イーサリアムのヴィタリック・ブテリン氏がAIエージェントのセキュリティリスクについて警告し、自身のプライベートLLMスタックを公開しました。

• イーサリアムの共同創設者ヴィタリック・ブテリン氏は2026年4月、クラウドAIの利用を完全にやめ、Nvidia 5090搭載のノートPC上でQwen3.5:35Bをローカル実行し、毎秒90トークンの処理速度を達成しました。
• ブテリン氏はセキュリティ企業Hiddenlayerのデータを引用し、AIエージェントのスキルの約15％に悪意のある指示が含まれていることを明らかにしました。
• 彼がオープンソース化したメッセージングデーモンは、第三者へのすべてのSignalおよびメール送信に対して、「人間＋LLM」による2段階確認ルールを適用しています。

ヴィタリック・ブテリンがクラウドに依存しない自己主権型AIシステムを運用する方法

このシステムについてブテリン氏は「自己主権型／ローカル／プライベート／セキュア」と表現し、AIエージェント分野に蔓延する深刻なセキュリティ・プライバシー上の欠陥に対する直接的な対策として構築したと説明しました。
また、彼はエージェントスキル（プラグインツール）の約15％に悪意のある指示が含まれているという研究結果を指摘しました。 セキュリティ企業のHiddenlayerは、単一の悪意あるウェブページを解析するだけでOpenclawインスタンスを完全に侵害し、ユーザーの認識なしにシェルスクリプトをダウンロードして実行できることを実証しました。ブテリンは「エンドツーエンド暗号化の主流化や、ますます増えるローカルファーストなソフトウェアによって、ようやくプライバシーの面で一歩前進したかと思えば、今まさに10歩後退しようとしていることに、私は深い恐怖を感じています」と記しました。

彼が選んだハードウェアは、ビデオメモリ24GBを搭載したNvidia 5090 GPU搭載ノートPCです。Alibabaのオープンウェイトモデル「Qwen3.5:35B」をllama-server経由で実行したところ、この構成では秒間90トークンに達し、ブテリン氏はこれを「日常的に快適に使える目標値」と呼んでいます。 彼は128GBの統合メモリを搭載したAMD Ryzen AI Max Proをテストし、51トークン/秒を記録したほか、DGX Sparkもテストして60トークン/秒に達しました。デスクトップAIスーパーコンピュータとして販売されているDGX Sparkについては、コストや高性能ノートPC用GPUと比べて低いスループットを考慮すると、印象に残らないと述べました。 OSについては、Buterin氏はArch LinuxからNixOSへ移行しました。NixOSでは、ユーザーが単一の宣言型ファイルでシステム構成全体を定義できます。彼は、任意のアプリケーションが接続できるローカルポートを公開するバックグラウンドデーモンとしてllama-serverを使用しています。Claude Codeについては、Anthropicのサーバーではなくローカルのllama-serverインスタンスを指定することで利用可能だと指摘しました。サンドボックス化は、彼のセキュリティモデルの核心です。 彼はbubblewrapを使用して、任意のディレクトリから単一のコマンドで隔離された環境を作成しています。これらのサンドボックス内で実行されるプロセスは、明示的に許可されたファイルと制御されたネットワークポートにしかアクセスできません。ブテリンは、signal-cliと電子メールをラップするメッセージングデーモンをgithub.com/vbuterin/messaging-daemonでオープンソース化しました。このデーモンはメッセージを自由に読み取り、確認なしに自分自身へメッセージを送信できます。 第三者に送信するメッセージはすべて、人間の明示的な承認を必要とします。彼はこれを「人間＋LLMの2段階承認（2-of-2）」モデルと呼び、同じロジックはイーサリアムウォレットにも適用されると述べました。また、AI連携型ウォレットツールを開発するチームには、自律的な取引を1日100ドルまでに制限し、それ以上の金額やデータ漏洩の恐れがあるcalldataを含む取引については必ず人間の確認を義務付けるよう助言しました。

ブテリン流のリモート推論

研究タスクに関しては、ブテリンはローカルツール「Local Deep Research」と、piエージェントフレームワークおよびプライバシー重視のセルフホスト型メタ検索エンジン「SearXNG」を組み合わせた自身のセットアップを比較しました。彼は、piとSearXNGの組み合わせの方が質の高い回答を生成すると述べました。また、外部検索クエリへの依存を減らすため、約1テラバイトのローカル版ウィキペディアのダンプと技術文書を保存しています。彼は外部検索クエリをプライバシー漏洩とみなしています。

また、彼はローカル音声文字起こしデーモンを github.com/vbuterin/stt-daemon で公開しています。このツールは基本的な使用においてGPUなしで動作し、出力をLLMに送り、修正や要約を行わせます。イーサリアムとの統合について、ブテリンはAIエージェントがウォレットへの無制限なアクセス権を持つべきではないと述べています。彼は、人間とLLMを、それぞれ異なる障害モードを捕捉する2つの独立した確認要素として扱うことを推奨しています。

ローカルモデルだけでは不十分なケースについては、ブテリン氏はプライバシーを保護するリモート推論のアプローチを概説しました。研究者のダヴィデ氏との共同提案であるZK-API、Openanonymityプロジェクト、サーバーがIPアドレスで連続するリクエストを関連付けられないようにするミックスネットの利用を挙げました。 また、短期的な対策としてリモート推論からのデータ漏洩を軽減する手段に信頼実行環境（TEE）を挙げましたが、プライベートクラウドでの推論に用いる完全同型暗号は現時点では実用的な速度に達していないと指摘しました。 ブテリン氏は、この投稿は完成品ではなく出発点を示すものであると締めくくり、読者が自身のツールをそのままコピーして安全であると安易に思い込むことに対して警鐘を鳴らしました。