Виталик Бутерин предложил архитектуру для запуска ИИ локально, подчеркнув приватность, безопасность и самосуверенитет, а также предупредил о потенциальных рисках AI-агентов.
Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на личном сайте развернутую статью, где рассказал о созданной им рабочей среде для ИИ с приватностью, безопасностью и самосуверенитетом в качестве основы: все выводы LLM выполняются локально, все файлы хранятся локально, процесс полностью изолирован в песочнице — и он намеренно избегает облачных моделей и внешних API.
В начале статьи он сперва предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не исходите из того, что они безопасны. Это лишь точка старта, а не описание готового продукта».
Почему сейчас стоит писать об этом? Проблемы безопасности AI-агентов серьезно недооценены
Виталик отмечает, что в начале этого года ИИ совершил важный переход от «чат-ботов» к «агентам»: теперь вы не просто задаёте вопросы, а поручаете задачи — ИИ долго обдумывает и вызывает сотни инструментов для выполнения. Он приводит в пример OpenClaw (сейчас самый быстрорастущий repo в истории GitHub) и одновременно называет несколько вопросов по безопасности, зафиксированных исследователями:
- AI-агент может изменять ключевые настройки без подтверждения человеком, включая добавление новых каналов связи и изменение системных подсказок
- Разбор любого вредоносного внешнего ввода (например, злонамеренной веб-страницы) может привести к полному захвату agent; в демонстрации HiddenLayer исследователь заставил ИИ сделать краткое резюме набора страниц, среди которых оказалась вредоносная страница, которая командовала agent скачать и выполнить shell-скрипт
- Некоторые сторонние наборы навыков (skills) выполняют скрытую утечку данных, отправляя их через curl на внешние серверы, контролируемые авторами skills
- В проанализированных им skills около 15% содержали вредоносные инструкции
Виталик подчеркивает, что его исходная позиция по приватности отличается от подхода традиционных исследователей кибербезопасности: «Я исхожу из точки зрения, глубоко боящейся того, что личная жизнь полностью скармливается облачному ИИ. — Прямо в момент, когда end-to-end шифрование и локально-приоритетное ПО наконец стали массовыми, мы, возможно, делаем шаг назад на десять шагов».
Пять целей безопасности
Он задал четкую рамку целей безопасности:
- Приватность LLM: в сценариях, связанных с персональными данными, по возможности сокращать использование удаленных моделей
- Другая приватность: минимизировать утечки данных, не относящихся к LLM (например, поисковые запросы, другие онлайн API)
- Прорыв LLM-режима (jailbreak): не допустить «взлома» моего LLM внешним контентом, чтобы он действовал вопреки моим интересам (например, отправлял мои токены или личные данные)
- Непредвиденные действия LLM: не допустить, чтобы LLM ошибочно отправлял персональные данные по неправильным каналам или раскрывал их в интернете
- Backdoor LLM: не допустить скрытых механизмов, специально обученных «вшиться» в модель. Он особенно напоминает: открытые модели — это открытые веса (open-weights), и почти ни одна из них не является по-настоящему open-source (открытым исходным кодом)
Выбор оборудования: победили ноутбуки 5090; DGX Spark разочаровал
Виталик протестировал три варианта локальных конфигураций для вывода, в основном используя модель Qwen3.5:35B вместе с llama-server и llama-swap:
| Аппаратное обеспечение |
Qwen3.5 35B (tokens/sec) |
Qwen3.5 122B (tokens/sec) |
| NVIDIA 5090 ноутбук (24GB VRAM) |
90 |
Невозможно выполнить |
| AMD Ryzen AI Max Pro (128GB unified memory, Vulkan) |
51 |
18 |
| DGX Spark (128GB) |
60 |
22 |
Его вывод: ниже 50 tok/sec слишком медленно, 90 tok/sec — идеально. Ощущения от NVIDIA 5090 ноутбука самые плавные; у AMD сейчас еще больше пограничных проблем, но в будущем есть надежда на улучшения. Высокопроизводительный MacBook тоже является рабочим вариантом, но лично он его не тестировал «вживую».
Про DGX Spark он отозвался без обиняков: «Его описывают как “настольный AI-суперкомпьютер”, но на самом деле tokens/sec оказывается ниже, чем у хорошей GPU в ноутбуке, и к тому же нужно дополнительно разбираться с подключением к сети и другими деталями — это довольно убого». Его рекомендация такая: если вы не можете позволить себе топовый ноутбук, можно купить достаточно мощную машину вместе с друзьями, поставить её в месте с фиксированным IP и всем подключаться удаленно.
Почему проблемы приватности локального ИИ более срочные, чем вы думаете
Эта статья Виталика перекликается с дискуссией о безопасности Claude Code, выпущенной в тот же день: когда AI-агенты входят в повседневные рабочие процессы разработки, проблемы безопасности тоже превращаются из теоретических рисков в реальные угрозы.
Его ключевое сообщение очень ясное: в момент, когда ИИ-инструменты становятся все мощнее и все лучше получают доступ к вашим персональным данным и системным правам, «локально-приоритетный подход, изоляция в песочнице, минимальное доверие» — это не паранойя, а рациональная отправная точка.
- Статья опубликована с разрешением из: «ЦепьНовости»
- Заголовок оригинала: «Vitalik: как я создал полностью локальную, приватную и управляемую по собственному усмотрению рабочую среду для ИИ»
- Автор оригинала: Elponcrab
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
