V神 ділиться: як я створив повністю локальне, приватне та автономне середовище для роботи з ШІ, яке можна повністю контролювати

Віталік Бутерін запропонував архітектуру ШІ для локального запуску, наголосивши на конфіденційності, безпеці та самостійному суверенітеті, а також попередив про потенційні ризики для ШІ-агентів.

Засновник Ethereum Віталік Бутерін 2 квітня на своєму персональному сайті опублікував розлогий допис, у якому розповів про налаштування робочого середовища для ШІ, створеного з конфіденційністю, безпекою та самостійному суверенітеті як основою — усі виведення LLM виконуються локально, усі файли зберігаються локально, середовище повністю ізольоване в пісочниці; він навмисно уникає хмарних моделей та зовнішніх API.

На початку статті він спочатку попереджає: «Будь ласка, не копіюйте інструменти й технології, описані в цій статті, та не припускайте, що вони безпечні. Це лише відправна точка, а не опис готового продукту».

Чому зараз він пише цю статтю? Проблеми безпеки AI agent серйозно недооцінені

Віталік зазначає, що на початку цього року ШІ здійснив важливий перехід від «чатбота» до «агента» — тепер вам не просто ставлять питання, а виконують доручення: ШІ довго міркує, викликає сотні інструментів для виконання задач. Він наводить приклад OpenClaw (наразі найшвидше зростаючий репозиторій в історії GitHub) і водночас називає низку проблем безпеки, зафіксованих дослідниками:

• ШІ-агент може змінювати ключові налаштування без підтвердження людиною, зокрема додавати нові канали зв’язку та змінювати системні підказки
• Розбір будь-яких зловмисних зовнішніх вхідних даних (наприклад, зловмисної вебсторінки) може призвести до того, що агент буде повністю захоплений; у демонстрації HiddenLayer дослідник змусив ШІ звести докупи дайджест низки вебсторінок, серед яких була сторінка, що віддавала команду агенту завантажити й виконати shell-скрипт
• Деякі пакети сторонніх навичок (skills) виконують мовчазне витікання даних, пересилаючи їх за допомогою curl на зовнішній сервер, контрольований автором навичок
• У навичках, які вони проаналізували, приблизно 15% містять зловмисні інструкції

Віталік наголошує, що його позиція щодо конфіденційності відрізняється від підходу традиційних дослідників із кібербезпеки: «Я з позиції, глибоко наляканої тим, що особисте життя повністю скармлюють хмарному ШІ — і саме в той момент, коли наскрізне шифрування та локальне пріоритетне програмне забезпечення нарешті стали масовими, ми, можливо, робимо крок назад на десять кроків».

П’ять цілей безпеки

Він встановив чітку рамку цілей безпеки:

• Конфіденційність LLM: у ситуаціях, що стосуються персональних даних, максимально обмежувати використання віддалених моделей
• Інша конфіденційність: мінімізувати витік даних, не пов’язаних з LLM (наприклад, пошукові запити, інші онлайн API)
• Утеча LLM: не допустити «взлому» моєї LLM зовнішнім контентом, щоб вона діяла всупереч моїм інтересам (наприклад, надсилала мої токени або приватні дані)
• Непередбачене: не допустити того, щоб LLM помилково передала приватні дані в неправильний канал або зробила їх публічними в мережі
• Задній прохід у LLM: не допустити прихованого механізму, навмисно натренованого в модель. Він особливо підкреслює: відкриті моделі — це відкриті ваги (open-weights), і майже жодна з них справді є відкритим вихідним кодом (open-source)

Вибір заліза: 5090 ноутбук перемагає, DGX Spark розчаровує

Віталік протестував три варіанти локальних конфігурацій для виведення виводу, основна модель — Qwen3.5:35B, у поєднанні з llama-server і llama-swap:

Його висновок: нижче 50 tok/sec — надто повільно, 90 tok/sec — ідеально. Досвід із NVIDIA 5090 ноутбуком був найплавнішим; у AMD на даний момент ще є більше крайових проблем, але в майбутньому очікується покращення. Дорогий MacBook також є ефективним варіантом, але особисто він його не тестував.

Про DGX Spark він висловився доволі різко: «Його описують як “настільний AI-суперкомп’ютер”, але на практиці tokens/sec нижчий, ніж у ноутбучних GPU, які працюють краще, і ще треба додатково розібратися з мережевими підключеннями та деталями — це дуже слабко». Його рекомендація така: якщо ви не можете дозволити собі дорогий ноутбук, можна разом із друзями придбати один потужний пристрій, поставити його в місці з фіксованим IP, а всі користувачі будуть підключатися віддалено.

Чому проблеми конфіденційності локального ШІ більш нагальні, ніж ви думаєте

Цей допис Віталіка перегукується з обговоренням безпекових проблем Claude Code, який вийшов того ж дня — у той час як AI agent заходить у щоденний робочий процес розробки, питання безпеки теж переходять із теоретичних ризиків у реальні загрози.

Його ключове повідомлення дуже чітке: у момент, коли інструменти ШІ стають дедалі потужнішими й дедалі краще отримують доступ до ваших персональних даних та системних дозволів, «локально з пріоритетом, у пісочниці, з мінімальною довірою» — це не параноя, а раціональна відправна точка.

• Цей матеріал переопубліковано за ліцензією з: 《鏈新聞》
• Оригінальна назва: 《Vitalik：我如何打造完全本地、私密、自主可控的 AI 工作環境》
• Оригінальний автор: Elponcrab