Vitalik Buterin của Ethereum cảnh báo về các rủi ro bảo mật liên quan đến các tác nhân AI và chia sẻ bộ công cụ mô hình ngôn ngữ lớn (LLM) riêng của mình

Điểm chính:

• Vitalik Buterin, đồng sáng lập Ethereum, đã từ bỏ AI đám mây vào tháng 4 năm 2026, chạy Qwen3.5:35B cục bộ trên một máy tính xách tay Nvidia 5090 với tốc độ 90 token mỗi giây.
• Buterin phát hiện ra rằng khoảng 15% kỹ năng của các tác nhân AI chứa các lệnh độc hại, trích dẫn dữ liệu từ công ty bảo mật Hiddenlayer.
• Daemon nhắn tin mã nguồn mở của ông áp dụng quy tắc xác nhận 2-trong-2 giữa con người và LLM cho tất cả các hành động gửi đi qua Signal và email tới các bên thứ ba.

Cách Vitalik Buterin vận hành hệ thống AI tự chủ mà không cần truy cập đám mây

Buterin mô tả hệ thống này là "tự chủ / cục bộ / riêng tư / an toàn" và cho biết nó được xây dựng như một phản ứng trực tiếp trước những lỗ hổng nghiêm trọng về bảo mật và quyền riêng tư đang lan rộng trong không gian các tác nhân AI. Ông chỉ ra nghiên cứu cho thấy khoảng 15% các kỹ năng của tác nhân, hay các công cụ plug-in, chứa các lệnh độc hại. Công ty bảo mật Hiddenlayer đã chứng minh rằng việc phân tích một trang web độc hại duy nhất có thể làm lộ hoàn toàn một phiên bản Openclaw, cho phép nó tải xuống và thực thi các skript shell mà người dùng không hề hay biết.

"Tôi xuất phát từ tâm lý lo sợ sâu sắc rằng ngay khi chúng ta cuối cùng cũng đang tiến một bước về phía trước trong lĩnh vực quyền riêng tư nhờ việc phổ cập mã hóa đầu cuối và ngày càng nhiều phần mềm ưu tiên cục bộ, chúng ta lại đang đứng trước nguy cơ lùi lại mười bước," Buterin viết.

Thiết bị phần cứng mà anh lựa chọn là một chiếc laptop chạy GPU Nvidia 5090 với 24 GB bộ nhớ đồ họa. Khi chạy mô hình Qwen3.5:35B mã nguồn mở từ Alibaba thông qua llama-server, hệ thống đạt 90 token mỗi giây, con số mà Buterin gọi là mục tiêu cho việc sử dụng hàng ngày thoải mái. Anh đã thử nghiệm AMD Ryzen AI Max Pro với 128 GB bộ nhớ thống nhất, đạt 51 token mỗi giây, và DGX Spark, đạt 60 token mỗi giây.

Anh cho biết DGX Spark, được quảng cáo là siêu máy tính AI để bàn, không ấn tượng lắm xét về chi phí và thông lượng thấp hơn so với một GPU laptop tốt. Về hệ điều hành, Buterin đã chuyển từ Arch Linux sang NixOS, cho phép người dùng định nghĩa toàn bộ cấu hình hệ thống trong một tệp khai báo duy nhất. Anh sử dụng llama-server như một daemon nền để mở cổng cục bộ mà bất kỳ ứng dụng nào cũng có thể kết nối.

Claude Code, anh lưu ý, có thể được chỉ định kết nối với một phiên bản llama-server cục bộ thay vì các máy chủ của Anthropic. Sandboxing là yếu tố trung tâm trong mô hình bảo mật của anh. Anh sử dụng bubblewrap để tạo môi trường cách ly từ bất kỳ thư mục nào chỉ với một lệnh. Các tiến trình chạy bên trong các sandbox này chỉ có thể truy cập các tệp được phép rõ ràng và các cổng mạng được kiểm soát. Buterin đã mã nguồn mở một daemon nhắn tin tại github.com/vbuterin/messaging-daemon, tích hợp signal-cli và email.

Anh nhận xét rằng daemon này có thể đọc tin nhắn tự do và gửi tin nhắn cho chính mình mà không cần xác nhận. Bất kỳ tin nhắn đi nào gửi đến bên thứ ba đều yêu cầu sự chấp thuận rõ ràng của con người. Ông gọi đây là mô hình "con người + LLM 2-of-2" và cho biết logic tương tự cũng áp dụng cho ví Ethereum. Ông khuyên các nhóm đang phát triển công cụ ví kết nối với AI nên giới hạn các giao dịch tự động ở mức 100 đô la mỗi ngày và yêu cầu xác nhận của con người đối với bất kỳ giao dịch nào có giá trị cao hơn hoặc bất kỳ giao dịch nào mang theo calldata có thể làm rò rỉ dữ liệu.

Suy luận từ xa, theo điều kiện của Buterin

Đối với các tác vụ nghiên cứu, Buterin so sánh công cụ cục bộ Local Deep Research với cấu hình của chính anh sử dụng khung pi agent kết hợp với SearXNG, một công cụ tìm kiếm tổng hợp tự lưu trữ tập trung vào quyền riêng tư. Anh cho biết sự kết hợp giữa pi và SearXNG mang lại câu trả lời chất lượng cao hơn. Anh lưu trữ một bản sao cục bộ của Wikipedia khoảng 1 terabyte cùng với tài liệu kỹ thuật để giảm sự phụ thuộc vào các truy vấn tìm kiếm bên ngoài, mà anh coi là lỗ hổng quyền riêng tư.

Anh cũng đã công bố một daemon chuyển đổi âm thanh thành văn bản cục bộ tại github.com/vbuterin/stt-daemon. Công cụ này chạy mà không cần GPU cho các tác vụ cơ bản và đưa đầu ra vào mô hình ngôn ngữ lớn (LLM) để chỉnh sửa và tóm tắt. Về tích hợp Ethereum, Buterin cho rằng các tác nhân AI không bao giờ nên có quyền truy cập không giới hạn vào ví. Anh khuyến nghị xem con người và mô hình ngôn ngữ lớn (LLM) như hai yếu tố xác thực riêng biệt, mỗi yếu tố phát hiện các chế độ lỗi khác nhau.

Đối với các trường hợp mô hình cục bộ không đáp ứng được, Buterin đã phác thảo một phương pháp bảo vệ quyền riêng tư cho suy luận từ xa. Ông đề cập đến đề xuất ZK-API của chính mình cùng với nhà nghiên cứu Davide, dự án Openanonymity, và việc sử dụng mixnets để ngăn các máy chủ liên kết các yêu cầu liên tiếp qua địa chỉ IP. Ông cũng đề cập đến các môi trường thực thi đáng tin cậy (TEE) như một cách để giảm rò rỉ dữ liệu từ suy luận từ xa trong ngắn hạn, đồng thời lưu ý rằng mã hóa hoàn toàn đồng hình (FHE) cho suy luận trên đám mây riêng vẫn còn quá chậm để áp dụng thực tế hiện nay.

Buterin kết thúc bằng lưu ý rằng bài viết này mô tả một điểm khởi đầu, không phải sản phẩm hoàn chỉnh, và cảnh báo độc giả không nên sao chép chính xác các công cụ của ông và cho rằng chúng an toàn.