V神 делится: как я создаю полностью локальную, приватную и самостоятельно контролируемую рабочую среду для ИИ, полностью находящуюся под моим контролем

Виталик Бутерин предложил архитектуру ИИ для локального запуска, подчеркнув конфиденциальность, безопасность и самообладание, и предупредил о потенциальных рисках ИИ-агентов.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своём личном сайте длинную статью, в которой поделился настройками своей рабочей среды для ИИ, построенной с упором на конфиденциальность, безопасность и самообладание — все выводы LLM выполняются локально, все файлы хранятся локально, среда полностью изолирована песочницей; он намеренно избегает облачных моделей и внешних API.

В самом начале статьи он предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это лишь точка старта, а не описание готового продукта».

Почему сейчас написана эта статья? Проблемы безопасности AI-агентов серьёзно недооценены

Виталик отмечает, что в начале этого года ИИ совершил важный переход от «чат-ботов» к «агентам» — теперь вы не просто задаёте вопросы, вы поручаете задачи: ИИ может долго думать, вызывать сотни инструментов для выполнения работы. Он приводит в пример OpenClaw (на данный момент самый быстрорастущий репозиторий в истории GitHub) и одновременно называет несколько проблем безопасности, зафиксированных исследователями:

• AI-agent может изменять критические настройки без подтверждения человеком, включая добавление новых каналов связи и изменение системных подсказок
• Разбор любого вредоносного внешнего ввода (например, вредоносной веб-страницы) может привести к тому, что агент будет полностью захвачен; в одной из демонстраций HiddenLayer исследователи заставили ИИ сделать сводку по набору веб-страниц, среди которых была вредоносная страница, которая командовала агенту скачать и выполнить shell-скрипт
• Некоторые сторонние пакеты навыков (skills) выполняют тихую утечку данных, отправляя их через команду curl на внешние серверы, контролируемые авторами навыков
• В навыках, которые они анализировали, около 15% содержат вредоносные команды

Виталик подчёркивает, что его отправная точка по конфиденциальности отличается от традиционной позиции исследователей по кибербезопасности: «Я пришёл из позиции, глубоко напуганной тем, что личная жизнь целиком попадает в облачный ИИ. Прямо в тот момент, когда end-to-end шифрование и локально-ориентированное ПО наконец стало мейнстримом, мы, возможно, делаем шаг назад на десять шагов».

Пять целей безопасности

Он задал ясный каркас целей безопасности:

• Конфиденциальность LLM: в сценариях, связанных с персональными данными, по возможности минимизировать использование удалённых моделей
• Другая конфиденциальность: минимизировать утечки данных, не относящихся к LLM (например, поисковые запросы, другие онлайн API)
• Побег LLM: предотвратить «проникновение» внешнего контента в мой LLM, чтобы заставить его действовать против моих интересов (например, отправлять мои токены или частные данные)
• Непредвиденность LLM: предотвратить ошибочную отправку LLM персональных данных в неверные каналы или их публикацию в сети
• Backdoor LLM: предотвратить скрытые механизмы, намеренно обученные быть встроенными в модель. Он особо напоминает: открытые модели — это открытые веса (open-weights), и почти ни одна из них не является действительно открытым исходным кодом (open-source)

Выбор оборудования: 5090 ноутбук победил, DGX Spark разочаровал

Виталик протестировал три варианта локальной инференс-настройки оборудования, основной упор — на модель Qwen3.5:35B, в связке с llama-server и llama-swap:

Его вывод таков: ниже 50 tok/sec слишком медленно, 90 tok/sec — идеально. Опыт с NVIDIA 5090 ноутбуком самый плавный; у AMD сейчас ещё больше пограничных проблем, но в будущем есть надежда на улучшения. Дорогой MacBook тоже является рабочим вариантом, но лично он не пробовал.

Про DGX Spark он отозвался без обиняков: «Его описывают как “настольный AI-суперкомпьютер”, но на деле tokens/sec ниже, чем у более хороших ноутбучных GPU, плюс нужно ещё отдельно разобраться с подключением к сети и прочими деталями — это очень слабый результат». Его рекомендация: если вы не можете позволить себе дорогой ноутбук, купите вместе с друзьями достаточно мощную машину, поставьте её в месте с фиксированным IP, а все будут использовать удалённое подключение.

Почему проблема конфиденциальности локального ИИ более насущна, чем вы думаете

Эта статья Виталика перекликается с обсуждением безопасностных проблем Claude Code, вышедшего в тот же день: когда AI-агенты входят в повседневный рабочий процесс разработки, проблемы безопасности тоже переходят из области теоретических рисков в реальные угрозы.

Его ключевое послание очень ясное: в момент, когда AI-инструменты становятся всё мощнее и всё лучше способны получать доступ к вашим персональным данным и правам на управление системой, «локально с приоритетом, в песочнице, минимальное доверие» — это не паранойя, а рациональная точка старта.

• Эта статья воспроизведена с разрешения из：《Lian News》
• Оригинальное название：《Vitalik：Как я создал полностью локальную, приватную и самоуправляемую рабочую среду для ИИ》
• Автор оригинала：Elponcrab