Vitalik Buterin de Ethereum advierte sobre los riesgos de seguridad de los agentes de IA y comparte su pila privada de LLM

El cofundador de Ethereum, Vitalik Buterin, se ha desconectado por completo de los servicios de IA en la nube y detalló en una publicación de blog publicada esta semana su configuración de inteligencia artificial (IA) totalmente local y aislada en un entorno tipo sandbox.

Puntos clave:

• El cofundador de Ethereum Vitalik Buterin abandonó la IA en la nube en abril de 2026, ejecutando Qwen3.5:35B localmente en una laptop Nvidia 5090 a 90 tokens por segundo.
• Buterin descubrió que aproximadamente el 15% de las habilidades de los agentes de IA contienen instrucciones maliciosas, citando datos de la firma de seguridad Hiddenlayer.
• Su daemon de mensajería de código abierto impone una regla de confirmación 2-de-2 “humano + LLM” para todas las acciones de salida de Signal y email hacia terceros.

Cómo Vitalik Buterin ejecuta un sistema de IA autosoberana sin acceso a la nube

Buterin describió el sistema como “autosoberano / local / privado / seguro” y dijo que se construyó en respuesta directa a lo que él ve como fallos serios de seguridad y privacidad que se están extendiendo por el espacio de los agentes de IA. Señaló investigaciones que muestran que aproximadamente el 15% de las habilidades de los agentes, o herramientas tipo plug-in, contienen instrucciones maliciosas. La firma de seguridad Hiddenlayer demostró que analizar una sola página web maliciosa podía comprometer por completo una instancia de Openclaw, permitiéndole descargar y ejecutar scripts de shell sin que el usuario lo supiera.

“Vengo de una mentalidad de estar profundamente asustado de que, así como por fin dábamos un paso adelante en la privacidad con la adopción masiva del cifrado de extremo a extremo y cada vez más software ‘local-first’, estamos a punto de dar diez pasos hacia atrás”, escribió Buterin.

Su hardware preferido es una laptop con una GPU Nvidia 5090 y 24 GB de memoria de video. Ejecutando el modelo Qwen3.5:35B de pesos abiertos de Alibaba a través de llama-server, la configuración alcanza 90 tokens por segundo, que Buterin llama el objetivo para un uso diario cómodo. Probó el AMD Ryzen AI Max Pro con 128 GB de memoria unificada, que llegó a 51 tokens por segundo, y el DGX Spark, que alcanzó 60 tokens por segundo.

Dijo que el DGX Spark, comercializado como un supercomputador de IA de escritorio, no impresionó dada su relación costo-rendimiento y su menor rendimiento frente a una buena GPU de laptop. Para su sistema operativo, Buterin cambió de Arch Linux a NixOS, lo que permite a los usuarios definir toda la configuración de su sistema en un único archivo declarativo. Usa llama-server como un daemon en segundo plano que expone un puerto local al que cualquier aplicación puede conectarse.

Claude Code, señaló, se puede apuntar a una instancia local de llama-server en lugar de los servidores de Anthropic. El sandboxing es central para su modelo de seguridad. Usa bubblewrap para crear entornos aislados desde cualquier directorio con un solo comando. Los procesos que se ejecutan dentro de esos sandboxes solo pueden acceder a archivos explícitamente permitidos y a puertos de red controlados. Buterin publicó de forma abierta un daemon de mensajería en github.com/vbuterin/messaging-daemon que envuelve signal-cli y email.

Comentó que el daemon puede leer mensajes libremente y enviar mensajes a sí mismo sin confirmación. Cualquier mensaje saliente a un tercero requiere aprobación humana explícita. A esto lo llamó el modelo de “humano + LLM 2-de-2” y dijo que la misma lógica se aplica a las carteras (wallets) de Ethereum. Recomendó a los equipos que construyen herramientas de carteras conectadas a IA limitar las transacciones autónomas a $100 por día y requerir confirmación humana para cualquier cosa superior o para cualquier transacción que incluya calldata que podría exfiltrar datos.

Inferencia remota, bajo los términos de Buterin

Para tareas de investigación, Buterin comparó la herramienta local Local Deep Research contra su propia configuración usando el framework de agentes pi combinado con SearXNG, un motor de meta-búsqueda autoalojado con enfoque en la privacidad. Dijo que pi más SearXNG produjo respuestas de mejor calidad. Guarda un volcado local de Wikipedia de aproximadamente 1 terabyte junto con documentación técnica para reducir su dependencia de consultas de búsqueda externas, algo que trata como una filtración de privacidad.

También publicó un daemon local de transcripción de audio en github.com/vbuterin/stt-daemon. La herramienta se ejecuta sin una GPU para un uso básico y alimenta la salida al LLM para corrección y resumen. En integración con Ethereum, Buterin dijo que los agentes de IA nunca deberían tener acceso irrestricto a la cartera. Recomendó tratar al humano y al LLM como dos factores de confirmación distintos que detectan diferentes modos de fallo.

Para casos en los que los modelos locales se quedan cortos, Buterin describió un enfoque que preserva la privacidad para la inferencia remota. Señaló su propia propuesta ZK-API con el investigador Davide, el proyecto Openanonymity y el uso de mixnets para evitar que los servidores enlacen solicitudes sucesivas por dirección IP. También citó entornos de ejecución confiables como una forma de reducir la filtración de datos de la inferencia remota en el corto plazo, mientras señalaba que el cifrado totalmente homomórfico para la inferencia en nube privada sigue siendo demasiado lento para ser práctico hoy.

Buterin cerró con una nota de que la publicación describe un punto de partida, no un producto terminado, y advirtió a los lectores que no copien sus herramientas exactas y asuman que son seguras.