кибербезопасности: «Я пришел из позиции, где глубоко страшно отдавать в облачный ИИ полностью все личные данные — прямо в тот момент, когда, наконец, стали мейнстримом сквозное шифрование и программное обеспечение с приоритетом локального использования, мы, возможно, делаем шаг назад на десять шагов».

Пять целей безопасности

Он установил четкую рамку целей безопасности:

• Конфиденциальность LLM: в сценариях, связанных с персональными данными, максимально снижать использование удаленных моделей
• Другая конфиденциальность: минимизировать утечки данных, не относящихся к LLM (например, поисковые запросы, другие онлайн API)
• Удержание LLM от «запирания»: предотвращать «взлом» моего LLM внешним контентом, чтобы он нарушал мои интересы (например, отправка моих токенов или частных данных)
• Неожиданности LLM: предотвратить случайную отправку LLM персональных данных в неверные каналы или публикацию в сети
• LLM-бэкдор: предотвратить скрытые механизмы, намеренно обученные быть встроенными в модель. Он особо напоминает: открытая модель — это открытые веса (open-weights), и почти ни одна из них не является действительно открытым исходным кодом (open-source)

Выбор оборудования: 5090 выигрывает, DGX Spark разочаровывает

Виталик протестировал три конфигурации оборудования для локального вывода и основную модель Qwen3.5:35B вместе с llama-server и llama-swap:

Его вывод таков: ниже 50 tok/sec слишком медленно, 90 tok/sec — идеально. Ощущения от NVIDIA 5090 ноутбука самые плавные; у AMD сейчас еще больше пограничных проблем, но в будущем есть надежда на улучшения. Старшие варианты MacBook тоже подходят, но лично он их не тестировал.

Про DGX Spark он сказал довольно прямо: «Его описывают как “настольный суперкомпьютер для ИИ”, но по факту tokens/sec ниже, чем у хорошего GPU в ноутбуке, и еще нужно отдельно разбираться с сетевым подключением и прочими деталями — это слабо». Его рекомендация такая: если вы не можете позволить себе дорогой ноутбук, можно купить достаточно мощную машину совместно с друзьями, поставить в месте с фиксированным IP и подключаться к ней удаленно.

Почему проблемы конфиденциальности локального ИИ более срочные, чем вы думаете

Эта статья Виталика перекликается с обсуждением безопасностных проблем Claude Code, опубликованным в тот же день: в то время как AI-агенты входят в повседневный рабочий процесс разработки, вопросы безопасности тоже переходят от теоретических рисков к реальным угрозам.

Его ключевое сообщение очень ясное: когда ИИ-инструменты становятся все мощнее и все лучше получают доступ к вашим персональным данным и системным правам, «локальный приоритет, песочница, минимальное доверие» — это не паранойя, а рациональная отправная точка.

• Эта статья опубликована с разрешения из:《鏈新聞》
• Оригинальный заголовок:《Vitalik：как я создал полностью локальную, приватную и подконтрольную мне рабочую среду для ИИ》
• Оригинальный автор: Elponcrab