Ethereums Vitalik Buterin varnar för säkerhetsrisker med AI-agenter och delar med sig av sin privata LLM-stack

Huvudpunkter:

• Ethereums medgrundare Vitalik Buterin övergav molnbaserad AI i april 2026 och kör nu Qwen3.5:35B lokalt på en bärbar dator med Nvidia 5090 med en hastighet på 90 tokens per sekund.
• Buterin fann att ungefär 15 % av AI-agenternas färdigheter innehåller skadliga instruktioner, med hänvisning till data från säkerhetsföretaget Hiddenlayer.
• Hans öppen källkodsbaserade meddelandedaemon tillämpar en bekräftelseregel om ”human-plus-LLM 2-av-2” för alla utgående Signal- och e-poståtgärder till tredje part.

Hur Vitalik Buterin driver ett självständigt AI-system utan molntillgång

Buterin beskrev systemet som ”självständigt / lokalt / privat / säkert” och sa att det byggdes som ett direkt svar på vad han ser som allvarliga säkerhets- och integritetsbrister som sprider sig inom AI–agentområdet. Han pekade på forskning som visar att ungefär 15 % av agenternas funktioner, eller plugin-verktyg, innehåller skadliga instruktioner. Säkerhetsföretaget Hiddenlayer visade att analys av en enda skadlig webbsida kunde kompromettera en Openclaw-instans fullständigt, vilket gjorde det möjligt att ladda ner och köra shell-skript utan att användaren märkte det.

”Jag utgår från en inställning där jag är djupt rädd för att just när vi äntligen tog ett steg framåt inom integritet med mainstreaming av end-to-end-kryptering och allt mer lokal-först-programvara, så står vi på randen till att ta tio steg bakåt”, skrev Buterin.

Hans val av hårdvara är en bärbar dator med ett Nvidia 5090-grafikkort med 24 GB videominne. När den kör den öppna Qwen3.5:35B-modellen från Alibaba via llama-server når konfigurationen 90 tokens per sekund, vilket Buterin kallar målet för bekväm daglig användning. Han testade AMD Ryzen AI Max Pro med 128 GB enhetligt minne, som nådde 51 tokens per sekund, och DGX Spark, som nådde 60 tokens per sekund.

Han sa att DGX Spark, som marknadsförs som en stationär AI-superdator, var imponerande med tanke på dess kostnad och lägre genomströmning jämfört med ett bra bärbart grafikkort. När det gäller operativsystem bytte Buterin från Arch Linux till NixOS, vilket låter användare definiera hela sin systemkonfiguration i en enda deklarativ fil. Han använder llama-server som en bakgrundsdaemon som exponerar en lokal port som vilken applikation som helst kan ansluta till.

Claude Code, noterade han, kan riktas mot en lokal instans av llama-server istället för Anthropics servrar. Sandboxing är centralt i hans säkerhetsmodell. Han använder bubblewrap för att skapa isolerade miljöer från valfri katalog med ett enda kommando. Processer som körs inuti dessa sandlådor kan endast komma åt filer som uttryckligen tillåtits och kontrollerade nätverksportar. Buterin har släppt en meddelandedemon som öppen källkod på github.com/vbuterin/messaging-daemon som omsluter signal-cli och e-post.

Han påpekade att daemonen kan läsa meddelanden fritt och skicka meddelanden till sig själv utan bekräftelse. Alla utgående meddelanden till en tredje part kräver uttryckligt godkännande av en människa. Han kallade detta för ”human + LLM 2-of-2”-modellen och sa att samma logik gäller för Ethereum-plånböcker. Han rådde team som bygger AI-anslutna plånboksverktyg att begränsa autonoma transaktioner till 100 dollar per dag och kräva mänsklig bekräftelse för allt som överstiger detta eller för transaktioner som innehåller calldata som kan leda till dataläckage.

Fjärrinferens, enligt Buterins villkor

För forskningsuppgifter jämförde Buterin det lokala verktyget Local Deep Research med sin egen konfiguration som använder pi-agentramverket i kombination med SearXNG, en självhostad metasökmotor med fokus på integritet. Han sa att pi plus SearXNG gav svar av bättre kvalitet. Han lagrar en lokal Wikipedia-dump på cirka 1 terabyte tillsammans med teknisk dokumentation för att minska sitt beroende av externa sökfrågor, vilket han betraktar som ett integritetsläckage.

Han publicerade också en lokal ljudtranskriptionsdaemon på github.com/vbuterin/stt-daemon. Verktyget körs utan GPU för grundläggande användning och matar utdata till LLM för korrigering och sammanfattning. När det gäller Ethereum-integration sa Buterin att AI-agenter aldrig bör ha obegränsad tillgång till plånboken. Han rekommenderade att behandla människan och LLM som två distinkta bekräftelsefaktorer som var och en fångar upp olika felmodeller.

För fall där lokala modeller inte räcker till skissade Buterin på en integritetsbevarande strategi för fjärrinferens. Han pekade på sitt eget ZK-API-förslag tillsammans med forskaren Davide, Openanonymity-projektet och användningen av mixnets för att förhindra att servrar kopplar samman på varandra följande förfrågningar via IP-adress. Han nämnde också betrodda exekveringsmiljöer som ett sätt att minska dataläckage från fjärrinferens på kort sikt, samtidigt som han påpekade att fullständigt homomorfisk kryptering för privat molninferens fortfarande är för långsam för att vara praktiskt användbar idag.

Buterin avslutade med att påpeka att inlägget beskriver en utgångspunkt, inte en färdig produkt, och varnade läsarna för att kopiera hans exakta verktyg och anta att de är säkra.