Vitalik Buterin, do Ethereum, alerta para os riscos de segurança dos agentes de IA e compartilha sua pilha privada de LLM

Pontos principais:

• O cofundador da Ethereum, Vitalik Buterin, abandonou a IA na nuvem em abril de 2026, executando o Qwen3.5:35B localmente em um laptop com placa de vídeo Nvidia 5090 a 90 tokens por segundo.
• Buterin descobriu que cerca de 15% das habilidades dos agentes de IA contêm instruções maliciosas, citando dados da empresa de segurança Hiddenlayer.
• Seu daemon de mensagens de código aberto impõe uma regra de confirmação 2 de 2 (humano mais LLM) para todas as ações de saída do Signal e e-mail para terceiros.

Como Vitalik Buterin opera um sistema de IA autônomo sem acesso à nuvem

Buterin descreveu o sistema como “autônomo / local / privado / seguro” e disse que ele foi construído em resposta direta ao que ele vê como graves falhas de segurança e privacidade se espalhando pelo espaço dos agentes de IA. Ele citou pesquisas mostrando que cerca de 15% das habilidades dos agentes, ou ferramentas de plug-in, contêm instruções maliciosas. A empresa de segurança Hiddenlayer demonstrou que a análise de uma única página da web maliciosa poderia comprometer totalmente uma instância do Openclaw, permitindo que ela baixasse e executasse scripts de shell sem o conhecimento do usuário.

“Tenho um pensamento de profundo receio de que, justamente quando estávamos finalmente dando um passo à frente em privacidade com a popularização da criptografia de ponta a ponta e cada vez mais software com prioridade local, estejamos à beira de dar dez passos para trás”, escreveu Buterin.

Seu hardware preferido é um laptop equipado com uma GPU Nvidia 5090 com 24 GB de memória de vídeo. Ao executar o modelo Qwen3.5:35B de código aberto da Alibaba através do llama-server, a configuração atinge 90 tokens por segundo, o que Buterin considera a meta para um uso diário confortável. Ele testou o AMD Ryzen AI Max Pro com 128 GB de memória unificada, que atingiu 51 tokens por segundo, e o DGX Spark, que chegou a 60 tokens por segundo.

Ele disse que o DGX Spark, comercializado como um supercomputador de IA para desktop, não impressionou, dado seu custo e menor rendimento em comparação com uma boa GPU de laptop. Quanto ao sistema operacional, Buterin mudou do Arch Linux para o NixOS, que permite aos usuários definir toda a configuração do sistema em um único arquivo declarativo. Ele usa o llama-server como um daemon em segundo plano que expõe uma porta local à qual qualquer aplicativo pode se conectar.

Ele observou que o Claude Code pode ser direcionado para uma instância local do llama-server em vez dos servidores da Anthropic. O sandboxing é fundamental para seu modelo de segurança. Ele usa o bubblewrap para criar ambientes isolados a partir de qualquer diretório com um único comando. Os processos em execução dentro dessas sandboxes só podem acessar arquivos explicitamente permitidos e portas de rede controladas. Buterin disponibilizou como código aberto um daemon de mensagens em github.com/vbuterin/messaging-daemon que envolve o signal-cli e o e-mail.

Ele observou que o daemon pode ler mensagens livremente e enviar mensagens para si mesmo sem confirmação. Qualquer mensagem enviada a terceiros requer aprovação humana explícita. Ele chamou isso de modelo “humano + LLM 2-de-2” e disse que a mesma lógica se aplica às carteiras Ethereum. Ele aconselhou as equipes que desenvolvem ferramentas de carteira conectadas à IA a limitar as transações autônomas a US$ 100 por dia e exigir confirmação humana para qualquer valor superior ou qualquer transação que contenha calldata que possa exfiltrar dados.

Inferência remota, nos termos de Buterin

Para tarefas de pesquisa, Buterin comparou a ferramenta local Local Deep Research com sua própria configuração, usando a estrutura pi agent emparelhada com o SearXNG, um metamotor de busca auto-hospedado com foco na privacidade. Ele disse que o pi mais o SearXNG produziram respostas de melhor qualidade. Ele armazena um dump local da Wikipedia de aproximadamente 1 terabyte junto com documentação técnica para reduzir sua dependência de consultas de busca externas, que ele trata como um vazamento de privacidade.

Ele também publicou um daemon de transcrição de áudio local em github.com/vbuterin/stt-daemon. A ferramenta funciona sem uma GPU para uso básico e envia a saída para o LLM para correção e resumo. Sobre a integração com o Ethereum, Buterin disse que os agentes de IA nunca devem ter acesso irrestrito à carteira. Ele recomendou tratar o ser humano e o LLM como dois fatores de confirmação distintos, cada um detectando diferentes modos de falha.

Para casos em que os modelos locais ficam aquém, Buterin delineou uma abordagem que preserva a privacidade para a inferência remota. Ele apontou para sua própria proposta de ZK-API com o pesquisador Davide, o projeto Openanonymity e o uso de mixnets para impedir que os servidores vinculem solicitações sucessivas por endereço IP. Ele também citou ambientes de execução confiáveis como uma forma de reduzir o vazamento de dados da inferência remota no curto prazo, ao mesmo tempo em que observou que a criptografia totalmente homomórfica para inferência em nuvem privada ainda é lenta demais para ser prática atualmente.

Buterin encerrou com uma observação de que a postagem descreve um ponto de partida, não um produto final, e alertou os leitores contra copiar suas ferramentas exatas e presumir que elas sejam seguras.