이더리움의 비탈릭 부테린, AI 에이전트의 보안 위험에 경고하며 자신의 전용 LLM 스택 공개

• 이더리움 공동 창립자 비탈릭 부테린은 2026년 4월 클라우드 AI를 포기하고, 엔비디아 5090 노트북에서 Qwen3.5:35B를 로컬로 실행하며 초당 90 토큰의 성능을 달성했다.
• 부테린은 보안 기업 히든레이어(Hiddenlayer)의 데이터를 인용하며, AI 에이전트 기능의 약 15%가 악의적인 명령을 포함하고 있음을 발견했다.
• 그가 오픈소스로 공개한 메시징 데몬은 제3자로 전송되는 모든 시그널(Signal) 및 이메일 작업에 대해 '인간 + LLM' 2중 확인 규칙을 적용한다.

비탈릭 부테린, 클라우드 접속 없이 자가 주권형 AI 시스템을 운영하는 방법

부테린은 이 시스템을 "자가 주권적 / 로컬 / 비공개 / 보안"이라고 묘사하며, AI 에이전트 분야에서 확산되고 있는 심각한 보안 및 개인정보 보호 결함에 대한 직접적인 대응으로 구축되었다고 말했다. 그는 에이전트 스킬(플러그인 도구)의 약 15%가 악성 명령을 포함하고 있다는 연구 결과를 지적했다. 보안 기업 히든레이어(Hiddenlayer)는 단 하나의 악성 웹 페이지를 파싱하는 것만으로도 Openclaw 인스턴스를 완전히 장악할 수 있으며, 이를 통해 사용자가 인지하지 못하는 사이에 셸 스크립트를 다운로드하고 실행할 수 있음을 시연했다. "저는 엔드투엔드 암호화의 주류화와 점점 더 많은 로컬 우선 소프트웨어의 등장으로 마침내 프라이버시 분야에서 한 걸음 전진하던 바로 그 시점에, 우리가 열 걸음 뒤로 물러날 위기에 처해 있다는 점에 깊은 두려움을 느끼고 있습니다,"라고 부테린은 썼다.

그가 선택한 하드웨어는 24GB의 비디오 메모리를 탑재한 엔비디아(Nvidia) 5090 GPU가 장착된 노트북이다. 알리바바의 오픈 소스 모델인 Qwen3.5:35B를 llama-server를 통해 실행했을 때, 이 구성은 초당 90 토큰을 처리했으며, 부테린은 이를 일상적인 사용에 편안한 수준이라고 평가했다. 그는 128GB 통합 메모리를 탑재한 AMD 라이젠 AI 맥스 프로를 테스트해 초당 51 토큰을 기록했으며, DGX 스파크는 초당 60 토큰에 도달했다. 그는 데스크톱 AI 슈퍼컴퓨터로 마케팅되는 DGX 스파크가 비용 대비 성능이 좋지 않고, 성능이 뛰어난 노트북용 GPU에 비해 처리량이 낮아 인상적이지 않다고 말했다. 운영 체제로는 아치 리눅스(Arch Linux)에서 NixOS로 전환했는데, NixOS는 사용자가 단일 선언형 파일로 전체 시스템 구성을 정의할 수 있게 해줍니다. 그는 모든 애플리케이션이 연결할 수 있는 로컬 포트를 노출하는 백그라운드 데몬으로 llama-server를 사용합니다. 그는 클로드 코드(Claude Code)가 앤트로픽(Anthropic)의 서버 대신 로컬 llama-server 인스턴스를 대상으로 설정될 수 있다고 언급했습니다. 샌드박싱은 그의 보안 모델의 핵심입니다. 그는 bubblewrap을 사용하여 단일 명령어로 어떤 디렉터리에서든 격리된 환경을 생성합니다. 이러한 샌드박스 내에서 실행되는 프로세스는 명시적으로 허용된 파일과 제어된 네트워크 포트에 대해서만 접근할 수 있습니다. 부테린은 signal-cli와 이메일을 감싸는 메시징 데몬을 github.com/vbuterin/messaging-daemon에 오픈소스로 공개했습니다. 그는 이 데몬이 메시지를 자유롭게 읽을 수 있으며 확인 절차 없이 자신에게 메시지를 보낼 수 있다고 언급했습니다. 제3자에게 발송되는 모든 메시지는 사람의 명시적인 승인이 필요합니다. 그는 이를 "인간 + LLM 2-of-2" 모델이라고 명명했으며, 동일한 논리가 이더리움 지갑에도 적용된다고 말했습니다. 그는 AI 연동 지갑 도구를 개발하는 팀들에게 자율 거래를 하루 100달러로 제한하고, 그 이상의 금액이나 데이터 유출 가능성이 있는 콜데이터를 포함하는 모든 거래에 대해 사람의 확인을 요구할 것을 권고했습니다.

부테린의 관점에서 본 원격 추론

연구 과제를 위해 부테린은 로컬 도구인 'Local Deep Research'를, pi 에이전트 프레임워크와 자체 호스팅 방식의 개인정보 보호 중심 메타 검색 엔진인 SearXNG를 결합한 자신의 설정과 비교했다. 그는 pi와 SearXNG의 조합이 더 나은 품질의 답변을 제공한다고 말했다. 그는 외부 검색 쿼리에 대한 의존도를 줄이기 위해 약 1테라바이트 규모의 로컬 위키백과 덤프와 기술 문서를 저장하고 있으며, 외부 검색 쿼리를 개인정보 유출로 간주한다.

그는 또한 github.com/vbuterin/stt-daemon에 로컬 오디오 전사 데몬을 공개했다. 이 도구는 기본 사용 시 GPU 없이도 실행되며, 수정 및 요약 처리를 위해 LLM에 출력을 전달한다. 이더리움 통합과 관련하여 부테린은 AI 에이전트가 절대 무제한 지갑 접근 권한을 가져서는 안 된다고 말했다. 그는 인간과 LLM을 서로 다른 오류 모드를 포착하는 두 개의 별개 확인 요소로 취급할 것을 권장했다.

로컬 모델이 한계에 부딪히는 경우를 대비해, 부테린은 원격 추론에 대한 개인정보 보호 접근 방식을 제시했다. 그는 연구원 다비데(Davide)와 함께 제안한 ZK-API, Openanonymity 프로젝트, 그리고 서버가 IP 주소를 통해 연속적인 요청을 연결하지 못하도록 막는 믹스넷(mixnets)의 활용을 예로 들었다. 또한 그는 단기적으로 원격 추론 시 데이터 유출을 줄이는 방안으로 신뢰 실행 환경(TEE)을 언급했으며, 프라이빗 클라우드 추론을 위한 완전 동형 암호화는 현재로서는 속도가 너무 느려 실용적이지 않다고 지적했다. 부테린은 이 글이 완성된 결과물이 아닌 출발점을 설명하는 것임을 밝히며, 독자들에게 자신의 도구를 그대로 복사해 보안이 보장된다고 가정하지 말 것을 경고하며 글을 마쳤다.