Vitalik Buterin, fondateur d'Ethereum, met en garde contre les risques de sécurité liés aux agents IA et dévoile sa pile LLM personnelle

• Le cofondateur d'Ethereum, Vitalik Buterin, a abandonné l'IA dans le cloud en avril 2026, exécutant Qwen3.5:35B localement sur un ordinateur portable équipé d'une carte graphique Nvidia 5090 à une vitesse de 90 jetons par seconde.
• Buterin a constaté qu'environ 15 % des compétences des agents IA contiennent des instructions malveillantes, citant des données de la société de sécurité Hiddenlayer.
• Son démon de messagerie open source applique une règle de confirmation « humain + LLM » (2 sur 2) pour toutes les actions sortantes via Signal et par e-mail vers des tiers.

Comment Vitalik Buterin gère un système d'IA autosouverain sans accès au cloud

Buterin a décrit le système comme « autosouverain / local / privé / sécurisé » et a déclaré qu'il avait été conçu en réponse directe à ce qu'il considère comme de graves failles de sécurité et de confidentialité se propageant dans l'espace des agents IA. Il a fait référence à des recherches montrant qu'environ 15 % des compétences des agents, ou outils plug-in, contiennent des instructions malveillantes. La société de sécurité Hiddenlayer a démontré que l'analyse d'une seule page web malveillante pouvait compromettre entièrement une instance Openclaw, lui permettant de télécharger et d'exécuter des scripts shell à l'insu de l'utilisateur. « Je pars du principe que nous sommes sur le point de faire dix pas en arrière, alors même que nous venions enfin de faire un pas en avant en matière de confidentialité grâce à la généralisation du chiffrement de bout en bout et à la multiplication des logiciels privilégiant le local », a écrit Buterin.

Son matériel de prédilection est un ordinateur portable équipé d’un GPU Nvidia 5090 avec 24 Go de mémoire vidéo. En exécutant le modèle open-weights Qwen3.5:35B d’Alibaba via llama-server, la configuration atteint 90 jetons par seconde, ce que Buterin considère comme l’objectif pour une utilisation quotidienne confortable. Il a testé l’AMD Ryzen AI Max Pro avec 128 Go de mémoire unifiée, qui a atteint 51 tokens par seconde, et le DGX Spark, qui a atteint 60 tokens par seconde. Il a déclaré que le DGX Spark, commercialisé comme un supercalculateur IA de bureau, n’était pas impressionnant compte tenu de son coût et de son débit inférieur à celui d’un bon GPU d’ordinateur portable. Pour son système d'exploitation, Buterin est passé d'Arch Linux à NixOS, qui permet aux utilisateurs de définir l'intégralité de la configuration de leur système dans un seul fichier déclaratif. Il utilise llama-server comme démon d'arrière-plan qui expose un port local auquel n'importe quelle application peut se connecter. Claude Code, a-t-il noté, peut être dirigé vers une instance locale de llama-server plutôt que vers les serveurs d'Anthropic. Le sandboxing est au cœur de son modèle de sécurité. Il utilise bubblewrap pour créer des environnements isolés à partir de n'importe quel répertoire à l'aide d'une seule commande. Les processus s'exécutant à l'intérieur de ces sandboxes ne peuvent accéder qu'aux fichiers explicitement autorisés et aux ports réseau contrôlés. Buterin a mis en open source un démon de messagerie sur github.com/vbuterin/messaging-daemon qui encapsule signal-cli et la messagerie électronique. Il a fait remarquer que le démon peut lire librement les messages et s'envoyer des messages à lui-même sans confirmation. Tout message sortant destiné à un tiers nécessite une approbation humaine explicite. Il a appelé cela le modèle « humain + LLM 2-sur-2 » et a déclaré que la même logique s'applique aux portefeuilles Ethereum. Il a conseillé aux équipes développant des outils de portefeuille connectés à l'IA de limiter les transactions autonomes à 100 $ par jour et d'exiger une confirmation humaine pour tout montant supérieur ou toute transaction comportant des données d'appel susceptibles d'entraîner une fuite de données.

Inférence à distance, selon les termes de Buterin

Pour les tâches de recherche, Buterin a comparé l'outil local Local Deep Research à sa propre configuration utilisant le framework pi agent associé à SearXNG, un méta-moteur de recherche auto-hébergé axé sur la confidentialité. Il a déclaré que pi associé à SearXNG produisait des réponses de meilleure qualité. Il stocke une sauvegarde locale de Wikipédia d'environ 1 téraoctet ainsi que de la documentation technique afin de réduire sa dépendance aux requêtes de recherche externes, qu'il considère comme une fuite de données confidentielles.

Il a également publié un démon de transcription audio local sur github.com/vbuterin/stt-daemon. L'outil fonctionne sans GPU pour une utilisation de base et transmet les résultats au LLM pour correction et synthèse. Concernant l'intégration à Ethereum, Buterin a déclaré que les agents IA ne devraient jamais disposer d'un accès illimité au portefeuille. Il a recommandé de traiter l'humain et le LLM comme deux facteurs de confirmation distincts, chacun détectant des modes de défaillance différents.

Pour les cas où les modèles locaux s'avèrent insuffisants, Buterin a présenté une approche de l'inférence à distance préservant la confidentialité. Il a évoqué sa propre proposition de ZK-API avec le chercheur Davide, le projet Openanonymity, et l'utilisation de mixnets pour empêcher les serveurs de relier des requêtes successives par adresse IP. Il a également cité les environnements d'exécution fiables comme un moyen de réduire les fuites de données issues de l'inférence à distance à court terme, tout en notant que le chiffrement entièrement homomorphe pour l'inférence dans le cloud privé reste trop lent pour être pratique à l'heure actuelle. Buterin a conclu en précisant que cet article décrit un point de départ, et non un produit fini, et a mis en garde les lecteurs contre le fait de copier ses outils à l'identique et de supposer qu'ils sont sécurisés.