Vitalik Buterin แห่ง Ethereum เตือนเกี่ยวกับความเสี่ยงด้านความปลอดภัยของเอเจนต์ AI พร้อมแชร์สแต็ก LLM ส่วนตัวของเขา

ประเด็นสำคัญ:

• ผู้ร่วมก่อตั้ง Ethereum Vitalik Buterin เลิกใช้ AI บนคลาวด์ในเดือนเมษายน 2026 โดยรัน Qwen3.5:35B แบบโลคัลบนแล็ปท็อป Nvidia 5090 ที่ความเร็ว 90 โทเค็นต่อวินาที
• Buterin พบว่าทักษะของเอเจนต์ AI ราว 15% มีคำสั่งที่เป็นอันตราย โดยอ้างอิงข้อมูลจากบริษัทด้านความปลอดภัย Hiddenlayer
• เดมอนส่งข้อความที่เขาโอเพนซอร์ส บังคับใช้กฎการยืนยันแบบ “มนุษย์ + LLM” 2-of-2 สำหรับการกระทำขาออกทั้งหมดบน Signal และอีเมลไปยังบุคคลที่สาม

Vitalik Buterin รันระบบ AI แบบอธิปไตยตนเองโดยไม่มีการเข้าถึงคลาวด์อย่างไร

Buterin อธิบาย ระบบนี้ว่า “self-sovereign / local / private / secure” และบอกว่าสร้างขึ้นเพื่อตอบสนองโดยตรงต่อสิ่งที่เขามองว่าเป็นความล้มเหลวด้านความปลอดภัยและความเป็นส่วนตัวอย่างร้ายแรงที่กำลังกระจายไปทั่วแวดวง เอเจนต์ AI เขาชี้ไปที่งานวิจัยที่แสดงว่า ทักษะของเอเจนต์หรือเครื่องมือปลั๊กอินราว 15% มีคำสั่งที่เป็นอันตราย บริษัทความปลอดภัย Hiddenlayer สาธิต ว่าการพาร์สเว็บเพจที่เป็นอันตรายเพียงหน้าเดียวสามารถยึดครองอินสแตนซ์ Openclaw ได้อย่างสมบูรณ์ ทำให้มันดาวน์โหลดและรันสคริปต์เชลล์ได้โดยที่ผู้ใช้ไม่รู้ตัว

“ผมมาจากกรอบความคิดที่กลัวอย่างลึกซึ้งว่าในขณะที่เรากำลังจะก้าวไปข้างหน้าเรื่องความเป็นส่วนตัวด้วยการที่การเข้ารหัสแบบ end-to-end กลายเป็นกระแสหลัก และซอฟต์แวร์แบบ local-first เพิ่มมากขึ้น เรากลับกำลังอยู่บนปากเหวของการถอยหลังไปสิบก้าว” Buterin เขียนไว้

ฮาร์ดแวร์ที่เขาเลือกใช้คือแล็ปท็อปที่รัน GPU Nvidia 5090 พร้อมหน่วยความจำวิดีโอ 24 GB โดยรันโมเดลโอเพนเวต Qwen3.5:35B ของ Alibaba ผ่าน llama-server การตั้งค่านี้ทำได้ 90 โทเค็นต่อวินาที ซึ่ง Buterin บอกว่าเป็นเป้าหมายสำหรับการใช้งานประจำวันอย่างสบาย เขาทดสอบ AMD Ryzen AI Max Pro ที่มีหน่วยความจำแบบยูนิฟายด์ 128 GB ซึ่งทำได้ 51 โทเค็นต่อวินาที และ DGX Spark ซึ่งทำได้ 60 โทเค็นต่อวินาที

เขากล่าวว่า DGX Spark ที่ทำตลาดเป็นซูเปอร์คอมพิวเตอร์ AI แบบเดสก์ท็อปนั้นไม่น่าประทับใจเมื่อเทียบกับราคา และมีอัตราการประมวลผลต่ำกว่าเมื่อเทียบกับ GPU แล็ปท็อปที่ดี สำหรับระบบปฏิบัติการ Buterin เปลี่ยนจาก Arch Linux มาใช้ NixOS ซึ่งให้ผู้ใช้กำหนดการตั้งค่าระบบทั้งหมดได้ในไฟล์เชิงประกาศ (declarative) ไฟล์เดียว เขาใช้ llama-server เป็นเดมอนเบื้องหลังที่เปิดพอร์ตโลคัลให้แอปพลิเคชันใด ๆ เชื่อมต่อได้

Claude Code เขาระบุว่าสามารถชี้ไปที่อินสแตนซ์ llama-server แบบโลคัลได้แทนที่จะใช้เซิร์ฟเวอร์ของ Anthropic การทำแซนด์บ็อกซ์เป็นแกนหลักของโมเดลความปลอดภัยของเขา เขาใช้ bubblewrap เพื่อสร้างสภาพแวดล้อมที่ถูกแยกจากไดเรกทอรีใด ๆ ด้วยคำสั่งเดียว โปรเซสที่รันอยู่ภายในแซนด์บ็อกซ์เหล่านั้นจะเข้าถึงได้เฉพาะไฟล์ที่อนุญาตไว้อย่างชัดเจนและพอร์ตเครือข่ายที่ถูกควบคุมเท่านั้น Buterin ได้โอเพนซอร์สเดมอนส่งข้อความไว้ที่ github.com/vbuterin/messaging-daemon ซึ่งห่อ (wrap) signal-cli และอีเมล

เขากล่าวว่าเดมอนสามารถอ่านข้อความได้อย่างอิสระ และส่งข้อความถึงตัวเองได้โดยไม่ต้องยืนยัน ข้อความขาออกใด ๆ ที่ส่งไปยังบุคคลที่สามต้องได้รับการอนุมัติจากมนุษย์อย่างชัดเจน เขาเรียกสิ่งนี้ว่าโมเดล “มนุษย์ + LLM 2-of-2” และบอกว่าตรรกะเดียวกันนี้ใช้กับกระเป๋าเงิน Ethereum ด้วย เขาแนะนำให้ทีมที่สร้างเครื่องมือกระเป๋าเงินที่เชื่อมกับ AI จำกัดธุรกรรมอัตโนมัติไว้ที่ 100 ดอลลาร์ต่อวัน และต้องให้มนุษย์ยืนยันสำหรับจำนวนที่สูงกว่านั้น หรือสำหรับธุรกรรมใด ๆ ที่มี calldata ซึ่งอาจใช้เพื่อดึงข้อมูลออกไปได้

การทำอินเฟอเรนซ์ระยะไกล ตามเงื่อนไขของ Buterin

สำหรับงานวิจัย Buterin เปรียบเทียบเครื่องมือโลคัล Local Deep Research กับการตั้งค่าของเขาเองที่ใช้เฟรมเวิร์กเอเจนต์ pi จับคู่กับ SearXNG ซึ่งเป็นเมตาเสิร์ชเอนจินแบบโฮสต์เองที่เน้นความเป็นส่วนตัว เขากล่าวว่า pi บวก SearXNG ให้คำตอบที่มีคุณภาพดีกว่า เขาเก็บดัมพ์ Wikipedia แบบโลคัลขนาดประมาณ 1 เทราไบต์ไว้ควบคู่กับเอกสารทางเทคนิค เพื่อลดการพึ่งพาคำค้นหาภายนอก ซึ่งเขามองว่าเป็นการรั่วไหลของความเป็นส่วนตัว

เขายังเผยแพร่เดมอนถอดเสียงแบบโลคัลที่ github.com/vbuterin/stt-daemon ด้วย เครื่องมือนี้รันได้โดยไม่ต้องใช้ GPU สำหรับการใช้งานพื้นฐาน และป้อนเอาต์พุตให้ LLM เพื่อแก้ไขและสรุปผล สำหรับการบูรณาการกับ Ethereum Buterin กล่าวว่าเอเจนต์ AI ไม่ควรมีสิทธิ์เข้าถึง กระเป๋าเงิน แบบไร้ข้อจำกัด เขาแนะนำให้มองมนุษย์และ LLM เป็นปัจจัยยืนยันสองส่วนที่แยกจากกัน ซึ่งแต่ละส่วนช่วยจับโหมดความล้มเหลวที่ต่างกัน

สำหรับกรณีที่โมเดลโลคัลยังไม่เพียงพอ Buterin ได้วางแนวทางการทำอินเฟอเรนซ์ระยะไกลที่รักษาความเป็นส่วนตัว เขาชี้ไปที่ข้อเสนอ ZK-API ของเขาเองร่วมกับนักวิจัยชื่อ Davide, โครงการ Openanonymity และการใช้ mixnets เพื่อป้องกันไม่ให้เซิร์ฟเวอร์เชื่อมโยงคำขอที่ส่งต่อเนื่องกันด้วยที่อยู่ IP เขายังอ้างถึง trusted execution environments ว่าเป็นวิธีลดการรั่วไหลของข้อมูลจากการทำอินเฟอเรนซ์ระยะไกลในระยะใกล้ พร้อมทั้งระบุว่า fully homomorphic encryption สำหรับการทำอินเฟอเรนซ์บนคลาวด์แบบเป็นส่วนตัวยังคงช้าเกินกว่าจะใช้งานได้จริงในวันนี้

Buterin ปิดท้ายด้วยหมายเหตุว่าโพสต์นี้อธิบายจุดเริ่มต้น ไม่ใช่ผลิตภัณฑ์ที่เสร็จสมบูรณ์ และเตือนผู้อ่านไม่ให้คัดลอกเครื่องมือของเขาตามแบบเป๊ะ ๆ แล้วสรุปว่ามันปลอดภัย