V thần chia sẻ: Tôi đã xây dựng môi trường làm việc AI hoàn toàn cục bộ, riêng tư, tự chủ và có thể kiểm soát như thế nào

Vitalik Buterin đề xuất một kiến trúc AI để vận hành tại địa phương, nhấn mạnh quyền riêng tư, an toàn và quyền tự chủ của cá nhân, đồng thời cảnh báo về những rủi ro tiềm ẩn của AI Agent.

Người sáng lập Ethereum Vitalik Buterin vào ngày 2 tháng 4 đã đăng một bài viết dài trên trang web cá nhân, chia sẻ thiết lập môi trường làm việc AI mà ông xây dựng dựa trên quyền riêng tư, an toàn và quyền tự chủ—tất cả suy luận LLM được thực thi cục bộ, tất cả tệp được lưu trữ cục bộ, được sandbox hóa toàn diện, cố tình tránh các mô hình đám mây và các API bên ngoài.

Ngay từ đầu bài viết, ông cảnh báo: “Vui lòng đừng sao chép trực tiếp các công cụ và công nghệ được mô tả trong bài viết này, và giả định rằng chúng an toàn. Đây chỉ là một điểm khởi đầu, chứ không phải mô tả về một sản phẩm hoàn chỉnh.”

Vì sao giờ lại viết bài này? Vấn đề an toàn của AI agent đang bị đánh giá thấp nghiêm trọng

Vitalik chỉ ra rằng, đầu năm nay AI đã có bước chuyển quan trọng từ “chatbot” sang “agent”—bạn không còn chỉ hỏi câu hỏi, mà là giao nhiệm vụ, khiến AI suy nghĩ trong thời gian dài và gọi hàng trăm công cụ để thực thi. Ông lấy OpenClaw (hiện là repo có tốc độ tăng trưởng nhanh nhất trong lịch sử GitHub) làm ví dụ, đồng thời nêu tên nhiều vấn đề an toàn mà các nhà nghiên cứu đã ghi nhận:

• AI agent có thể thay đổi các cấu hình then chốt mà không cần xác nhận của con người, bao gồm thêm các kênh liên lạc mới và sửa đổi các system prompt
• Việc phân tích bất kỳ đầu vào bên ngoài độc hại nào (như trang web độc hại) đều có thể khiến agent bị chiếm quyền hoàn toàn; trong một lần demo của HiddenLayer, các nhà nghiên cứu đã để AI tóm tắt một loạt trang web, trong đó có một trang độc hại khiến agent tải xuống và thực thi một tập lệnh shell
• Một số bộ kỹ năng của bên thứ ba (skills) có thể thực hiện rò rỉ dữ liệu một cách âm thầm, bằng cách dùng lệnh curl để gửi dữ liệu tới máy chủ bên ngoài do tác giả của kỹ năng kiểm soát
• Trong các bộ kỹ năng mà họ phân tích, khoảng 15% chứa các lệnh độc hại

Vitalik nhấn mạnh rằng quan điểm của ông về quyền riêng tư khác với các nhà nghiên cứu an ninh mạng truyền thống: “Tôi đến từ một lập trường rất sợ hãi việc đưa toàn bộ đời sống cá nhân của một người cho AI trên đám mây—ngay vào thời điểm mã hóa đầu-cuối và phần mềm ưu tiên nội bộ cuối cùng đã trở thành xu hướng chủ đạo, khi chúng ta cuối cùng lại bước lên một bước, thì có thể chúng ta lại thụt lùi mười bước.”

Năm mục tiêu an toàn

Ông thiết lập một khung mục tiêu an toàn rõ ràng:

• Quyền riêng tư của LLM: trong các tình huống liên quan đến dữ liệu quyền riêng tư cá nhân, giảm thiểu việc sử dụng mô hình từ xa
• Quyền riêng tư khác: tối thiểu hóa rò rỉ dữ liệu ngoài LLM (như các truy vấn tìm kiếm, các API trực tuyến khác)
• LLM vượt ngục: ngăn nội dung bên ngoài “xâm nhập” vào LLM của tôi, khiến nó đi ngược lại lợi ích của tôi (ví dụ gửi token của tôi hoặc dữ liệu cá nhân của tôi)
• LLM ngoài ý muốn: ngăn LLM vô tình gửi dữ liệu cá nhân đến kênh sai hoặc công khai lên mạng
• LLM cài cửa sau: ngăn các cơ chế ẩn được cố tình huấn luyện vào mô hình. Ông đặc biệt nhắc: mô hình mở là trọng số mở (open-weights), hầu như không có cái nào thực sự là mã nguồn mở (open-source)

Lựa chọn phần cứng: 5090 laptop thắng, DGX Spark gây thất vọng

Vitalik đã thử nghiệm ba cấu hình phần cứng suy luận tại địa phương, chủ lực dùng mô hình Qwen3.5:35B, kết hợp với llama-server và llama-swap:

Kết luận của ông là: dưới 50 tok/sec quá chậm, còn 90 tok/sec là lý tưởng. Trải nghiệm với NVIDIA 5090 laptop là mượt nhất; AMD hiện vẫn còn nhiều vấn đề biên, nhưng hy vọng sẽ cải thiện trong tương lai. MacBook cao cấp cũng là một lựa chọn hiệu quả, chỉ là ông cá nhân chưa tự mình thử.

Với DGX Spark, ông nói thẳng không nể nang: “Bị mô tả là ‘siêu máy tính AI để bàn’, nhưng thực tế tokens/sec lại thấp hơn cả GPU của laptop tốt hơn, và còn phải xử lý thêm các chi tiết như kết nối mạng—thật là kém.” Lời khuyên của ông là: nếu không đủ khả năng chi trả cho một laptop cao cấp, bạn có thể cùng bạn bè mua chung một máy đủ mạnh, đặt ở một địa điểm có IP cố định, rồi mọi người kết nối từ xa để sử dụng.

Vì sao vấn đề quyền riêng tư của AI cục bộ cấp bách hơn bạn tưởng

Bài viết của Vitalik, khi ghép với phần thảo luận về vấn đề an toàn của Claude Code được công bố cùng ngày, tạo ra một sự tương hợp thú vị—trong lúc AI agent bước vào luồng công việc phát triển hằng ngày, các vấn đề an toàn cũng đang dần chuyển từ rủi ro lý thuyết thành mối đe dọa hiện thực.

Thông điệp cốt lõi của ông rất rõ ràng: khi các công cụ AI ngày càng mạnh hơn và càng có khả năng truy cập dữ liệu cá nhân lẫn quyền truy cập hệ thống của bạn, thì “ưu tiên cục bộ, sandbox hóa, tin cậy tối thiểu” không phải là cố chấp, mà là một điểm khởi đầu hợp lý.

• Bài viết này được cho phép sao chép lại từ: 《鏈新聞》
• Tiêu đề gốc: 《Vitalik：我如何打造完全本地、私密、自主可控的 AI 工作環境》
• Tác giả bài gốc: Elponcrab