Віталік Бутерін із Ethereum попереджає про ризики безпеки, пов’язані з агентами штучного інтелекту, та ділиться своїм власним набором моделей великого мови

Основні висновки:

• Співзасновник Ethereum Віталік Бутерін відмовився від хмарного ШІ у квітні 2026 року, запустивши Qwen3.5:35B локально на ноутбуці з відеокартою Nvidia 5090 зі швидкістю 90 токенів на секунду.
• Бутерін виявив, що приблизно 15% навичок агентів ШІ містять шкідливі інструкції, посилаючись на дані компанії з безпеки Hiddenlayer.
• Його демон обміну повідомленнями з відкритим кодом застосовує правило підтвердження «людина плюс LLM» (2 з 2) для всіх вихідних дій у Signal та електронній пошті, що надсилаються третім сторонам.

Як Віталік Бутерін керує самокерованою системою ШІ без доступу до хмари

Бутерін описав систему як «самокеровану / локальну / приватну / безпечну» і зазначив, що вона була створена як пряма відповідь на те, що він вважає серйозними провалами безпеки та конфіденційності, які поширюються у просторі агентів ШІ. Він вказав на дослідження, які показують, що приблизно 15% навичок агентів, або плагінів, містять шкідливі інструкції. Компанія з безпеки Hiddenlayer продемонструвала, що аналіз однієї шкідливої веб-сторінки може повністю скомпрометувати екземпляр Openclaw, дозволивши йому завантажувати та виконувати скрипти оболонки без відома користувача.
«Я виходжу з того, що глибоко наляканий тим, що саме тоді, коли ми нарешті зробили крок вперед у питанні конфіденційності завдяки поширенню шифрування «від кінця до кінця» та все більшої кількості програмного забезпечення, орієнтованого на локальне використання, ми опинилися на межі того, щоб зробити десять кроків назад», — написав Бутерін.

Його улюбленим обладнанням є ноутбук з графічним процесором Nvidia 5090 та 24 ГБ відеопам'яті. Запускаючи модель Qwen3.5:35B з відкритими вагами від Alibaba через llama-server, система досягає 90 токенів на секунду, що, за словами Бутеріна, є цільовим показником для комфортного щоденного використання. Він протестував AMD Ryzen AI Max Pro з 128 ГБ об’єднаної пам’яті, який досяг 51 токенів на секунду, та DGX Spark, який досяг 60 токенів на секунду.

Він зазначив, що DGX Spark, який позиціонується як настільний суперкомп’ютер для штучного інтелекту, не вразив його, зважаючи на свою вартість та нижчу пропускну здатність порівняно з хорошим графічним процесором для ноутбука. Щодо операційної системи, Бутерін перейшов з Arch Linux на NixOS, яка дозволяє користувачам визначати всю конфігурацію системи в одному декларативному файлі. Він використовує llama-server як фоновий демон, який відкриває локальний порт, до якого може підключитися будь-яка програма.

Він зазначив, що Claude Code можна націлити на локальний екземпляр llama-server замість серверів Anthropic. Сандбоксинг є центральним елементом його моделі безпеки. Він використовує bubblewrap для створення ізольованих середовищ з будь-якого каталогу за допомогою однієї команди. Процеси, що виконуються всередині цих пісочниць, можуть отримувати доступ лише до файлів, які явно дозволені, та контрольованих мережевих портів. Бутерін опублікував у відкритому доступі демон обміну повідомленнями на github.com/vbuterin/messaging-daemon, який об'єднує signal-cli та електронну пошту.

Він зазначив, що демон може вільно читати повідомлення та надсилати повідомлення собі без підтвердження. Будь-яке вихідне повідомлення третій стороні вимагає явного схвалення людиною. Він назвав це моделлю «людина + LLM 2-з-2» і сказав, що та сама логіка застосовується до гаманців Ethereum. Він порадив командам, які розробляють інструменти для гаманців, пов’язані з ШІ, обмежити автономні транзакції сумою 100 доларів на день і вимагати підтвердження людиною для будь-чого більшого або будь-якої транзакції, що містить calldata, які можуть викрасти дані.

Віддалений висновок, за умовами Бутеріна

Для дослідницьких завдань Бутерін порівняв локальний інструмент Local Deep Research зі своєю власною конфігурацією, що використовує фреймворк pi agent у поєднанні з SearXNG, самохостованою метапошуковою системою, орієнтованою на конфіденційність. Він зазначив, що pi у поєднанні з SearXNG дають відповіді кращої якості. Він зберігає локальний дамп Вікіпедії обсягом приблизно 1 терабайт разом із технічною документацією, щоб зменшити свою залежність від зовнішніх пошукових запитів, які він розглядає як витік конфіденційної інформації.

Він також опублікував локальний демон транскрипції аудіо на github.com/vbuterin/stt-daemon. Цей інструмент працює без GPU для базового використання та передає вихідні дані до LLM для корекції та узагальнення. Щодо інтеграції з Ethereum, Бутерін зазначив, що агенти ШІ ніколи не повинні мати необмежений доступ до гаманця. Він рекомендував розглядати людину та LLM як два окремі фактори підтвердження, кожен з яких виявляє різні режими відмови.

Для випадків, коли локальні моделі виявляються недостатніми, Бутерін окреслив підхід до віддаленого виведення, що зберігає конфіденційність. Він вказав на свою власну пропозицію щодо ZK-API, розроблену спільно з дослідником Давіде, проект Openanonymity та використання мікс-мереж для запобігання зв’язуванню серверами послідовних запитів за IP-адресою. Він також назвав надійні середовища виконання способом зменшення витоку даних від віддаленого виведення у найближчій перспективі, водночас зазначивши, що повністю гомоморфне шифрування для виведення у приватній хмарі залишається надто повільним, щоб бути практичним на сьогодні.

Бутерін завершив, зазначивши, що цей допис описує відправну точку, а не готовий продукт, і попередив читачів не копіювати його інструменти дослівно та не вважати їх безпечними.