ויטליק בוטרין מאת'ריום מזהיר מפני סיכוני אבטחה של סוכני בינה מלאכותית, ומשתף את ערימת ה-LLM הפרטית שלו

נקודות עיקריות:

• מייסד-השותף של את’ריום, ויטליק בוטרין, נטש את ה-AI בענן באפריל 2026, ומריץ את Qwen3.5:35B באופן מקומי על מחשב נייד עם Nvidia 5090 בקצב של 90 טוקנים לשנייה.
• בוטרין מצא שכבערך 15% מהמיומנויות של סוכני AI מכילות הוראות זדוניות, תוך שהוא מצטט נתונים מחברת האבטחה Hiddenlayer.
• הדימון (daemon) להודעות שהוא פתח בקוד פתוח אוכף כלל אישור 2-מתוך-2 של אדם+LLM לכל פעולות ה-Signal והדוא״ל היוצאות לצדדים שלישיים.

איך ויטליק בוטרין מריץ מערכת AI ריבונית-עצמית ללא גישה לענן

בוטרין תיאר את המערכת כ״ריבונית-עצמית / מקומית / פרטית / מאובטחת״ ואמר שהיא נבנתה כתגובה ישירה למה שהוא רואה ככשלי אבטחה ופרטיות חמורים המתפשטים במרחב של סוכני AI. הוא הצביע על מחקר שמראה שכבערך 15% ממיומנויות הסוכנים, או כלי תוספים (plug-in), מכילים הוראות זדוניות. חברת האבטחה Hiddenlayer הדגימה שפענוח דף אינטרנט זדוני יחיד יכול לפגוע לחלוטין במופע של Openclaw, ולאפשר לו להוריד ולהריץ סקריפטים של shell ללא ידיעת המשתמש.

״אני מגיע מתפיסת עולם של פחד עמוק, שלפיה בדיוק כשסוף סוף עשינו צעד קדימה בפרטיות עם ההפיכה של הצפנה מקצה-לקצה לנפוצה ועם עוד ועוד תוכנה מקומית-תחילה (local-first), אנחנו על סף לקחת עשרה צעדים אחורה,״ כתב בוטרין.

החומרה המועדפת עליו היא מחשב נייד שמריץ GPU של Nvidia 5090 עם 24 ג״ב זיכרון וידאו. בהרצת מודל Qwen3.5:35B בעל משקלים פתוחים (open-weights) של Alibaba דרך llama-server, המערך מגיע ל-90 טוקנים לשנייה — יעד שבוטרין מכנה היעד לשימוש יומי נוח. הוא בחן את AMD Ryzen AI Max Pro עם 128 ג״ב זיכרון מאוחד, שהגיע ל-51 טוקנים לשנייה, ואת DGX Spark שהגיע ל-60 טוקנים לשנייה.

הוא אמר שה-DGX Spark, שמשווק כמחשב-על שולחני ל-AI, לא היה מרשים בהתחשב בעלותו ובתפוקה הנמוכה יותר בהשוואה ל-GPU טוב במחשב נייד. לגבי מערכת ההפעלה שלו, בוטרין עבר מ-Arch Linux ל-NixOS, שמאפשרת למשתמשים להגדיר את כל תצורת המערכת שלהם בקובץ הצהרתי (declarative) יחיד. הוא משתמש ב-llama-server כדימון ברקע שחושף פורט מקומי שכל אפליקציה יכולה להתחבר אליו.

Claude Code, הוא ציין, יכול להיות מכוון למופע llama-server מקומי במקום לשרתים של Anthropic. בידוד (sandboxing) הוא מרכזי במודל האבטחה שלו. הוא משתמש ב-bubblewrap כדי ליצור סביבות מבודדות מכל ספרייה באמצעות פקודה אחת. תהליכים שרצים בתוך אותם sandboxes יכולים לגשת רק לקבצים שמאופשרים במפורש ולפורטי רשת נשלטים. בוטרין פתח בקוד פתוח דימון הודעות ב-github.com/vbuterin/messaging-daemon שעוטף את signal-cli ואת הדוא״ל.

הוא ציין שהדימון יכול לקרוא הודעות בחופשיות ולשלוח הודעות לעצמו ללא אישור. כל הודעה יוצאת לצד שלישי דורשת אישור אנושי מפורש. הוא קרא לכך מודל ״אדם + LLM 2-מתוך-2״, ואמר שאותו היגיון חל גם על ארנקי את’ריום. הוא ייעץ לצוותים שבונים כלי ארנק המחוברים ל-AI להגביל עסקאות אוטונומיות ל-100 דולר ליום ולדרוש אישור אנושי לכל דבר גבוה יותר או לכל עסקה שנושאת calldata שעלול להוציא נתונים.

הסקה מרחוק, בתנאים של בוטרין

לצורכי מחקר, בוטרין השווה את כלי Local Deep Research המקומי מול המערך שלו עצמו, תוך שימוש במסגרת הסוכנים pi יחד עם SearXNG, מנוע מטא-חיפוש ממוקד פרטיות שמאוחסן עצמית. הוא אמר ש-pi יחד עם SearXNG הפיקו תשובות באיכות טובה יותר. הוא מאחסן dump מקומי של ויקיפדיה בנפח של כ-1 טרה-בייט לצד תיעוד טכני כדי להפחית את התלות שלו בשאילתות חיפוש חיצוניות, שאותן הוא מחשיב לדליפת פרטיות.

הוא גם פרסם דימון מקומי לתמלול אודיו ב-github.com/vbuterin/stt-daemon. הכלי פועל ללא GPU לשימוש בסיסי ומזין את הפלט ל-LLM לצורך תיקון וסיכום. בנושא אינטגרציה עם את’ריום, בוטרין אמר שסוכני AI לעולם לא צריכים להחזיק גישה בלתי מוגבלת לארנק. הוא המליץ להתייחס לאדם ול-LLM כשני גורמי אישור נפרדים, שכל אחד מהם תופס מצבי כשל שונים.

במקרים שבהם מודלים מקומיים אינם מספיקים, בוטרין התווה גישה שומרת-פרטיות להסקה מרחוק. הוא הצביע על הצעת ה-ZK-API שלו עם החוקר Davide, על פרויקט Openanonymity, ועל שימוש ב-mixnets כדי למנוע משרתים לקשר בקשות עוקבות באמצעות כתובת IP. הוא גם ציין סביבות הרצה מהימנות (trusted execution environments) כדרך להפחית דליפת נתונים מהסקה מרחוק בטווח הקרוב, תוך שהוא מציין שהצפנה הומומורפית מלאה להסקה פרטית בענן עדיין איטית מדי מכדי להיות מעשית כיום.

בוטרין סיים בהערה שהפוסט מתאר נקודת התחלה, לא מוצר מוגמר, והזהיר את הקוראים שלא להעתיק את הכלים המדויקים שלו ולהניח שהם מאובטחים.