以太坊聯合創始人維塔利克·布特林已完全停止使用雲端AI服務,並於本週發表的一篇部落格文章中詳細介紹了他完全本地化且隔離的AI設定。
重點摘要:
- 以太坊共同創辦人維塔利克·布特林於2026年4月放棄了雲端AI,並在一台Nvidia 5090筆記型電腦上本地運行Qwen3.5:35B,速度達每秒90個token。
- Buterin 發現,約 15% 的 AI 代理技能包含惡意指令,並引用了安全公司 Hiddenlayer 的數據。
- 他的開源訊息守護程序對所有發送給第三方的 Signal 和電子郵件操作,強制執行「人類+LLM」的 2-of-2 確認規則。
維塔利克·布特林如何在無雲端存取的情況下運行一個自主型 AI 系統
Buterin 描述該系統為「自我主權/本地/私密/安全」,並表示這是直接回應他所認為在 AI agent 領域中蔓延的嚴重安全與隱私缺陷。他引用研究指出,約有 15% 的 agent 技能或外掛工具包含惡意指令。安全公司 Hiddenlayer 示範,僅需解析一個惡意網頁,即可完全入侵 Openclaw 實例,使其在用戶不知情的情況下下載並執行 shell 腳本。
「我來自一種深層的恐懼:就在我們終於在主流化端到端加密和越來越多本地優先軟體方面取得隱私進展之際,我們卻即將倒退十步,」布特林寫道。
他選擇的硬體是一台搭載 Nvidia 5090 GPU 且具有 24 GB 視訊記憶體的筆記型電腦。透過 llama-server 運行阿里巴巴的開源權重 Qwen3.5:35B 模型,該設置可達每秒 90 個 token,Buterin 將此視為舒適日常使用的目標。他測試了搭載 128 GB 統一記憶體的 AMD Ryzen AI Max Pro,達到每秒 51 個 token,以及 DGX Spark,達到每秒 60 個 token。
他表示,作為桌上型 AI 超級電腦推廣的 DGX Spark,因其成本高昂且吞吐量低於一塊優質筆電 GPU,而顯得不令人印象深刻。對於他的作業系統,Buterin 從 Arch Linux 改用 NixOS,這讓使用者能將整個系統設定定義在單一宣告式檔案中。他使用 llama-server 作為背景守護進程,公開一個本地端埠,讓任何應用程式都可以連接。
Claude Code,他指出,可以指向本地的 llama-server 實例,而非 Anthropic 的伺服器。沙盒化是他安全模型的核心。他使用 bubblewrap 透過單一指令從任何目錄建立隔離環境。在這些沙盒中運行的進程只能存取明確允許的檔案和受控的網路埠。Buterin 在 github.com/vbuterin/messaging-daemon 開源了一個訊息守護進程,該進程封裝了 signal-cli 和電子郵件。
他指出,該守護進程可以自由讀取訊息並在無需確認的情況下向自己發送訊息;任何發往第三方的外部訊息都需要明確的人工批准。他將此稱為「人類 + LLM 2-of-2」模型,並表示同樣的邏輯也適用於 Ethereum 錢包。他建議開發 AI 連接錢包工具的團隊,將自主交易上限設定為每天 $100,任何超過此金額或包含可能洩露數據的 calldata 的交易,都必須經過人工確認。
遠端推論,按 Buterin 的條件
在進行研究任務時,布特林將本地工具 Local Deep Research 與他使用 pi agent 框架搭配 SearXNG(一種自託管、注重隱私的元搜索引擎)的設定進行了比較。他表示,pi 搭配 SearXNG 能產生更優質的答案。他儲存了約 1 億兆位元組的本地維基百科資料庫,並搭配技術文件,以減少對外部搜尋查詢的依賴,他將這些查詢視為隱私洩漏。
他還在 github.com/vbuterin/stt-daemon 上發布了一個本地音頻轉錄守護進程。該工具在基本使用時無需 GPU,並將輸出結果發送至大語言模型進行校正與摘要。關於以太坊整合,布特林表示,AI 代理永遠不應擁有無限制的 錢包 存取權限。他建議將人類與大語言模型視為兩個獨立的確認因素,各自能捕捉不同的失敗模式。
對於本地模型表現不足的情況,Buterin 提出了一種保護隱私的遠端推斷方法。他提到自己與研究者 Davide 提出的 Openanonymity 項目、ZK-API 提案,以及使用 mixnets 防止伺服器透過 IP 位址連結連續請求。他也引用了可信執行環境作為短期內減少遠端推斷資料洩漏的方法,同時指出,目前完全同態加密用於私有雲推斷仍過於緩慢,無法實際應用。
Buterin 在結尾註明,這篇文章描述的是一個起點,而非最終產品,並警告讀者不要直接複製他的工具並假設它們是安全的。