В.神 поділився: як я створив повністю локальне, конфіденційне та самокероване середовище для роботи з ШІ

Віталік Бутерін запропонував архітектуру ШІ для локального запуску, наголосивши на приватності, безпеці та самостійному суверенітеті, і попередив про потенційні ризики для AI agent.

Засновник Ethereum Віталік Бутерін 2 квітня на власному сайті опублікував довгий допис, у якому поділився налаштуваннями робочого середовища для ШІ, створеного з акцентом на приватність, безпеку та самостійному суверенітеті — усі LLM-виводи виконуються локально, усі файли зберігаються локально, все повністю ізольовано в пісочниці, і навмисно уникаються хмарні моделі та зовнішні API.

На початку статті він спершу попереджає: «Не копіюйте напряму інструменти й технології, описані в цій статті, та не припускайте, що вони безпечні. Це лише відправна точка, а не опис готового продукту».

Чому зараз пише цю статтю? Безпекові проблеми AI agent недооцінені

Віталік зазначив, що на початку цього року ШІ здійснив важливий перехід від «чат-бота» до «agent» — тепер ти не просто ставиш запитання, а передаєш завдання, даючи ШІ довго міркувати та викликати сотні інструментів для виконання. Він наводить приклад OpenClaw (зараз найшвидше зростаючий repo в історії GitHub) і одночасно називає кілька проблем безпеки, зафіксованих дослідниками:

• AI agent може змінювати ключові налаштування без потреби в підтвердженні людиною, зокрема додавати нові канали зв’язку та змінювати системні підказки
• Аналіз будь-яких шкідливих зовнішніх вхідних даних (наприклад, зловмисних вебсторінок) може призвести до повного захоплення agent; у демонстрації HiddenLayer дослідник змусив ШІ підсумувати добірку вебсторінок, серед яких був один шкідливий, який наказував agent завантажити й виконати shell-скрипт
• Частина сторонніх наборів навичок (skills) виконує приховане витікання даних, відправляючи їх через інструкцію curl на зовнішній сервер, контрольований автором навичок
• У тих наборах навичок, які вони проаналізували, приблизно 15% містять зловмисні інструкції

Віталік підкреслив, що його відправна точка щодо приватності відрізняється від позиції традиційних дослідників кібербезпеки: «Я прийшов з позиції глибокого страху перед тим, що особисте життя цілком віддають хмарному ШІ. Саме в той момент, коли наскрізне шифрування та локально-перший софт нарешті стають мейнстримом, ми можемо зробити крок назад аж на десять».

П’ять цілей безпеки

Він встановив чітку рамку цілей безпеки:

• Приватність LLM: у ситуаціях, що стосуються персональних даних, максимально зменшувати використання віддалених моделей
• Інша приватність: мінімізувати витік даних, які не належать LLM (наприклад, пошукові запити, інші онлайн API)
• Діскваліфікація LLM: не допустити «впровадження» зовнішнього контенту в мій LLM, щоб він діяв всупереч моїм інтересам (наприклад, надсилати мої токени або приватні дані)
• Непередбачуваність LLM: не допустити, щоб LLM помилково надіслав приватні дані не туди або зробив їх публічними в мережі через неправильні канали
• Backdoor LLM: не допустити прихованих механізмів, спеціально натренованих у модель. Він окремо зауважує: відкриті моделі — це відкриті ваги (open-weights), і майже жодна з них насправді не є відкритим вихідним кодом (open-source)

Вибір заліза: 5090 ноутбук перемагає, DGX Spark розчаровує

Віталік протестував три конфігурації заліза для локального виводу, основною користувався моделлю Qwen3.5:35B у парі з llama-server та llama-swap:

Його висновок такий: нижче 50 tok/sec — занадто повільно, 90 tok/sec — ідеально. Досвід із NVIDIA 5090 ноутбуком найплавніший; у AMD наразі ще є більше крайових проблем, але в майбутньому є надія, що це покращиться. Преміальні MacBook також є робочими варіантами, але він особисто їх не тестував.

Про DGX Spark він сказав напряму, без церемоній: «Його описують як “настільний AI-суперкомп’ютер”, але на практиці tokens/sec нижчі, ніж у кращого ноутбучного GPU, і ще треба додатково розв’язати деталі на кшталт мережевого підключення — це дуже слабко». Його порада: «Якщо не можете дозволити собі дорогий ноутбук, купіть достатньо потужну машину разом із друзями, розмістіть її в місці з фіксованим IP, і всі підключайтеся віддалено для спільного використання».

Чому приватність локального AI — більш нагальна проблема, ніж ти думаєш

Цей допис Віталіка перегукується з дискусією про безпекові проблеми Claude Code, яку того ж дня опублікували — у той час, коли AI agent входить у щоденний робочий процес розробки, питання безпеки також переходить із теоретичних ризиків у реальні загрози.

Його головне повідомлення дуже чітке: у світі, де AI-інструменти стають дедалі потужнішими й дедалі краще отримують доступ до твоїх персональних даних та прав доступу до системи, «локально-перший, ізольований у пісочниці, мінімальна довіра» — це не параноя, а розумна відправна точка.

• Цю статтю дозволено перевидати з:《鏈新聞》
• Оригінальна назва:《Vitalik：我如何打造完全本地、私密、自主可控的 AI 工作環境》
• Автор оригіналу：Elponcrab