Vitalik Buterin, de Ethereum, advierte sobre los riesgos de seguridad de los agentes de IA y comparte su conjunto de modelos de lenguaje grande (LLM) privados

• El cofundador de Ethereum, Vitalik Buterin, abandonó la IA en la nube en abril de 2026 y ejecuta Qwen3.5:35B de forma local en un portátil Nvidia 5090 a una velocidad de 90 tokens por segundo.
• Buterin descubrió que aproximadamente el 15 % de las habilidades de los agentes de IA contienen instrucciones maliciosas, citando datos de la empresa de seguridad Hiddenlayer.
• Su demonio de mensajería de código abierto aplica una regla de confirmación «humano más LLM» de 2 de 2 para todas las acciones salientes de Signal y correo electrónico dirigidas a terceros.

Cómo Vitalik Buterin gestiona un sistema de IA autosoberano sin acceso a la nube

Buterin describió el sistema como «autosoberano / local / privado / seguro» y afirmó que se creó como respuesta directa a lo que él considera graves fallos de seguridad y privacidad que se están extendiendo en el ámbito de los agentes de IA. Señaló una investigación que muestra que aproximadamente el 15 % de las habilidades de los agentes, o herramientas de complementos, contienen instrucciones maliciosas. La empresa de seguridad Hiddenlayer demostró que el análisis de una sola página web maliciosa podía comprometer por completo una instancia de Openclaw, permitiéndole descargar y ejecutar scripts de shell sin que el usuario se diera cuenta. «Mi mentalidad parte de un profundo temor a que, justo cuando por fin estábamos dando un paso adelante en materia de privacidad con la generalización del cifrado de extremo a extremo y cada vez más software que da prioridad a lo local, estemos a punto de dar diez pasos atrás», escribió Buterin.

Su hardware preferido es un portátil con una GPU Nvidia 5090 y 24 GB de memoria de vídeo. Al ejecutar el modelo de peso abierto Qwen3.5:35B de Alibaba a través de llama-server, la configuración alcanza los 90 tokens por segundo, lo que Buterin considera el objetivo para un uso diario cómodo. Probó el AMD Ryzen AI Max Pro con 128 GB de memoria unificada, que alcanzó los 51 tokens por segundo, y el DGX Spark, que llegó a los 60 tokens por segundo. Afirmó que el DGX Spark, comercializado como un superordenador de IA de sobremesa, no le impresionó, dado su coste y su menor rendimiento en comparación con una buena GPU de portátil. En cuanto al sistema operativo, Buterin cambió de Arch Linux a NixOS, que permite a los usuarios definir toda la configuración del sistema en un único archivo declarativo. Utiliza llama-server como un demonio en segundo plano que expone un puerto local al que puede conectarse cualquier aplicación. Señaló que Claude Code puede dirigirse a una instancia local de llama-server en lugar de a los servidores de Anthropic. El uso de entornos aislados (sandboxes) es fundamental en su modelo de seguridad. Utiliza bubblewrap para crear entornos aislados a partir de cualquier directorio con un solo comando. Los procesos que se ejecutan dentro de esos entornos aislados solo pueden acceder a archivos explícitamente permitidos y a puertos de red controlados. Buterin publicó como código abierto un demonio de mensajería en github.com/vbuterin/messaging-daemon que envuelve signal-cli y el correo electrónico. Comentó que el demonio puede leer mensajes libremente y enviarse mensajes a sí mismo sin confirmación. Cualquier mensaje saliente dirigido a un tercero requiere la aprobación humana explícita. Denominó a esto el modelo «humano + LLM 2 de 2», y afirmó que la misma lógica se aplica a las carteras de Ethereum. Aconsejó a los equipos que desarrollan herramientas de cartera conectadas a la IA que limiten las transacciones autónomas a 100 dólares al día y exijan la confirmación humana para cualquier importe superior o cualquier transacción que contenga calldata que pudiera filtrar datos.

Inferencia remota, según los términos de Buterin

Para las tareas de investigación, Buterin comparó la herramienta local Local Deep Research con su propia configuración, que utiliza el marco pi agent junto con SearXNG, un metabuscador autohospedado centrado en la privacidad. Afirmó que pi más SearXNG producía respuestas de mejor calidad. Almacena un volcado local de Wikipedia de aproximadamente 1 terabyte junto con documentación técnica para reducir su dependencia de las consultas de búsqueda externas, que considera una filtración de privacidad.

También publicó un demonio de transcripción de audio local en github.com/vbuterin/stt-daemon. La herramienta funciona sin GPU para un uso básico y envía la salida al LLM para su corrección y resumen. Sobre la integración en Ethereum, Buterin afirmó que los agentes de IA nunca deberían tener acceso sin restricciones a la cartera. Recomendó tratar al ser humano y al LLM como dos factores de confirmación distintos que detectan cada uno modos de fallo diferentes.

Para los casos en los que los modelos locales se quedan cortos, Buterin esbozó un enfoque de inferencia remota que preserva la privacidad. Señaló su propia propuesta de ZK-API con el investigador Davide, el proyecto Openanonymity y el uso de mixnets para evitar que los servidores vinculen solicitudes sucesivas por dirección IP. También citó los entornos de ejecución confiables como una forma de reducir la fuga de datos de la inferencia remota a corto plazo, al tiempo que señaló que el cifrado totalmente homomórfico para la inferencia en la nube privada sigue siendo demasiado lento para ser práctico en la actualidad. Buterin concluyó señalando que la publicación describe un punto de partida, no un producto terminado, y advirtió a los lectores que no copien sus herramientas exactas y den por sentado que son seguras.