Vitalik Buterin von Ethereum warnt vor Sicherheitsrisiken durch KI-Agenten und stellt seinen privaten LLM-Stack vor

• Ethereum-Mitbegründer Vitalik Buterin hat im April 2026 die Cloud-KI aufgegeben und führt Qwen3.5:35B lokal auf einem Laptop mit Nvidia 5090 bei 90 Token pro Sekunde aus.
• Buterin stellte fest, dass etwa 15 % der Fähigkeiten von KI-Agenten bösartige Anweisungen enthalten, und berief sich dabei auf Daten des Sicherheitsunternehmens Hiddenlayer.
• Sein Open-Source-Messaging-Daemon erzwingt eine „Human-plus-LLM“-2-von-2-Bestätigungsregel für alle ausgehenden Signal- und E-Mail-Aktionen an Dritte.

Wie Vitalik Buterin ein selbstbestimmtes KI-System ohne Cloud-Zugang betreibt

Buterin beschrieb das System als „selbstverwaltet / lokal / privat / sicher“ und sagte, es sei als direkte Reaktion auf das entwickelt worden, was er als schwerwiegende Sicherheits- und Datenschutzmängel ansieht, die sich im Bereich der KI-Agenten ausbreiten. Er verwies auf Untersuchungen, die zeigen, dass etwa 15 % der Agent-Fähigkeiten oder Plug-in-Tools bösartige Anweisungen enthalten. Das Sicherheitsunternehmen Hiddenlayer demonstrierte, dass das Parsen einer einzigen bösartigen Webseite eine Openclaw-Instanz vollständig kompromittieren könnte, wodurch diese Shell-Skripte ohne Wissen des Benutzers herunterladen und ausführen könnte. „Ich gehe von der tiefsitzenden Befürchtung aus, dass wir, gerade als wir mit der Verbreitung von End-to-End-Verschlüsselung und immer mehr lokal orientierter Software endlich einen Schritt vorwärts in Sachen Datenschutz gemacht haben, nun kurz davor stehen, zehn Schritte zurückzugehen“, schrieb Buterin.

Seine bevorzugte Hardware ist ein Laptop mit einer Nvidia 5090-GPU und 24 GB Grafikspeicher. Beim Ausführen des Open-Source-Modells Qwen3.5:35B von Alibaba über llama-server erreicht das Setup 90 Token pro Sekunde, was Buterin als Ziel für eine komfortable tägliche Nutzung bezeichnet. Er testete den AMD Ryzen AI Max Pro mit 128 GB Unified Memory, der 51 Token pro Sekunde erreichte, sowie den DGX Spark, der 60 Token pro Sekunde erreichte. Er sagte, der DGX Spark, der als Desktop-KI-Supercomputer vermarktet wird, sei angesichts seiner Kosten und des im Vergleich zu einer guten Laptop-GPU geringeren Durchsatzes wenig beeindruckend. Als Betriebssystem wechselte Buterin von Arch Linux zu NixOS, das es Benutzern ermöglicht, ihre gesamte Systemkonfiguration in einer einzigen deklarativen Datei zu definieren. Er nutzt llama-server als Hintergrund-Daemon, der einen lokalen Port bereitstellt, mit dem sich jede Anwendung verbinden kann. Claude Code, so merkte er an, könne auf eine lokale llama-server-Instanz statt auf die Server von Anthropic verweisen. Sandboxing ist ein zentraler Bestandteil seines Sicherheitsmodells. Er nutzt bubblewrap, um mit einem einzigen Befehl isolierte Umgebungen aus jedem beliebigen Verzeichnis zu erstellen. Prozesse, die innerhalb dieser Sandboxes laufen, können nur auf explizit zugelassene Dateien und kontrollierte Netzwerkports zugreifen. Buterin hat einen Messaging-Daemon unter github.com/vbuterin/messaging-daemon als Open Source veröffentlicht, der signal-cli und E-Mail einbindet. Er merkte an, dass der Daemon Nachrichten frei lesen und ohne Bestätigung Nachrichten an sich selbst senden kann. Jede ausgehende Nachricht an einen Dritten erfordert eine ausdrückliche menschliche Genehmigung. Er bezeichnete dies als das „Human + LLM 2-of-2“-Modell und sagte, dass dieselbe Logik auch für Ethereum-Wallets gelte. Er riet Teams, die KI-vernetzte Wallet-Tools entwickeln, autonome Transaktionen auf 100 US-Dollar pro Tag zu begrenzen und für alles, was darüber hinausgeht, sowie für jede Transaktion mit Calldata, die Daten abfließen lassen könnte, eine menschliche Bestätigung zu verlangen.

Remote-Inferenz nach Buterins Vorstellungen

Für Forschungsaufgaben verglich Buterin das lokale Tool „Local Deep Research“ mit seiner eigenen Konfiguration, die das pi-Agent-Framework in Verbindung mit SearXNG nutzt, einer selbst gehosteten, auf Datenschutz ausgerichteten Metasuchmaschine. Er sagte, pi plus SearXNG lieferten qualitativ bessere Antworten. Er speichert einen lokalen Wikipedia-Dump von etwa 1 Terabyte zusammen mit technischer Dokumentation, um seine Abhängigkeit von externen Suchanfragen zu verringern, die er als Datenschutzleck betrachtet.

Er veröffentlichte außerdem einen lokalen Audio-Transkriptions-Daemon unter github.com/vbuterin/stt-daemon. Das Tool läuft für den grundlegenden Einsatz ohne GPU und leitet die Ausgabe zur Korrektur und Zusammenfassung an das LLM weiter. Zur Ethereum-Integration sagte Buterin, dass KI-Agenten niemals uneingeschränkten Zugriff auf Wallets haben sollten. Er empfahl, den Menschen und das LLM als zwei unterschiedliche Bestätigungsfaktoren zu behandeln, die jeweils verschiedene Fehlermodi abfangen.

Für Fälle, in denen lokale Modelle nicht ausreichen, skizzierte Buterin einen datenschutzkonformen Ansatz für die Remote-Inferenz. Er verwies auf seinen eigenen ZK-API-Vorschlag zusammen mit dem Forscher Davide, das Openanonymity-Projekt und den Einsatz von Mixnets, um zu verhindern, dass Server aufeinanderfolgende Anfragen anhand der IP-Adresse miteinander verknüpfen. Er nannte außerdem vertrauenswürdige Ausführungsumgebungen als Möglichkeit, Datenlecks durch Remote-Inferenz kurzfristig zu reduzieren, merkte jedoch an, dass vollhomomorphe Verschlüsselung für die Inferenz in privaten Clouds derzeit noch zu langsam sei, um praxistauglich zu sein. Buterin schloss mit dem Hinweis, dass der Beitrag einen Ausgangspunkt und kein fertiges Produkt beschreibe, und warnte die Leser davor, seine Tools eins zu eins zu kopieren und davon auszugehen, dass sie sicher seien.