V神 chia sẻ: Tôi xây dựng như thế nào một môi trường làm việc AI hoàn toàn cục bộ, riêng tư, tự chủ và có thể kiểm soát hoàn toàn

Vitalik Buterin 提出 mô hình AI chạy tại chỗ, nhấn mạnh quyền riêng tư, an toàn và quyền tự chủ của bản thân, đồng thời cảnh báo về các rủi ro tiềm ẩn của AI Agent.

Người sáng lập Ethereum Vitalik Buterin ngày 2 tháng 4 đã đăng một bài viết dài trên trang web cá nhân, chia sẻ môi trường làm việc AI mà ông xây dựng với quyền riêng tư, an toàn và quyền tự chủ của bản thân làm trọng tâm—tất cả suy luận LLM được thực thi cục bộ, tất cả tệp được lưu trữ cục bộ, được sandbox hóa toàn diện, cố ý tránh các mô hình trên đám mây và các API bên ngoài.

Ngay ở phần mở đầu bài viết, ông cảnh báo: “Xin đừng sao chép trực tiếp các công cụ và công nghệ được mô tả trong bài viết này, đồng thời hãy đừng cho rằng chúng an toàn. Đây chỉ là một điểm khởi đầu, không phải mô tả về một sản phẩm hoàn chỉnh.”

Vì sao bây giờ lại viết bài này? Vấn đề an toàn của AI agent đang bị đánh giá quá thấp

Vitalik chỉ ra rằng, trong năm nay, AI đã hoàn tất một bước chuyển quan trọng từ “chatbot” sang “agent”—bạn không còn chỉ hỏi câu hỏi nữa, mà là giao nhiệm vụ, để AI suy nghĩ trong thời gian dài, gọi hàng trăm công cụ để thực thi. Ông lấy OpenClaw (hiện là repo phát triển nhanh nhất trong lịch sử GitHub) làm ví dụ, đồng thời nêu ra nhiều vấn đề an toàn do các nhà nghiên cứu đã ghi nhận:

• AI agent có thể sửa đổi các thiết lập then chốt mà không cần xác nhận của con người, bao gồm việc thêm các kênh liên lạc mới và sửa đổi system prompt
• Phân tích bất kỳ dữ liệu đầu vào độc hại nào (như trang web độc hại) đều có thể khiến agent bị chiếm quyền hoàn toàn; trong một buổi trình diễn của HiddenLayer, các nhà nghiên cứu cho AI tóm tắt một loạt trang web, trong đó có một trang độc hại ra lệnh cho agent tải xuống và thực thi một shell script
• Một phần bộ kỹ năng bên thứ ba (skills) thực thi rò rỉ dữ liệu âm thầm, thông qua lệnh curl để gửi dữ liệu tới máy chủ bên ngoài do tác giả kỹ năng kiểm soát
• Trong các bộ kỹ năng mà họ phân tích, khoảng 15% chứa các lệnh độc hại

Vitalik nhấn mạnh rằng điểm xuất phát của ông về quyền riêng tư khác với các nhà nghiên cứu an ninh truyền thống: “Tôi đến từ một lập trường rất sợ hãi việc đưa toàn bộ đời sống cá nhân của mình cho AI trên đám mây—ngay khi mã hóa đầu-cuối (end-to-end encryption) và phần mềm ưu tiên chạy tại chỗ cuối cùng trở thành xu hướng chủ đạo, thì chúng ta có thể lại thụt lùi mười bước.”

Năm mục tiêu an toàn

Ông đặt ra một khung mục tiêu an toàn rõ ràng:

• Quyền riêng tư của LLM: trong các tình huống liên quan đến dữ liệu riêng tư cá nhân, hạn chế tối đa việc dùng mô hình từ xa
• Quyền riêng tư khác: giảm thiểu rò rỉ dữ liệu ngoài LLM (ví dụ truy vấn tìm kiếm, các API trực tuyến khác)
• LLM jailbreak: ngăn nội dung bên ngoài “xâm nhập” LLM của tôi, khiến nó đi ngược lại lợi ích của tôi (ví dụ gửi token của tôi hoặc dữ liệu cá nhân của tôi)
• LLM ngoài ý muốn: ngăn LLM vô tình gửi dữ liệu riêng tư đến kênh sai hoặc công khai lên mạng
• LLM backdoor: ngăn các cơ chế ẩn được cố tình huấn luyện vào mô hình. Ông đặc biệt nhắc nhở: mô hình mở là mở trọng số (open-weights), hầu như không có cái nào thực sự là mã nguồn mở (open-source)

Lựa chọn phần cứng: 5090 laptop thắng thế, DGX Spark gây thất vọng

Vitalik đã thử ba cấu hình phần cứng suy luận tại chỗ khác nhau, chủ yếu dùng mô hình Qwen3.5:35B, kết hợp llama-server và llama-swap:

Kết luận của ông là: chậm hơn 50 tok/sec thì quá ì ạch, còn 90 tok/sec là lý tưởng. Trải nghiệm với NVIDIA 5090 laptop mượt mà nhất; AMD hiện vẫn còn nhiều vấn đề biên, nhưng trong tương lai có hy vọng cải thiện. MacBook cao cấp cũng là một lựa chọn hiệu quả, chỉ là ông cá nhân không trực tiếp thử.

Về DGX Spark, ông thẳng thắn nói không chút nể nang: “Được mô tả là ‘máy tính siêu cấp AI cho desktop’, nhưng thực tế tokens/sec lại thấp hơn GPU trên laptop tốt hơn, và còn phải xử lý thêm các chi tiết như kết nối mạng—thế là kém.” Khuyến nghị của ông là: nếu không đủ khả năng chi cho một laptop tầm cao, hãy cùng bạn bè mua chung một máy đủ mạnh, đặt ở nơi có IP cố định, rồi mọi người kết nối từ xa để sử dụng.

Vì sao vấn đề quyền riêng tư của AI chạy tại chỗ cấp bách hơn bạn nghĩ

Bài viết của Vitalik này có sự liên hệ thú vị với phần thảo luận về vấn đề an toàn của Claude Code được phát hành cùng ngày—khi AI agent bước vào quy trình phát triển công việc hằng ngày, các vấn đề an toàn cũng đang chuyển từ rủi ro lý thuyết thành mối đe dọa hiện thực.

Thông điệp cốt lõi của ông rất rõ ràng: trong bối cảnh các công cụ AI ngày càng mạnh hơn, ngày càng có khả năng truy cập dữ liệu cá nhân và quyền hạn hệ thống của bạn, thì “ưu tiên chạy tại chỗ, sandbox hóa, tối thiểu hóa niềm tin” không phải là cố chấp, mà là điểm khởi đầu hợp lý.

• Bài viết này được cho phép đăng lại từ：《鏈新聞》
• Tiêu đề gốc：《Vitalik：Tôi đã tạo dựng môi trường làm việc AI hoàn toàn chạy tại chỗ, riêng tư và tự do kiểm soát như thế nào》
• Tác giả gốc：Elponcrab