Виталик Бутерин делится: как я создаю полностью локальную, конфиденциальную и самостоятельно контролируемую рабочую среду для ИИ

Виталик Бутерин предложил архитектуру для запуска ИИ локально, подчеркнув приватность, безопасность и само суверенитет, а также предупредил о потенциальных рисках AI Agent.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своем личном сайте развернутую статью, в которой рассказал о своем AI-рабочем окружении, построенном с упором на приватность, безопасность и само суверенитет: все LLM делают выводы локально, все файлы хранятся локально, все полностью изолировано в песочнице; он намеренно уходит от облачных моделей и внешних API.

С самого начала статьи он предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это лишь отправная точка, а не описание готового продукта».

Почему сейчас эта статья? Проблемы безопасности AI-агентов серьезно недооценены

Виталик отмечает, что в начале этого года ИИ совершил важный переход с «чат-бота» на «агента»: теперь дело не только в том, чтобы задавать вопросы — нужно передавать задачи, чтобы ИИ долго обдумывал и вызывал сотни инструментов для их выполнения. Он приводит пример OpenClaw (сейчас это репозиторий с самым быстрым ростом за всю историю GitHub) и одновременно называет несколько проблем безопасности, зафиксированных исследователями:

• AI agent может изменять критически важные настройки без подтверждения человеком, включая добавление новых каналов связи и изменение системных подсказок
• Разбор любых вредоносных внешних входных данных (например, злонамеренной веб-страницы) может привести к тому, что agent будет полностью захвачен; в одной демонстрации HiddenLayer исследователь попросил ИИ сделать резюме по набору веб-страниц, и среди них оказалась страница, которая могла дать команду agent скачать и выполнить shell-скрипт
• Некоторые сторонние наборы навыков (skills) выполняют незаметную утечку данных: с помощью команды curl они отправляют данные на внешний сервер, который контролирует автор навыка
• В навыках, которые они проанализировали, около 15% содержат вредоносные команды

Виталик подчеркивает, что его позиция по отношению к приватности отличается от традиционных исследователей в области кибербезопасности: «Я пришел из позиции, которая глубоко боится отдавать всю личную жизнь в облачный ИИ — в тот момент, когда сквозное шифрование и ПО с приоритетом локального использования наконец стали массовыми, мы, возможно, делаем шаг назад на десять шагов».

Пять целей безопасности

Он задал рамку четких целей безопасности:

• Приватность LLM: в ситуациях, связанных с персональными данными, максимально ограничивать использование удаленных моделей
• Другая приватность: минимизировать утечки данных, не относящиеся к LLM (например, поисковые запросы, другие онлайн API)
• Взлом LLM (jailbreak): не допустить «взлома» моего LLM внешним контентом, чтобы он действовал вопреки моим интересам (например, отправлял мои токены или частные данные)
• Неожиданность LLM: не допустить, чтобы LLM по ошибке отправлял приватные данные в неверный канал или публиковал их в сети
• Backdoor LLM: не допустить скрытый механизм, намеренно встроенный в модель через обучение. Он особенно напоминает: открытые модели — это открытые веса (open-weights), и почти не существует по-настоящему открытого исходного кода (open-source)

Выбор железа: 5090 ноутбук побеждает, DGX Spark разочаровывает

Виталик протестировал три варианта локальных конфигураций для вывода, в основном используя модель Qwen3.5:35B, вместе с llama-server и llama-swap:

Его вывод таков: ниже 50 tok/sec слишком медленно, 90 tok/sec — идеально. Опыт с NVIDIA 5090 ноутбуком самый плавный; у AMD сейчас еще больше пограничных проблем, но в будущем есть надежда, что станет лучше. Высокопроизводительный MacBook тоже является рабочим вариантом, но он лично его не тестировал.

Про DGX Spark он высказался довольно резко: «Его описывают как „настольный AI-суперкомпьютер“, но на практике tokens/sec ниже, чем у хорошего ноутбучного GPU, и еще приходится дополнительно разбираться с сетевым подключением и прочими деталями — это довольно жалко». Его совет: если вы не можете позволить себе топовый ноутбук, можно купить достаточно мощную машину совместно с друзьями, разместить ее в месте с фиксированным IP и пользоваться ею удаленно всем вместе.

Почему проблемы приватности локального ИИ более срочные, чем вы думаете

Эта статья Виталика перекликается с дискуссией по вопросам безопасности Claude Code, выпущенного в тот же день: пока AI-агенты входят в повседневные рабочие процессы разработки, проблемы безопасности тоже переходят из теоретических рисков в реальные угрозы.

Его ключевое сообщение очень четкое: в момент, когда AI-инструменты становятся все мощнее и все лучше получают доступ к вашим персональным данным и правам системы, «локально в первую очередь, изолировано в песочнице, минимальное доверие» — это не паранойя, а рациональная отправная точка.

• Эта статья предоставлена для перепечатки по лицензии из: 《鏈新聞》
• Оригинальный заголовок: 《Vitalik：Как я построил полностью локальную, приватную и поддающуюся контролю AI-среду для работы》
• Автор оригинала: Elponcrab