Віталік Бутерін з Ethereum попереджає про ризики безпеки AI-агентів і ділиться своїм приватним LLM-стеком

Засновник Ethereum Віталік Бутерін повністю відмовився від хмарних сервісів ШІ та детально описав у блозі свою повністю локальну, ізольовану (sandboxed) систему штучного інтелекту (ШІ), опубліковану цього тижня.

Ключові висновки:

• Засновник Ethereum Віталік Бутерін відмовився від хмарного ШІ у квітні 2026 року, запускаючи Qwen3.5:35B локально на ноутбуці Nvidia 5090 зі швидкістю 90 токенів за секунду.
• Бутерін з’ясував, що приблизно 15% навичок AI-агентів містять зловмисні інструкції, посилаючись на дані від компанії з кібербезпеки Hiddenlayer.
• Його open-sourced месенджинговий демон застосовує правило підтвердження 2-з-2 (людина + LLM) для всіх вихідних дій Signal і email із залученням третіх сторін.

Як Віталік Бутерін запускає самодостатню (self-sovereign) AI-систему без доступу до хмари

Бутерін описав систему як “self-sovereign / local / private / secure” і сказав, що вона була створена безпосередньо як відповідь на те, що він вважає серйозними збоями в безпеці та конфіденційності, які поширюються в просторі AI-агентів. Він послався на дослідження, що показує: приблизно 15% навичок агентів, або плагінів, містять зловмисні інструкції. Компанія Hiddenlayer продемонструвала, що аналіз лише однієї зловмисної веб-сторінки може повністю скомпрометувати екземпляр Openclaw, дозволяючи йому завантажити та виконати shell-скрипти без відома користувача.

“Я походжу з ментальності глибокого страху за те, що, щойно ми нарешті зробили крок уперед у приватності завдяки поширенню наскрізного шифрування та дедалі більшій кількості софту в стилі local-first, ми стоїмо на межі зробити десять кроків назад,” — написав Бутерін.

Його апаратна платформа — ноутбук із GPU Nvidia 5090 і 24 GB відеопам’яті. Запускаючи модель Qwen3.5:35B open-weights від Alibaba через llama-server, налаштування досягає 90 токенів за секунду, що Бутерін називає ціллю для комфортного щоденного використання. Він тестував AMD Ryzen AI Max Pro з 128 GB уніфікованої пам’яті — це дало 51 токен за секунду, а також DGX Spark, який досяг 60 токенів за секунду.

Він сказав, що DGX Spark, який продають як настільний AI-суперкомп’ютер, був невражаючим з огляду на його вартість і нижчу пропускну здатність порівняно з хорошим GPU для ноутбука. Для своєї операційної системи Бутерін перейшов з Arch Linux на NixOS, що дозволяє користувачам визначати всю конфігурацію системи в одному декларативному файлі. Він використовує llama-server як фоновий демон, який відкриває локальний порт, до якого може підключатися будь-яка програма.

Claude Code, зазначив він, можна спрямувати на локальний інстанс llama-server замість серверів Anthropic. Сек’юризація через пісочниці (sandboxing) є ключовою для його моделі безпеки. Він використовує bubblewrap, щоб створювати ізольовані середовища з будь-якого каталогу однією командою. Процеси, що працюють усередині цих sandbox-ів, можуть отримувати доступ лише до файлів, які явно дозволені та контрольовані, а також до мережевих портів, які дозволено. Бутерін open-sourced месенджинговий демон за адресою github.com/vbuterin/messaging-daemon, який обгортає signal-cli та email.

Він зазначив, що демон може вільно читати повідомлення й надсилати повідомлення собі без підтвердження. Будь-яке вихідне повідомлення третій стороні потребує явного схвалення людиною. Він назвав це моделлю “human + LLM 2-of-2” і сказав, що та сама логіка застосовується до гаманців Ethereum. Він порадив командам, які створюють інструменти для гаманців, під’єднані до AI, обмежувати автономні транзакції $100 на день і вимагати підтвердження людиною для будь-чого понад це або для будь-якої транзакції, що містить calldata, який може ексфільтрувати дані.

Дистанційний інференс — на умовах Бутерін

Для дослідницьких задач Бутерін порівняв локальний інструмент Local Deep Research із власним налаштуванням, використовуючи фреймворк агентів pi в парі з SearXNG — self-hosted мета-пошуковою системою з фокусом на приватність. Він сказав, що pi разом із SearXNG дає відповіді кращої якості. Він зберігає локальний дамп Wikipedia приблизно на 1 terabyte поруч із технічною документацією, щоб зменшити залежність від зовнішніх запитів на пошук, які він вважає витоком приватності.

Він також опублікував локальний демон транскрипції аудіо за адресою github.com/vbuterin/stt-daemon. Інструмент працює без GPU для базового використання і передає результат у LLM для корекції та підсумовування. Щодо інтеграції з Ethereum Бутерін сказав, що AI-агенти ніколи не повинні мати необмежений доступ до гаманців. Він рекомендував розглядати людину та LLM як два окремі фактори підтвердження, які кожен ловить різні режими збоїв.

У випадках, коли локальні моделі не справляються, Бутерін описав підхід до дистанційного інференсу з урахуванням приватності. Він послався на власну пропозицію ZK-API разом із дослідником Davide, проєктом Openanonymity, а також використання mixnets, щоб запобігти серверам пов’язувати послідовні запити за IP-адресою. Він також згадав trusted execution environments як спосіб зменшити витік даних під час дистанційного інференсу в найближчій перспективі, водночас зазначивши, що fully homomorphic encryption для приватного хмарного інференсу й досі надто повільне, щоб бути практичним сьогодні.

Бутерін завершив допис нотаткою, що в статті описано відправну точку, а не готовий продукт, і застеріг читачів не копіювати його точні інструменти та не припускати, що вони безпечні.