Виталик Бутерин из Ethereum предостерегает от рисков безопасности AI-агентов и делится своим частным стеком LLM

Основатель Ethereum Виталик Бутерин полностью отказался от облачных сервисов ИИ и подробно рассказал в блоге, опубликованном на этой неделе, о своей полностью локальной, изолированной (sandboxed) настройке искусственного интеллекта (ИИ).

Основные выводы:

• Виталик Бутерин отказался от облачного ИИ в апреле 2026 года, запуская Qwen3.5:35B локально на ноутбуке Nvidia 5090 при скорости 90 токенов в секунду.
• Бутерин обнаружил, что примерно 15% навыков ИИ-агентов содержат вредоносные инструкции, сославшись на данные компании по безопасности Hiddenlayer.
• Его выпущенный в открытый доступ демультиплексор сообщений (messaging daemon) реализует правило подтверждения 2 из 2 (человек плюс LLM) для всех исходящих действий Signal и email для третьих сторон.

Как Виталик Бутерин запускает само-суверенную систему ИИ без доступа к облаку

Бутерин описал систему как «само-суверенную / локальную / частную / безопасную» и сказал, что она была создана напрямую в ответ на то, что он воспринимает как серьезные сбои безопасности и приватности, которые распространяются по пространству ИИ-агентов. Он указал на исследования, показывающие, что примерно 15% навыков агентов, или подключаемых (plug-in) инструментов, содержат вредоносные инструкции. Security-компания Hiddenlayer показала, что разбор одной-единственной вредоносной веб-страницы может полностью скомпрометировать экземпляр Openclaw, позволяя ему загружать и выполнять shell-скрипты без осведомленности пользователя.

«Я исхожу из менталитета, глубоко напуганного тем, что точно так же, как мы наконец сделали шаг вперед в приватности за счет массового внедрения сквозного шифрования и всё большего количества программ с подходом “сначала локально”, мы на пороге того, чтобы сделать десять шагов назад», — написал Бутерин.

Его техника по выбору — ноутбук с видеокартой Nvidia 5090 и 24 ГБ видеопамяти. Запуская модель с открытыми весами Qwen3.5:35B от Alibaba через llama-server, настройка достигает 90 токенов в секунду — это Бутерин называет целевым показателем для комфортного ежедневного использования. Он протестировал AMD Ryzen AI Max Pro с 128 ГБ объединенной памяти: тот показал 51 токен в секунду, а DGX Spark — 60 токенов в секунду.

Он сказал, что DGX Spark, продаваемый как настольный ИИ-суперкомпьютер, оказался не впечатляющим с учетом своей стоимости и меньшей пропускной способности по сравнению с хорошей GPU от ноутбука. Для своей операционной системы Бутерин перешел с Arch Linux на NixOS — она позволяет пользователям описывать полностью всю конфигурацию системы в одном декларативном файле. Он использует llama-server как фоновый демон, который открывает локальный порт, к которому может подключиться любое приложение.

Claude Code, как он отметил, можно направлять на локальный экземпляр llama-server вместо серверов Anthropic. Изоляция (sandboxing) — ключевой элемент его модели безопасности. Он использует bubblewrap, чтобы создавать изолированные окружения из любой директории одной командой. Процессы, запущенные внутри этих песочниц, могут обращаться только к файлам, явно разрешенным и контролируемым портам сети. Бутерин выпустил в открытый доступ демультиплексор сообщений по адресу github.com/vbuterin/messaging-daemon, который оборачивает signal-cli и email.

Он отметил, что демон может свободно читать сообщения и отправлять сообщения себе без подтверждения. Любое исходящее сообщение третьей стороне требует явного одобрения со стороны человека. Он назвал это моделью «human + LLM 2-of-2» и сказал, что та же логика применяется к Ethereum-кошелькам. Он посоветовал командам, которые создают инструменты для кошельков, связанные с ИИ, ограничивать автономные транзакции суммой $100 в день и требовать подтверждения человека для всего, что выше этого, или для любой транзакции, несущей calldata, которое может привести к утечке данных.

Удаленный вывод (inference) — на условиях Бутерина

Для задач исследования Бутерин сравнил локальный инструмент Local Deep Research со своей собственной настройкой, используя фреймворк pi agent в паре с SearXNG — самохостируемым мета-поисковиком, ориентированным на приватность. Он сказал, что связка pi плюс SearXNG дает ответы лучшего качества. Он хранит локальную выгрузку Wikipedia примерно на 1 терабайт вместе с технической документацией, чтобы снизить свою зависимость от запросов на внешний поиск — он рассматривает это как утечку приватности.

Он также опубликовал локальный демон транскрипции аудио по адресу github.com/vbuterin/stt-daemon. Инструмент работает без GPU для базового использования и подает вывод в LLM для исправления и суммирования. При интеграции с Ethereum Бутерин заявил, что ИИ-агенты никогда не должны иметь неограниченный доступ к кошельку. Он рекомендовал рассматривать человека и LLM как два отдельных фактора подтверждения, каждый из которых перехватывает разные режимы отказа.

В тех случаях, когда локальные модели не дотягивают, Бутерин описал подход к удаленному выводу, сохраняющий приватность. Он указал на свое собственное предложение ZK-API вместе с исследователем Davide, на проект Openanonymity и использование mixnets, чтобы помешать серверам связывать последовательные запросы по IP-адресу. Он также упомянул доверенные среды выполнения (trusted execution environments) как способ уменьшить утечки данных при удаленном выводе в ближайшей перспективе, при этом отметив, что полностью гомоморфное шифрование для вывода в частном облаке сегодня по-прежнему слишком медленно, чтобы быть практичным.

Бутерин завершил заметкой о том, что пост описывает отправную точку, а не готовый продукт, и предупредил читателей не копировать его точные инструменты и не предполагать, что они безопасны.