以太坊创始人维塔利克·布特林警告人工智能代理的安全风险，并分享了其私有大型语言模型（LLM）技术栈

• 以太坊联合创始人维塔利克·布特林于2026年4月放弃了云端AI，转而在搭载Nvidia 5090显卡的笔记本电脑上本地运行Qwen3.5:35B模型，每秒处理90个代币。
• 布特林援引安全公司Hiddenlayer的数据指出，约15%的AI代理技能包含恶意指令。
• 他开源的消息守护进程对所有发往第三方（包括Signal和电子邮件）的操作，强制执行“人类+大语言模型（LLM）”的双重确认规则。

维塔利克·布特林如何在无云端访问的情况下运行自主AI系统

布特林将该系统描述为“自主/本地/私有/安全”，并表示其开发正是针对他所观察到的、在AI代理领域蔓延的严重安全与隐私缺陷。他援引研究指出，约15%的代理技能（即插件工具）包含恶意指令。 安全公司Hiddenlayer演示了仅解析一个恶意网页就足以完全攻破Openclaw实例，使其在用户毫不知情的情况下下载并执行shell脚本。 “我内心深感恐惧：正当我们随着端到端加密的普及以及越来越多‘本地优先’软件的出现，终于在隐私保护方面迈出了一步时，我们却正面临倒退十步的危机，”布特林写道。

他选择的硬件是一台搭载Nvidia 5090 GPU（配备24 GB显存）的笔记本电脑。通过llama-server运行阿里巴巴的开源Qwen3.5:35B模型时，该配置的处理速度达到每秒90个令牌，布特林称这是日常舒适使用的目标。 他测试了配备128GB统一内存的AMD Ryzen AI Max Pro，其吞吐量为每秒51个令牌；还测试了DGX Spark，其吞吐量达到每秒60个令牌。 他表示，作为桌面AI超级计算机推出的DGX Spark，考虑到其成本以及相较于优质笔记本GPU更低的吞吐量，表现并不令人印象深刻。 在操作系统方面，Buterin 从 Arch Linux 切换到了 NixOS，该系统允许用户通过单个声明式文件定义整个系统配置。他使用 llama-server 作为后台守护进程，该进程会开放一个本地端口供任何应用程序连接。 他指出，Claude Code 可以指向本地 llama-server 实例，而非 Anthropic 的服务器。沙箱机制是其安全模型的核心。 他使用 bubblewrap 通过单条命令即可从任意目录创建隔离环境。运行在这些沙箱内的进程只能访问明确允许的文件及受控的网络端口。Buterin 在 github.com/vbuterin/messaging-daemon 上开源了一个消息守护进程，该进程封装了 signal-cli 和电子邮件功能。 他指出，该守护进程可以自由读取消息，并无需确认即可向自己发送消息。 任何发往第三方的出站消息均需人工明确批准。他将此称为“人类 + 大型语言模型（LLM）2-of-2”模型，并表示相同的逻辑也适用于以太坊钱包。他建议开发与 AI 连接的钱包工具的团队，将自主交易限额设定为每日 100 美元，并要求对超过该限额的交易，或任何可能导致数据外泄的包含 calldata 的交易进行人工确认。

基于布特林设想的远程推理

在研究任务方面，Buterin将本地工具Local Deep Research与他自己的配置进行了对比，后者采用pi代理框架搭配SearXNG（一款自托管的、注重隐私的元搜索引擎）。他表示，pi与SearXNG的组合能产生更高质量的答案。他存储了约1 TB的本地维基百科数据集以及技术文档，以减少对外部搜索查询的依赖——他将后者视为隐私泄露。

他还发布了一个本地音频转录守护进程，地址为 github.com/vbuterin/stt-daemon。该工具在基本使用场景下无需GPU即可运行，并将输出结果输入到大语言模型（LLM）中进行校正和摘要生成。关于以太坊集成，布特林表示AI代理绝不应拥有不受限制的钱包访问权限。他建议将人类和LLM视为两个独立的确认因素，各自负责检测不同的故障模式。

针对本地模型能力不足的情况，布特林概述了一种保护隐私的远程推理方案。他提到了自己与研究员Davide共同提出的ZK-API提案、Openanonymity项目，以及利用混淆网络（mixnets）防止服务器通过IP地址关联连续请求的方法。 他还提到可信执行环境（TEE）是短期内减少远程推理数据泄露的一种方法，同时指出，目前用于私有云推理的全同态加密速度仍太慢，难以实际应用。 布特林最后强调，这篇帖子描述的只是一个起点，而非最终成果，并警告读者不要照搬他的具体工具并误以为它们是安全的。