以太坊联合创始人 Vitalik Buterin 已完全从云端 AI 服务中迁出,并在本周发布的一篇博客文章中详细介绍了他那套完全本地、沙盒化的人工智能(AI)部署。
要点:
Buterin 将该系统描述为“自我主权 / 本地 / 私密 / 安全”,并表示这是对他所见的、正在 AI 代理领域扩散的严重安全与隐私失效的直接回应。他指出,研究显示大约 15% 的代理技能,或插件工具,包含恶意指令。安全公司 Hiddenlayer 证明,解析一个单独的恶意网页就可能彻底攻破一个 Openclaw 实例,使其在不被用户察觉的情况下下载并执行 shell 脚本。
“我之所以怀有一种深深的担忧心态,是因为我们终于在将端到端加密主流化、以及越来越多的本地优先软件方面迈出隐私向前的一步之后,眼下却正处在倒退十步的边缘,”Buterin 写道。
他选择的硬件是一台配备 Nvidia 5090 GPU 的笔记本,带有 24 GB 的显存。本地运行来自 Alibaba 的开放权重 Qwen3.5:35B 模型,通过 llama-server 部署,整套方案达到 90 tokens per second,Buterin 称这就是舒适日常使用的目标。他还测试了配备 128 GB 统一内存的 AMD Ryzen AI Max Pro,速度达到了 51 tokens per second,以及 DGX Spark,达到了 60 tokens per second。
他表示,DGX Spark 被宣传为桌面 AI 超级计算机,但考虑到其成本以及相较于一台优秀笔记本 GPU 的更低吞吐,它表现不尽人意。在操作系统方面,Buterin 由 Arch Linux 切换到 NixOS,后者允许用户在一个单一的声明式文件中定义整个系统配置。他使用 llama-server 作为后台守护进程,将一个本地端口暴露出来,任何应用都可以连接到该端口。
他提到,Claude Code 可以指向一个本地的 llama-server 实例,而不是 Anthropic 的服务器。沙盒化是他安全模型的核心。他使用 bubblewrap,通过一条命令从任意目录创建隔离环境。在这些沙盒内部运行的进程只能访问被明确允许并受控的文件以及网络端口。Buterin 已在 github.com/vbuterin/messaging-daemon 上开源了一款消息守护进程(messaging daemon),它封装了 signal-cli 和 email。
他表示,该守护进程可以不受限制地读取消息,并在不需要确认的情况下向自己发送消息。任何发送到第三方的外发消息都需要明确的人工批准。他将这种方式称为“人类 + LLM 的 2-of-2 模型”,并表示同样逻辑也适用于以太坊钱包。他建议,正在构建与 AI 连接的钱包工具的团队,将自动交易上限设为每天 $100,并要求对任何更高额度或任何携带可能外泄数据的 calldata 的交易进行人工确认。
对于研究任务,Buterin 将本地工具 Local Deep Research 与他自己的设置进行对比,后者使用 pi 代理框架,并配合 SearXNG(一种自托管、强调隐私的元搜索引擎)。他说,pi 加上 SearXNG 产出的答案质量更好。为降低他对外部搜索查询的依赖,他在本地保存了一份约 1 terabyte 的 Wikipedia 数据库转储,并配套技术文档;他将这一做法视为隐私泄露的对策。
他还发布了一个本地音频转写守护进程,地址为 github.com/vbuterin/stt-daemon。该工具在基础使用时无需 GPU,并将输出提供给 LLM 以进行纠正与总结。在以太坊集成方面,Buterin 表示,AI 代理绝不应该拥有不受限制的钱包访问权限。他建议将人类与 LLM 视为两个不同的确认因子:它们分别能够捕捉不同的失效模式。
对于本地模型无法满足需求的情况,Buterin 介绍了一种注重隐私的远程推理方案。他提到了自己与研究人员 Davide 共同提出的 ZK-API 方案、Openanonymity 项目,以及使用 mixnets 来防止服务器通过 IP 地址关联连续请求。他也提到可信执行环境可在短期内减少来自远程推理的数据泄露,同时指出,针对私有云推理的全同态加密(fully homomorphic encryption)目前仍太慢,难以在实践中使用。
Buterin 以一条说明收尾:这篇文章描述的是一个起点,而不是一个成品,并提醒读者不要照搬他完全相同的工具,并假设它们就一定安全。
