Vitalik Buterin van Ethereum waarschuwt voor veiligheidsrisico’s van AI-agenten en deelt zijn eigen LLM-stack

Belangrijkste punten:

• Vitalik Buterin, medeoprichter van Ethereum, heeft in april 2026 cloud-AI vaarwel gezegd en draait Qwen3.5:35B lokaal op een Nvidia 5090-laptop met een snelheid van 90 tokens per seconde.
• Buterin ontdekte dat ongeveer 15% van de vaardigheden van AI-agenten kwaadaardige instructies bevat, waarbij hij verwijst naar gegevens van beveiligingsbedrijf Hiddenlayer.
• Zijn open-source messaging-daemon dwingt een 'human-plus-LLM 2-van-2'-bevestigingsregel af voor alle uitgaande Signal- en e-mailacties naar derden.

Hoe Vitalik Buterin een zelfstandig AI-systeem zonder cloudtoegang beheert

Buterin beschreef het systeem als "zelfsoeverein / lokaal / privé / veilig" en zei dat het was gebouwd als directe reactie op wat hij ziet als ernstige beveiligings- en privacyfouten die zich verspreiden in de AI-agentwereld. Hij wees op onderzoek waaruit blijkt dat ongeveer 15% van de agentvaardigheden, of plug-in-tools, kwaadaardige instructies bevat. Beveiligingsbedrijf Hiddenlayer toonde aan dat het parseren van één enkele kwaadaardige webpagina een Openclaw-instantie volledig kon compromitteren, waardoor deze shell-scripts kon downloaden en uitvoeren zonder dat de gebruiker zich daarvan bewust was.
"Ik ben vanuit een mentaliteit van diepe angst dat, net nu we eindelijk een stap vooruit zetten op het gebied van privacy met de mainstreaming van end-to-end-encryptie en steeds meer 'local-first'-software, we op het punt staan tien stappen achteruit te zetten," schreef Buterin.

Zijn voorkeurshardware is een laptop met een Nvidia 5090 GPU en 24 GB videogeheugen. Bij het draaien van het open-source Qwen3.5:35B-model van Alibaba via llama-server haalt de opstelling 90 tokens per seconde, wat Buterin het streefcijfer noemt voor comfortabel dagelijks gebruik. Hij testte de AMD Ryzen AI Max Pro met 128 GB unified memory, die 51 tokens per seconde haalde, en de DGX Spark, die 60 tokens per seconde haalde.

Hij zei dat de DGX Spark, op de markt gebracht als een desktop AI-supercomputer, niet indrukwekkend was gezien de kosten en de lagere doorvoer in vergelijking met een goede laptop-GPU. Voor zijn besturingssysteem stapte Buterin over van Arch Linux naar NixOS, waarmee gebruikers hun volledige systeemconfiguratie in één enkel declaratief bestand kunnen definiëren. Hij gebruikt llama-server als een achtergronddaemon die een lokale poort blootstelt waarmee elke applicatie verbinding kan maken.

Claude Code, merkte hij op, kan worden gericht op een lokale llama-server-instantie in plaats van op de servers van Anthropic. Sandboxing staat centraal in zijn beveiligingsmodel. Hij gebruikt bubblewrap om met één commando geïsoleerde omgevingen te creëren vanuit elke willekeurige map. Processen die binnen die sandboxes draaien, hebben alleen toegang tot bestanden die expliciet zijn toegestaan en tot gecontroleerde netwerkpoorten. Buterin heeft een messaging-daemon open-sourced op github.com/vbuterin/messaging-daemon die signal-cli en e-mail omvat.

Hij merkte op dat de daemon berichten vrij kan lezen en berichten naar zichzelf kan sturen zonder bevestiging. Elk uitgaand bericht naar een derde partij vereist expliciete menselijke goedkeuring. Hij noemde dit het "human + LLM 2-of-2"-model en zei dat dezelfde logica van toepassing is op Ethereum-wallets. Hij adviseerde teams die AI-verbonden wallet-tools bouwen om autonome transacties te beperken tot $ 100 per dag en menselijke bevestiging te vereisen voor alles wat hoger is of voor elke transactie met calldata die gegevens zou kunnen lekken.

Remote Inference, volgens de voorwaarden van Buterin

Voor onderzoekstaken vergeleek Buterin de lokale tool Local Deep Research met zijn eigen opstelling, waarbij hij gebruikmaakte van het pi-agent-framework in combinatie met SearXNG, een zelfgehoste, op privacy gerichte meta-zoekmachine. Hij zei dat pi plus SearXNG antwoorden van betere kwaliteit opleverde. Hij slaat een lokale Wikipedia-dump van ongeveer 1 terabyte op, naast technische documentatie, om zijn afhankelijkheid van externe zoekopdrachten te verminderen, die hij beschouwt als een inbreuk op de privacy.

Hij publiceerde ook een lokale audiotranscriptiedaemon op github.com/vbuterin/stt-daemon. De tool draait zonder GPU voor basisgebruik en stuurt de output naar de LLM voor correctie en samenvatting. Wat betreft de integratie met Ethereum zei Buterin dat AI-agenten nooit onbeperkte toegang tot de wallet mogen hebben. Hij adviseerde om de mens en de LLM te behandelen als twee afzonderlijke bevestigingsfactoren die elk verschillende faalmodi opvangen.

Voor gevallen waarin lokale modellen tekortschieten, schetste Buterin een privacybeschermende aanpak voor remote inference. Hij wees op zijn eigen ZK-API-voorstel met onderzoeker Davide, het Openanonymity-project en het gebruik van mixnets om te voorkomen dat servers opeenvolgende verzoeken aan elkaar koppelen op basis van IP-adres. Hij noemde ook vertrouwde uitvoeringsomgevingen als een manier om op korte termijn datalekken door inferentie op afstand te verminderen, terwijl hij opmerkte dat volledig homomorfe versleuteling voor inferentie in de private cloud op dit moment nog te traag is om praktisch te zijn.

Buterin sloot af met de opmerking dat het bericht een startpunt beschrijft, geen afgewerkt product, en waarschuwde lezers om zijn exacte tools niet te kopiëren en ervan uit te gaan dat ze veilig zijn.