Vitalik Buterin di Ethereum mette in guardia dai rischi per la sicurezza legati agli agenti di intelligenza artificiale e condivide il suo stack privato di modelli di linguaggio (LLM)

• Il cofondatore di Ethereum Vitalik Buterin ha abbandonato l'IA cloud nell'aprile 2026, eseguendo Qwen3.5:35B localmente su un laptop Nvidia 5090 a 90 token al secondo.
• Buterin ha scoperto che circa il 15% delle competenze degli agenti di IA contiene istruzioni dannose, citando i dati della società di sicurezza Hiddenlayer.
• Il suo demone di messaggistica open source applica una regola di conferma 2 su 2 "umano più LLM" per tutte le azioni in uscita su Signal ed e-mail verso terze parti.

Come Vitalik Buterin gestisce un sistema di IA autosovrano senza accesso al cloud

Buterin ha descritto il sistema come "autosovrano / locale / privato / sicuro" e ha affermato che è stato costruito in risposta diretta a quelle che considera gravi falle di sicurezza e privacy che si stanno diffondendo nello spazio degli agenti di IA. Ha fatto riferimento a una ricerca che mostra che circa il 15% delle competenze degli agenti, o strumenti plug-in, contiene istruzioni dannose. La società di sicurezza Hiddenlayer ha dimostrato che l'analisi di una singola pagina web dannosa potrebbe compromettere completamente un'istanza di Openclaw, consentendole di scaricare ed eseguire script di shell all'insaputa dell'utente. "La mia visione è profondamente preoccupata dal fatto che, proprio mentre stavamo finalmente facendo un passo avanti nella privacy con la diffusione della crittografia end-to-end e di un numero sempre maggiore di software 'local-first', siamo sul punto di fare dieci passi indietro", ha scritto Buterin.

Il suo hardware preferito è un laptop con una GPU Nvidia 5090 con 24 GB di memoria video. Eseguendo il modello open-source Qwen3.5:35B di Alibaba tramite llama-server, la configurazione raggiunge i 90 token al secondo, che Buterin definisce l'obiettivo per un comodo utilizzo quotidiano. Ha testato l'AMD Ryzen AI Max Pro con 128 GB di memoria unificata, che ha raggiunto i 51 token al secondo, e il DGX Spark, che ha raggiunto i 60 token al secondo. Ha affermato che il DGX Spark, commercializzato come supercomputer AI da tavolo, non era impressionante dato il suo costo e il throughput inferiore rispetto a una buona GPU per laptop. Per il suo sistema operativo, Buterin è passato da Arch Linux a NixOS, che consente agli utenti di definire l'intera configurazione del sistema in un unico file dichiarativo. Utilizza llama-server come demone in background che espone una porta locale a cui qualsiasi applicazione può connettersi. Claude Code, ha osservato, può essere indirizzato a un'istanza locale di llama-server invece che ai server di Anthropic. Il sandboxing è fondamentale per il suo modello di sicurezza. Utilizza bubblewrap per creare ambienti isolati da qualsiasi directory con un singolo comando. I processi in esecuzione all'interno di tali sandbox possono accedere solo ai file esplicitamente consentiti e alle porte di rete controllate. Buterin ha reso open source un demone di messaggistica su github.com/vbuterin/messaging-daemon che integra signal-cli e l'e-mail. Ha osservato che il demone può leggere i messaggi liberamente e inviare messaggi a se stesso senza conferma. Qualsiasi messaggio in uscita verso una terza parte richiede l'approvazione esplicita da parte di un essere umano. Ha definito questo modello "human + LLM 2-of-2" e ha affermato che la stessa logica si applica ai portafogli Ethereum. Ha consigliato ai team che sviluppano strumenti di portafoglio connessi all'IA di limitare le transazioni autonome a 100 dollari al giorno e di richiedere la conferma umana per qualsiasi importo superiore o per qualsiasi transazione che trasporti calldata in grado di sottrarre dati.

Inferenza remota, secondo i termini di Buterin

Per le attività di ricerca, Buterin ha confrontato lo strumento locale Local Deep Research con la propria configurazione che utilizza il framework pi agent abbinato a SearXNG, un motore di metasearch self-hosted incentrato sulla privacy. Ha affermato che pi più SearXNG ha prodotto risposte di qualità migliore. Archivia un dump locale di Wikipedia di circa 1 terabyte insieme alla documentazione tecnica per ridurre la sua dipendenza dalle query di ricerca esterne, che considera una fuga di privacy.

Ha anche pubblicato un demone di trascrizione audio locale su github.com/vbuterin/stt-daemon. Lo strumento funziona senza GPU per un uso di base e invia l'output all'LLM per la correzione e la sintesi. Riguardo all'integrazione con Ethereum, Buterin ha affermato che gli agenti di IA non dovrebbero mai avere accesso illimitato al portafoglio. Ha raccomandato di trattare l'essere umano e l'LLM come due fattori di conferma distinti, ciascuno dei quali rileva diverse modalità di errore.

Per i casi in cui i modelli locali non sono sufficienti, Buterin ha delineato un approccio all'inferenza remota che preserva la privacy. Ha indicato la sua proposta di ZK-API con il ricercatore Davide, il progetto Openanonymity e l'uso di mixnet per impedire ai server di collegare le richieste successive tramite l'indirizzo IP. Ha inoltre citato gli ambienti di esecuzione affidabili come un modo per ridurre la fuga di dati dall'inferenza remota nel breve termine, pur osservando che la crittografia completamente omomorfica per l'inferenza nel cloud privato rimane troppo lenta per essere praticabile oggi. Buterin ha concluso sottolineando che il post descrive un punto di partenza, non un prodotto finito, e ha messo in guardia i lettori dal copiare esattamente i suoi strumenti e presumere che siano sicuri.