Ethereums Vitalik Buterin advarer mod sikkerhedsrisici ved AI-agenter og deler sin private LLM-stack

Hovedpunkter:

• Ethereums medstifter Vitalik Buterin opgav cloud-AI i april 2026 og kører nu Qwen3.5:35B lokalt på en Nvidia 5090-bærbar computer med 90 tokens pr. sekund.
• Buterin fandt ud af, at ca. 15 % af AI-agenternes færdigheder indeholder ondsindede instruktioner, idet han henviser til data fra sikkerhedsfirmaet Hiddenlayer.
• Hans open source-messaging-daemon håndhæver en "human-plus-LLM 2-af-2"-bekræftelsesregel for alle udgående Signal- og e-mail-handlinger til tredjeparter.

Hvordan Vitalik Buterin driver et selvstændigt AI-system uden adgang til skyen

Buterin beskrev systemet som "selvstændigt / lokalt / privat / sikkert" og sagde, at det var bygget som en direkte reaktion på det, han ser som alvorlige sikkerheds- og privatlivsbrud, der spreder sig gennem AI–agentområdet. Han pegede på forskning, der viser, at ca. 15 % af agentfærdighederne, eller plug-in-værktøjerne, indeholder ondsindede instruktioner. Sikkerhedsfirmaet Hiddenlayer demonstrerede, at parsning af en enkelt ondsindet webside fuldt ud kunne kompromittere en Openclaw-instans, hvilket gjorde det muligt at downloade og udføre shell-scripts uden brugerens viden.
"Jeg kommer fra en tankegang, hvor jeg er dybt bange for, at netop som vi endelig tog et skridt fremad inden for privatliv med mainstreaming af end-to-end-kryptering og mere og mere lokal-først-software, er vi på randen af at tage ti skridt tilbage," skrev Buterin.

Hans foretrukne hardware er en bærbar computer med en Nvidia 5090 GPU med 24 GB videohukommelse. Når den åbne Qwen3.5:35B-model fra Alibaba køres via llama-server, når opsætningen 90 tokens pr. sekund, hvilket Buterin kalder målet for komfortabel daglig brug. Han testede AMD Ryzen AI Max Pro med 128 GB samlet hukommelse, som nåede op på 51 tokens pr. sekund, og DGX Spark, som nåede op på 60 tokens pr. sekund.

Han sagde, at DGX Spark, der markedsføres som en desktop-AI-supercomputer, var skuffende i betragtning af dens pris og lavere gennemstrømning sammenlignet med en god bærbar GPU. Hvad angår operativsystemet skiftede Buterin fra Arch Linux til NixOS, som lader brugerne definere hele deres systemkonfiguration i en enkelt deklarativ fil. Han bruger llama-server som en baggrundsdaemon, der eksponerer en lokal port, som enhver applikation kan forbinde til.

Claude Code, bemærkede han, kan rettes mod en lokal llama-server-instans i stedet for Anthropics servere. Sandboxing er centralt i hans sikkerhedsmodel. Han bruger bubblewrap til at oprette isolerede miljøer fra ethvert bibliotek med en enkelt kommando. Processer, der kører inde i disse sandkasser, kan kun få adgang til filer, der eksplicit er tilladt, og kontrollerede netværksporte. Buterin har open-sourcet en messaging-daemon på github.com/vbuterin/messaging-daemon, der indkapsler signal-cli og e-mail.

Han bemærkede, at daemonen frit kan læse beskeder og sende beskeder til sig selv uden bekræftelse. Enhver udgående besked til en tredjepart kræver eksplicit menneskelig godkendelse. Han kaldte dette for "human + LLM 2-of-2"-modellen og sagde, at den samme logik gælder for Ethereum-tegnebøger. Han rådede teams, der udvikler AI-forbundne tegnebogsværktøjer, til at begrænse autonome transaktioner til 100 dollar om dagen og kræve menneskelig bekræftelse for alt, der er højere, eller enhver transaktion, der indeholder calldata, der kan udtrække data.

Fjerninferens på Buterins betingelser

Til forskningsopgaver sammenlignede Buterin det lokale værktøj Local Deep Research med sin egen opsætning ved hjælp af pi-agent-rammen parret med SearXNG, en selvhostet, privatlivsfokuseret metasøgemaskine. Han sagde, at pi plus SearXNG producerede svar af bedre kvalitet. Han gemmer en lokal Wikipedia-dump på cirka 1 terabyte sammen med teknisk dokumentation for at reducere sin afhængighed af eksterne søgeforespørgsler, som han betragter som et privatlivslæk.

Han offentliggjorde også en lokal lydtransskriptionsdaemon på github.com/vbuterin/stt-daemon. Værktøjet kører uden en GPU til grundlæggende brug og sender output til LLM til korrektion og sammenfatning. Om Ethereum-integration sagde Buterin, at AI-agenter aldrig bør have ubegrænset adgang til tegnebøger. Han anbefalede at behandle mennesket og LLM som to forskellige bekræftelsesfaktorer, der hver især opfanger forskellige fejltilstande.

I tilfælde, hvor lokale modeller ikke slår til, skitserede Buterin en privatlivsbeskyttende tilgang til fjerninferens. Han pegede på sit eget ZK-API-forslag sammen med forskeren Davide, Openanonymity-projektet og brugen af mixnets til at forhindre servere i at sammenkæde på hinanden følgende anmodninger via IP-adresse. Han nævnte også pålidelige eksekveringsmiljøer som en måde at reducere datalækage fra fjerninferens på kort sigt, samtidig med at han bemærkede, at fuldt homomorfisk kryptering til privat cloud-inferens stadig er for langsom til at være praktisk i dag.

Buterin afsluttede med en bemærkning om, at indlægget beskriver et udgangspunkt, ikke et færdigt produkt, og advarede læserne mod at kopiere hans nøjagtige værktøjer og antage, at de er sikre.