Vitalik Buterin z Ethereum ostrzega przed zagrożeniami dla bezpieczeństwa związanymi z agentami AI i dzieli się swoim prywatnym zestawem modeli LLM

Najważniejsze wnioski:

• Współzałożyciel Ethereum, Vitalik Buterin, zrezygnował z chmurowej sztucznej inteligencji w kwietniu 2026 r., uruchamiając lokalnie Qwen3.5:35B na laptopie z kartą graficzną Nvidia 5090 z wydajnością 90 tokenów na sekundę.
• Buterin odkrył, że około 15% umiejętności agentów AI zawiera złośliwe instrukcje, powołując się na dane firmy Hiddenlayer zajmującej się bezpieczeństwem.
• Jego demon komunikacyjny typu open source egzekwuje zasadę potwierdzenia „człowiek plus LLM” (2 z 2) dla wszystkich wychodzących działań w Signal i e-mailach kierowanych do stron trzecich.

Jak Vitalik Buterin prowadzi system AI oparty na suwerenności użytkownika bez dostępu do chmury

Buterin opisał system jako „samowładny / lokalny / prywatny / bezpieczny” i powiedział, że został on zbudowany w bezpośredniej odpowiedzi na to, co postrzega jako poważne uchybienia w zakresie bezpieczeństwa i prywatności rozprzestrzeniające się w przestrzeni agentów AI. Wskazał na badania pokazujące, że około 15% umiejętności agentów, czyli narzędzi wtyczkowych, zawiera złośliwe instrukcje. Firma zajmująca się bezpieczeństwem Hiddenlayer wykazała, że przeanalizowanie jednej złośliwej strony internetowej może całkowicie naruszyć instancję Openclaw, umożliwiając jej pobieranie i wykonywanie skryptów powłoki bez wiedzy użytkownika.

„Wychodzę z założenia, że jestem głęboko przerażony tym, że właśnie wtedy, gdy w końcu zrobiliśmy krok naprzód w kwestii prywatności dzięki upowszechnieniu szyfrowania typu end-to-end i coraz większej liczbie oprogramowania opartego na lokalności, jesteśmy o krok od cofnięcia się o dziesięć kroków” – napisał Buterin.

Jego sprzętem z wyboru jest laptop z procesorem graficznym Nvidia 5090 i 24 GB pamięci wideo. Uruchamiając model Qwen3.5:35B firmy Alibaba z otwartymi wagami za pośrednictwem serwera llama-server, konfiguracja osiąga 90 tokenów na sekundę, co Buterin nazywa celem zapewniającym komfortowe codzienne użytkowanie. Przetestował on procesor AMD Ryzen AI Max Pro z 128 GB pamięci zunifikowanej, który osiągnął 51 tokenów na sekundę, oraz DGX Spark, który osiągnął 60 tokenów na sekundę.

Stwierdził, że DGX Spark, sprzedawany jako stacjonarny superkomputer AI, nie zrobił na nim wrażenia, biorąc pod uwagę jego koszt i niższą przepustowość w porównaniu z dobrym procesorem graficznym w laptopie. Jeśli chodzi o system operacyjny, Buterin przeszedł z Arch Linux na NixOS, który pozwala użytkownikom zdefiniować całą konfigurację systemu w jednym pliku deklaratywnym. Używa llama-server jako demona działającego w tle, który udostępnia lokalny port, z którym może połączyć się dowolna aplikacja.
Zauważył, że Claude Code można skierować na lokalną instancję llama-server zamiast na serwery Anthropic. Sandboxing ma kluczowe znaczenie dla jego modelu bezpieczeństwa. Używa bubblewrap do tworzenia izolowanych środowisk z dowolnego katalogu za pomocą jednego polecenia. Procesy działające w tych piaskownicach mają dostęp tylko do plików wyraźnie dozwolonych i kontrolowanych portów sieciowych. Buterin udostępnił na licencji open source demona komunikacyjnego na github.com/vbuterin/messaging-daemon, który obsługuje signal-cli i e-mail.
Zauważył, że demon może swobodnie odczytywać wiadomości i wysyłać je do siebie bez potwierdzenia. Każda wiadomość wychodząca do osoby trzeciej wymaga wyraźnej zgody człowieka. Nazwał to modelem „człowiek + LLM 2-z-2” i stwierdził, że ta sama logika ma zastosowanie do portfeli Ethereum. Doradził zespołom tworzącym narzędzia portfelowe połączone z AI, aby ograniczyły autonomiczne transakcje do 100 dolarów dziennie i wymagały potwierdzenia przez człowieka w przypadku kwot wyższych lub transakcji zawierających dane wywołania, które mogłyby spowodować wyciek danych.

Wnioskowanie zdalne według warunków Buterina

W przypadku zadań badawczych Buterin porównał lokalne narzędzie Local Deep Research ze swoją własną konfiguracją wykorzystującą framework pi agent w połączeniu z SearXNG, samodzielnie hostowaną metawyszukiwarką skupioną na prywatności. Stwierdził, że pi w połączeniu z SearXNG generuje odpowiedzi lepszej jakości. Przechowuje lokalny zrzut Wikipedii o wielkości około 1 terabajta wraz z dokumentacją techniczną, aby zmniejszyć swoje uzależnienie od zewnętrznych zapytań wyszukiwania, które traktuje jako naruszenie prywatności.

Opublikował również lokalnego demona transkrypcji audio na github.com/vbuterin/stt-daemon. Narzędzie to działa bez procesora graficznego (GPU) w podstawowym zakresie i przekazuje dane wyjściowe do LLM w celu korekty i streszczenia. Jeśli chodzi o integrację z Ethereum, Buterin stwierdził, że agenci AI nigdy nie powinni mieć nieograniczonego dostępu do portfela. Zalecił traktowanie człowieka i LLM jako dwóch odrębnych czynników potwierdzających, z których każdy wykrywa inne tryby awarii.

W przypadkach, gdy modele lokalne zawodzą, Buterin nakreślił podejście do zdalnej inferencji zapewniające ochronę prywatności. Wskazał na swoją własną propozycję ZK-API opracowaną wspólnie z badaczem Davide, projekt Openanonymity oraz wykorzystanie sieci mixnetów, aby uniemożliwić serwerom łączenie kolejnych żądań na podstawie adresów IP. Wymienił również zaufane środowiska wykonawcze jako sposób na ograniczenie wycieku danych wynikającego z wnioskowania zdalnego w najbliższej przyszłości, zaznaczając jednocześnie, że w pełni homomorficzne szyfrowanie dla wnioskowania w chmurze prywatnej pozostaje obecnie zbyt powolne, by było praktyczne.

Buterin zakończył stwierdzeniem, że wpis ten opisuje punkt wyjścia, a nie gotowy produkt, i ostrzegł czytelników przed kopiowaniem jego narzędzi w niezmienionej formie i zakładaniem, że są one bezpieczne.