ویتالیک بوترینِ اتریوم نسبت به ریسک‌های امنیتی عامل‌های هوش مصنوعی هشدار می‌دهد و پشته خصوصی LLM خود را به اشتراک می‌گذارد

نکات کلیدی:

• ویتالیک بوترین، هم‌بنیان‌گذار اتریوم، در آوریل ۲۰۲۶ هوش مصنوعی ابری را کنار گذاشت و Qwen3.5:35B را به‌صورت محلی روی یک لپ‌تاپ مجهز به Nvidia 5090 با سرعت ۹۰ توکن در ثانیه اجرا می‌کند.
• بوترین با استناد به داده‌های شرکت امنیتی Hiddenlayer دریافت که حدود ۱۵٪ از مهارت‌های عامل‌های هوش مصنوعی شامل دستورالعمل‌های مخرب هستند.
• دیمن پیام‌رسان متن‌باز او یک قاعدهٔ تأیید «انسان + مدل زبانی بزرگ (LLM)» به‌صورت ۲ از ۲ را برای تمام اقدامات خروجی Signal و ایمیل به اشخاص ثالث اعمال می‌کند.

ویتالیک بوترین چگونه یک سیستم هوش مصنوعی خودحاکم بدون دسترسی ابری اجرا می‌کند

بوترین این سیستم را توصیف کرد به‌عنوان «خودحاکم / محلی / خصوصی / امن» و گفت این سیستم در پاسخ مستقیم به چیزی ساخته شده که او آن را شکست‌های جدی امنیت و حریم خصوصی می‌بیند که در فضای عامل‌های هوش مصنوعی در حال گسترش است. او به پژوهشی اشاره کرد که نشان می‌دهد حدود ۱۵٪ از مهارت‌های عامل‌ها، یا ابزارهای افزونه‌ای، حاوی دستورالعمل‌های مخرب هستند. شرکت امنیتی Hiddenlayer نشان داد که پارس‌کردنِ تنها یک صفحهٔ وبِ مخرب می‌تواند یک نمونهٔ Openclaw را به‌طور کامل به خطر بیندازد و به آن اجازه دهد بدون آگاهی کاربر اسکریپت‌های شِل را دانلود و اجرا کند.

بوترین نوشت: «من با طرز فکری می‌آیم که عمیقاً می‌ترسم، درست همان‌طور که بالاخره با فراگیرشدن رمزنگاری سرتاسری و بیشتر و بیشتر شدن نرم‌افزارهای محلی‌محور داشتیم یک گام رو به جلو در حریم خصوصی برمی‌داشتیم، حالا در آستانهٔ برداشتن ده گام به عقب هستیم.»

انتخاب سخت‌افزاری او یک لپ‌تاپ است که یک GPU Nvidia 5090 با ۲۴ گیگابایت حافظهٔ ویدیویی را اجرا می‌کند. با اجرای مدل متن‌بازِ Qwen3.5:35B از علی‌بابا از طریق llama-server، این چینش به ۹۰ توکن در ثانیه می‌رسد؛ عددی که بوترین آن را هدفِ استفادهٔ روزمرهٔ راحت می‌داند. او AMD Ryzen AI Max Pro با ۱۲۸ گیگابایت حافظهٔ یکپارچه را هم آزمایش کرد که به ۵۱ توکن در ثانیه رسید و DGX Spark را نیز امتحان کرد که به ۶۰ توکن در ثانیه رسید.

او گفت DGX Spark که به‌عنوان یک ابررایانهٔ رومیزیِ هوش مصنوعی بازاریابی می‌شود، با توجه به هزینه‌اش و توان خروجی کمتر نسبت به یک GPU خوبِ لپ‌تاپ، چشمگیر نبوده است. برای سیستم‌عامل، بوترین از Arch Linux به NixOS مهاجرت کرد؛ سیستمی که به کاربران اجازه می‌دهد کل پیکربندی سیستم خود را در یک فایلِ واحدِ اعلانی (declarative) تعریف کنند. او از llama-server به‌عنوان یک دیمنِ پس‌زمینه استفاده می‌کند که یک پورت محلی را در اختیار می‌گذارد تا هر برنامه‌ای بتواند به آن متصل شود.

او اشاره کرد که Claude Code می‌تواند به‌جای سرورهای Anthropic به یک نمونهٔ محلیِ llama-server اشاره داده شود. سندباکس‌کردن محور اصلی مدل امنیتی اوست. او از bubblewrap استفاده می‌کند تا با یک فرمان، از هر دایرکتوری محیط‌های ایزوله بسازد. فرایندهایی که داخل آن سندباکس‌ها اجرا می‌شوند فقط می‌توانند به فایل‌هایی دسترسی داشته باشند که صراحتاً مجاز شده‌اند و به پورت‌های شبکه‌ای کنترل‌شده. بوترین یک دیمن پیام‌رسان را در github.com/vbuterin/messaging-daemon متن‌باز کرد که signal-cli و ایمیل را کپسوله می‌کند.

او خاطرنشان کرد که این دیمن می‌تواند پیام‌ها را آزادانه بخواند و بدون تأیید برای خودش پیام بفرستد. هر پیام خروجی به شخص ثالث نیازمند تأیید صریح انسان است. او این را مدل «انسان + LLM به‌صورت ۲ از ۲» نامید و گفت همین منطق دربارهٔ کیف‌پول‌های اتریوم نیز صدق می‌کند. او به تیم‌هایی که ابزارهای کیف‌پولِ متصل به هوش مصنوعی می‌سازند توصیه کرد سقف تراکنش‌های خودمختار را روی ۱۰۰ دلار در روز بگذارند و برای هر مقدار بالاتر یا هر تراکنشی که دارای calldata است و می‌تواند داده را خارج کند، تأیید انسانی را الزامی کنند.

استنتاج از راه دور، با شرایط بوترین

برای کارهای پژوهشی، بوترین ابزار محلی Local Deep Research را در برابر چینش خودش که از چارچوب عامل pi همراه با SearXNG (یک موتور فرادجست‌وجوی خودمیزبان و متمرکز بر حریم خصوصی) استفاده می‌کند، مقایسه کرد. او گفت pi به‌همراه SearXNG پاسخ‌هایی با کیفیت بهتر تولید کرد. او برای کاهش وابستگی به پرس‌وجوهای جست‌وجوی بیرونی (که آن‌ها را نشت حریم خصوصی می‌داند)، یک دامپ محلی از ویکی‌پدیا با حجمی حدود ۱ ترابایت را در کنار مستندات فنی ذخیره می‌کند.

او همچنین یک دیمن محلی برای رونویسی صوتی را در github.com/vbuterin/stt-daemon منتشر کرد. این ابزار برای استفادهٔ پایه بدون GPU اجرا می‌شود و خروجی را برای تصحیح و خلاصه‌سازی به LLM می‌دهد. دربارهٔ یکپارچه‌سازی با اتریوم، بوترین گفت عامل‌های هوش مصنوعی هرگز نباید دسترسی نامحدود به کیف‌پول داشته باشند. او توصیه کرد انسان و LLM به‌عنوان دو عامل تأییدِ متمایز در نظر گرفته شوند که هرکدام حالت‌های شکست متفاوتی را کشف می‌کنند.

برای مواردی که مدل‌های محلی کم می‌آورند، بوترین یک رویکرد حفظ‌کنندهٔ حریم خصوصی برای استنتاج از راه دور را تشریح کرد. او به پیشنهاد ZK-API خودش با پژوهشگری به نام Davide، پروژهٔ Openanonymity و استفاده از mixnetها اشاره کرد تا از این جلوگیری شود که سرورها بتوانند درخواست‌های متوالی را از طریق آدرس IP به هم ربط دهند. او همچنین به محیط‌های اجرای مورداعتماد (trusted execution environments) به‌عنوان راهی برای کاهش نشت داده از استنتاج از راه دور در کوتاه‌مدت اشاره کرد، در حالی که یادآور شد رمزنگاری کاملاً همریخت (fully homomorphic encryption) برای استنتاج ابریِ خصوصی هنوز آن‌قدر کند است که امروز عملی باشد.

بوترین در پایان یادآور شد که این پست یک نقطهٔ شروع را توصیف می‌کند، نه یک محصول نهایی، و به خوانندگان هشدار داد از کپی‌کردن دقیق ابزارهای او و فرضِ امن بودن آن‌ها خودداری کنند.