Виталик Бутерин поделился: как я создаю полностью локальную, приватную и самоуправляемую среду для работы с ИИ, которую можно самостоятельно контролировать

Виталик Бутерин выдвинул концепцию AI-архитектуры для локального запуска, подчеркнув конфиденциальность, безопасность и самообладание собой, и предупредил о потенциальных рисках AI-агентов.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своем личном сайте длинную статью, в которой поделился настройкой своей AI-рабочей среды, выстроенной вокруг конфиденциальности, безопасности и самообладания собой — все LLM выводят вычисления локально, все файлы хранятся локально, а среда полностью изолирована в песочнице; он намеренно избегает облачных моделей и внешних API.

В самом начале статьи он сначала предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это лишь отправная точка, а не описание готового продукта».

Почему сейчас он пишет об этом? Проблемы безопасности AI-агентов серьезно недооценены

Виталик отмечает, что в начале этого года AI совершил важный переход от «чат-ботов» к «агентам» — теперь вы не просто задаете вопросы, а поручаете задачи, заставляя AI думать длительное время и вызывать сотни инструментов для выполнения. Он приводит в пример OpenClaw (сейчас самый быстрорастущий repo за всю историю GitHub) и одновременно называет несколько проблем безопасности, зафиксированных исследователями:

• AI-агент может изменять критически важные настройки без подтверждения человеком, включая добавление новых каналов связи и изменение системных подсказок
• Парсинг любых вредоносных внешних входных данных (например, злонамеренных веб-страниц) может привести к тому, что агент будет полностью захвачен; в одном из демонстрационных показов HiddenLayer исследователь заставил AI суммировать подборку страниц, среди которых была вредоносная страница, которая командовала агенту скачать и выполнить shell-скрипт
• Некоторые сторонние пакеты навыков (skills) выполняют тихую утечку данных — они отправляют данные на внешние серверы, находящиеся под контролем автора навыков, с помощью команд curl
• В навыках, которые они проанализировали, примерно 15% содержали вредоносные инструкции

Виталик подчеркивает, что его отправная точка по конфиденциальности отличается от традиционной позиции исследователей по кибербезопасности: «Я исхожу из позиции глубокой тревоги из-за того, что личная жизнь целиком отдается облачному AI — в то время как, прямо сейчас, когда сквозное шифрование и локальное приоритетное ПО наконец стали мейнстримом, мы, возможно, делаем шаг назад на десять».

Пять целей безопасности

Он установил четкую рамку целей безопасности:

• Конфиденциальность LLM: в сценариях с участием персональных данных — по возможности сокращать использование удаленных моделей
• Другая конфиденциальность: минимизировать утечку данных, не относящихся к LLM (например, поисковые запросы, другие онлайн API)
• Утечка LLM (jailbreak): не допустить «взлома» моего LLM внешним контентом, чтобы он действовал вопреки моим интересам (например, отправлял мои токены или мои приватные данные)
• Незапланированные действия LLM: не допустить, чтобы LLM ошибочно отправлял приватные данные по неверным каналам или публиковал их в сети
• LLM-бэкдор: предотвращать скрытые механизмы, преднамеренно обученные попадать в модель. Он особенно напоминает: открытые модели — это открытые веса (open-weights), и почти ни одна из них не является по-настоящему открытым исходным кодом (open-source)

Выбор по железу: ноутбук 5090 побеждает, DGX Spark разочаровывает

Виталик протестировал три варианта оборудования для локального вывода, в основном используя модель Qwen3.5:35B в связке с llama-server и llama-swap:

Его вывод: ниже 50 tok/sec слишком медленно, а 90 tok/sec — идеальный вариант. Опыт с NVIDIA 5090 ноутбуком самый плавный; у AMD пока еще больше пограничных проблем, но в будущем это, как ожидается, улучшится. Старший MacBook тоже является рабочим вариантом, только он лично не пробовал.

Про DGX Spark он сказал прямо без обиняков: «Его описывают как “настольный суперкомпьютер для AI”, но на деле tokens/sec ниже, чем у хороших GPU в ноутбуках; и к тому же нужно дополнительно разбираться с подключением к сети и прочими деталями — это очень слабо». Его рекомендация: если вы не можете позволить себе дорогой ноутбук, купите вместе с друзьями достаточно мощную машину, поставьте ее в месте с фиксированным IP и используйте удаленно, подключаясь всем вместе.

Почему проблемы конфиденциальности локального AI более срочные, чем вы думаете

Статья Виталика перекликается с обсуждением вопросов безопасности, запущенным в тот же день вместе с Claude Code — пока AI-агенты входят в повседневные рабочие процессы разработки, проблемы безопасности тоже переходят из теоретических рисков в реальные угрозы.

Его основное послание очень ясное: в момент, когда AI-инструменты становятся все мощнее и все лучше получают доступ к вашим персональным данным и системным правам, «локальный приоритет, песочница, минимальное доверие» — это не паранойя, а разумная отправная точка.

• Эта статья воспроизведена с разрешения издания: «ChainNews»
• Оригинальное название: «Vitalik：Как я построил полностью локальную, приватную и поддающуюся контролю AI-рабочую среду»
• Оригинальный автор: Elponcrab