Vitalik Buterin z Ethereum varuje před bezpečnostními riziky spojenými s agenty umělé inteligence a představuje svůj vlastní stack modelů LLM

Hlavní body:

• Spoluzakladatel Ethereum Vitalik Buterin opustil cloudovou AI v dubnu 2026 a spustil Qwen3.5:35B lokálně na notebooku s grafickou kartou Nvidia 5090 při rychlosti 90 tokenů za sekundu.
• Buterin zjistil, že přibližně 15 % dovedností agentů AI obsahuje škodlivé pokyny, přičemž citoval data bezpečnostní firmy Hiddenlayer.
• Jeho open-source messaging daemon vynucuje pravidlo potvrzení „člověk plus LLM 2 z 2“ pro všechny odchozí akce v Signal a e-mailech směrem k třetím stranám.

Jak Vitalik Buterin provozuje systém AI se samostatnou suverenitou bez přístupu k cloudu

Buterin popsal systém jako „samosprávný / lokální / soukromý / bezpečný“ a uvedl, že byl vytvořen jako přímá reakce na to, co považuje za závažné selhání v oblasti bezpečnosti a ochrany soukromí, které se šíří v prostředí agentů AI. Poukázal na výzkum, který ukazuje, že přibližně 15 % dovedností agentů, neboli plug-in nástrojů, obsahuje škodlivé instrukce. Bezpečnostní firma Hiddenlayer demonstrovala, že analýza jediné škodlivé webové stránky může zcela ohrozit instanci Openclaw, což jí umožní stahovat a spouštět shellové skripty bez vědomí uživatele.

„Vycházím z myšlenky, že se hluboce obávám toho, že právě když jsme konečně udělali krok vpřed v oblasti soukromí díky mainstreamovému rozšíření šifrování typu end-to-end a stále více softwaru upřednostňujícího lokální řešení, jsme na pokraji toho, že uděláme deset kroků zpět,“ napsal Buterin.

Jeho hardwarem volby je notebook s grafickou kartou Nvidia 5090 s 24 GB grafické paměti. Při spuštění modelu Qwen3.5:35B s otevřenými váhami od Alibaby přes llama-server dosahuje tato konfigurace 90 tokenů za sekundu, což Buterin označuje za cíl pro pohodlné každodenní použití. Testoval AMD Ryzen AI Max Pro se 128 GB sjednocené paměti, který dosáhl 51 tokenů za sekundu, a DGX Spark, který dosáhl 60 tokenů za sekundu.

Uvedl, že DGX Spark, uváděný na trh jako stolní AI superpočítač, nebyl vzhledem ke své ceně a nižší propustnosti ve srovnání s dobrým grafickým procesorem v notebooku nijak působivý. Co se týče operačního systému, Buterin přešel z Arch Linuxu na NixOS, který uživatelům umožňuje definovat celou konfiguraci systému v jediném deklarativním souboru. Jako démon na pozadí používá llama-server, který zpřístupňuje lokální port, ke kterému se může připojit jakákoli aplikace.
Poznamenal, že Claude Code lze namířit na lokální instanci llama-serveru namísto serverů společnosti Anthropic. Sandboxing je ústředním prvkem jeho bezpečnostního modelu. Používá bubblewrap k vytvoření izolovaných prostředí z libovolného adresáře jediným příkazem. Procesy běžící uvnitř těchto sandboxů mají přístup pouze k souborům výslovně povoleným a kontrolovaným síťovým portům. Buterin zveřejnil jako open source daemon pro zasílání zpráv na github.com/vbuterin/messaging-daemon, který obaluje signal-cli a e-mail.

Poznamenal, že daemon může volně číst zprávy a posílat si zprávy sám sobě bez potvrzení. Jakákoli odchozí zpráva třetí straně vyžaduje výslovné schválení člověkem. Nazval to modelem „člověk + LLM 2 z 2“ a uvedl, že stejná logika platí i pro peněženky Ethereum. Týmům vyvíjejícím nástroje pro peněženky propojené s AI doporučil omezit autonomní transakce na 100 dolarů denně a vyžadovat lidské potvrzení pro vše, co přesahuje tuto částku, nebo pro jakoukoli transakci obsahující calldata, která by mohla vést k úniku dat.

Vzdálená inference podle Buterinových podmínek

Pro výzkumné úkoly Buterin porovnal lokální nástroj Local Deep Research se svým vlastním nastavením využívajícím framework pi agent spárovaný se SearXNG, což je meta-vyhledávač zaměřený na soukromí, který si uživatel hostuje sám. Uvedl, že pi plus SearXNG poskytují kvalitnější odpovědi. Ukládá si lokální výpis Wikipedie o velikosti přibližně 1 terabajtu spolu s technickou dokumentací, aby snížil svou závislost na externích vyhledávacích dotazech, které považuje za únik soukromí.

Zveřejnil také lokálního démona pro přepis zvuku na github.com/vbuterin/stt-daemon. Nástroj běží bez GPU pro základní použití a výstup předává LLM k opravě a shrnutí. Ohledně integrace do Etherea Buterin uvedl, že agenti AI by nikdy neměli mít neomezený přístup k peněžence. Doporučil zacházet s člověkem a LLM jako se dvěma odlišnými faktory potvrzení, z nichž každý zachycuje jiné režimy selhání.

Pro případy, kdy lokální modely nestačí, nastínil Buterin přístup k vzdálené inferenci zachovávající soukromí. Poukázal na svůj vlastní návrh ZK-API s výzkumníkem Davidem, projekt Openanonymity a použití mixnetů, aby se zabránilo serverům propojovat po sobě jdoucí požadavky podle IP adresy. Jako způsob, jak v blízké budoucnosti omezit únik dat ze vzdálené inferenční analýzy, uvedl také důvěryhodná výstupní prostředí, přičemž poznamenal, že plně homomorfní šifrování pro inferenční analýzu v soukromém cloudu je v současnosti příliš pomalé na to, aby bylo prakticky použitelné.

Buterin na závěr poznamenal, že tento příspěvek popisuje výchozí bod, nikoli hotový produkt, a varoval čtenáře před kopírováním jeho konkrétních nástrojů a předpokládáním, že jsou bezpečné.