V Deus partilha: Como construir um ambiente de trabalho de IA totalmente local, discreto e sob controlo próprio e independente

Vitalik Buterin apresenta uma arquitectura de IA a ser executada localmente, destacando a privacidade, a segurança e a auto-soberania, e alerta para os riscos potenciais dos agentes de IA.

O fundador da Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu website pessoal, partilhando a configuração do seu ambiente de trabalho em IA — construído com a privacidade, a segurança e a auto-soberania como prioridades — no qual a inferência de todos os LLM é executada localmente, todos os ficheiros são guardados localmente, e tudo está totalmente isolado em sandbox, evitando deliberadamente modelos em nuvem e APIs externas.

Logo no início do artigo, faz um aviso: «Por favor, não copie directamente as ferramentas e as tecnologias descritas neste artigo e assuma que são seguras. Isto é apenas um ponto de partida, e não uma descrição de um produto final.»

Porque é que escreve agora? Os problemas de segurança de agentes de IA são subestimados

Vitalik aponta que, no início deste ano, a IA fez uma transformação importante de «chatbots» para «agentes» — já não se trata apenas de fazer perguntas, mas de entregar tarefas, fazendo com que a IA pense durante longos períodos e invoque centenas de ferramentas para as executar. Ele dá como exemplo o OpenClaw (atualmente o repositório que mais cresce na história do GitHub) e cita também vários problemas de segurança registados por investigadores:

• Os agentes de IA podem alterar definições críticas sem confirmação humana, incluindo adicionar novos canais de comunicação e modificar prompts do sistema
• Analisar qualquer entrada externa maliciosa (por exemplo, uma página web maliciosa) pode fazer com que o agente seja totalmente controlado; numa demonstração da HiddenLayer, os investigadores fizeram com que a IA resumisse um conjunto de páginas, escondendo uma página maliciosa que ordenava ao agente para descarregar e executar um script de shell
• Alguns pacotes de competências de terceiros (skills) executam fugas silenciosas de dados, enviando os dados para servidores externos controlados pelos autores das skills através de instruções curl
• Nas skills que analisaram, cerca de 15% contêm instruções maliciosas

Vitalik enfatiza que o seu ponto de partida em privacidade é diferente do dos investigadores tradicionais de cibersegurança: «Venho de uma perspectiva profundamente receosa em relação à ideia de entregar toda a vida pessoal a uma IA na nuvem — e quando, finalmente, a criptografia fim-a-fim e software com prioridade local se tornam mainstream, nós podemos, afinal, estar a recuar dez passos».

Cinco objectivos de segurança

Definiu um enquadramento claro para objectivos de segurança:

• Privacidade de LLM: em cenários que envolvam dados pessoais sensíveis, reduzir ao máximo o uso de modelos remotos
• Outra privacidade: minimizar fugas de dados que não sejam de LLM (por exemplo, pesquisas e outras APIs online)
• Escape de LLM: impedir que conteúdo externo «invada» o meu LLM, fazendo-o contrariar os meus interesses (por exemplo, enviar os meus tokens ou dados privados)
• LLM acidental: impedir que o LLM envie dados privados para o canal errado ou os publique na rede por engano
• Backdoor de LLM: impedir mecanismos ocultos intencionalmente treinados dentro do modelo. Ele lembra especialmente: modelos abertos são pesos abertos (open-weights); quase nenhum é realmente de código aberto (open-source)

Escolhas de hardware: 5090 ultrapassa os portáteis; DGX Spark desilude

Vitalik testou três configurações de hardware para inferência local, usando principalmente o modelo Qwen3.5:35B, em conjunto com llama-server e llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento; 90 tok/sec é o ideal. O NVIDIA 5090 portátil proporciona a experiência mais fluida; a AMD ainda tem mais problemas nos limites, mas espera-se que melhore no futuro. Um MacBook Pro topo de gama também é uma opção válida, embora ele pessoalmente não o tenha testado.

Sobre o DGX Spark, foi directo e pouco diplomático: «É descrito como um “supercomputador de IA para secretária”, mas na prática os tokens/sec são mais baixos do que os de uma boa GPU de portátil — e ainda por cima há que tratar de detalhes adicionais como a ligação à rede. Isto é fraquíssimo.» A sua recomendação é: «Se não conseguir comprar um portátil topo de gama, partilhe a compra de uma máquina suficientemente potente com amigos, coloque-a num local com IP fixo e use-a com ligações remotas em conjunto.»

Porque os problemas de privacidade da IA local são mais urgentes do que imaginas

O artigo de Vitalik, em paralelo com a discussão dos problemas de segurança do Claude Code lançado no mesmo dia, cria uma correspondência interessante — à medida que os agentes de IA entram nos fluxos de trabalho quotidianos de desenvolvimento, as questões de segurança também estão a passar de riscos teóricos a ameaças reais.

A mensagem central é muito clara: no momento em que as ferramentas de IA ficam cada vez mais poderosas e cada vez mais capazes de aceder aos teus dados pessoais e permissões do sistema, «privacidade local, isolamento em sandbox e confiança mínima» não é paranoia — é um ponto de partida racional.

• Este artigo foi republicado mediante autorização de: «LianNews»
• Título original: «Vitalik: Como é que construí um ambiente de trabalho de IA totalmente local, privado e sob controlo próprio»
• Autor do original: Elponcrab