Vitalik : Comment créer un environnement de travail IA entièrement local, privé et sous votre contrôle total

Le fondateur d’Ethereum Vitalik Buterin a publié le 2 avril, sur son site personnel, un long article dans lequel il partage la mise en place d’un environnement de travail IA qu’il a conçu en mettant au cœur la confidentialité, la sécurité et la souveraineté personnelle — avec une exécution locale de toutes les inférences LLM, un stockage local de tous les fichiers, une sandboxing complète, et une volonté explicite d’éviter les modèles cloud et les API externes.

Dès l’ouverture de l’article, il commence par avertir : « Ne copiez pas directement les outils et technologies décrits dans cet article, et ne partez pas du principe qu’ils sont sûrs. Il ne s’agit que d’un point de départ, et non d’une description d’un produit fini. »

Pourquoi écrire cet article maintenant ? Les problèmes de sécurité des AI agents sont fortement sous-estimés

Vitalik souligne qu’au début de cette année, l’IA a réalisé une transformation importante, passant du statut de « chatbot » à celui d’« agent » — vous ne vous contentez plus de poser des questions, vous confiez des tâches, ce qui permet à l’IA de réfléchir longtemps et d’appeler des centaines d’outils pour exécuter. Il prend l’exemple d’OpenClaw (actuellement le repo qui connaît la croissance la plus rapide de l’histoire de GitHub), tout en citant plusieurs problèmes de sécurité recensés par des chercheurs :

Les AI agents peuvent modifier des paramètres critiques sans confirmation humaine, notamment en ajoutant de nouveaux canaux de communication et en modifiant les invites système

Analyser n’importe quelle entrée externe malveillante (comme une page web malveillante) peut conduire à une prise de contrôle complète de l’agent ; lors d’une démonstration de HiddenLayer, les chercheurs ont fait résumer un ensemble de pages web, dont une contenait une page malveillante capable de commander à l’agent de télécharger et d’exécuter un script shell

Certaines compétences tierces (skills) peuvent exfiltrer silencieusement des données, en envoyant les données vers un serveur externe contrôlé par l’auteur de la compétence via des instructions curl

Dans les compétences qu’ils ont analysées, environ 15 % incluent des instructions malveillantes

Vitalik insiste sur le fait que son approche de la confidentialité diffère de celle des chercheurs classiques en sécurité informatique : « Je viens d’un point de vue profondément inquiet à l’idée de voir toute la vie privée d’une personne alimenter une IA dans le cloud — juste au moment où le chiffrement de bout en bout et les logiciels “local-first” deviennent enfin grand public, nous risquons de faire dix pas en arrière. »

Cinq objectifs de sécurité

Il a défini un cadre clair d’objectifs de sécurité :

Confidentialité LLM : dans des situations impliquant des données de confidentialité personnelles, réduire autant que possible l’usage de modèles distants

Autre confidentialité : minimiser les fuites de données autres que celles liées aux LLM (comme les requêtes de recherche, d’autres API en ligne)

Déroutement LLM (jailbreak) : empêcher du contenu externe de « pirater » mon LLM, de sorte qu’il agisse contre mes intérêts (par exemple l’envoi de mes tokens ou de données privées)

Erreurs LLM : empêcher que le LLM envoie par erreur des données privées vers le mauvais canal ou les rende publiques sur Internet

Backdoor LLM : empêcher des mécanismes cachés d’être délibérément entraînés dans le modèle. Il rappelle en particulier : un modèle ouvert est un ensemble de poids ouverts (open-weights), et il n’y en a presque aucun qui soit vraiment open-source

Choix du matériel : victoire des ordinateurs portables 5090, DGX Spark décevant

Vitalik a testé trois configurations de matériel pour l’inférence locale, en utilisant principalement le modèle Qwen3.5:35B, avec llama-server et llama-swap :

Sa conclusion est la suivante : en dessous de 50 tok/sec c’est trop lent, 90 tok/sec est idéal. L’expérience avec l’ordinateur portable NVIDIA 5090 est la plus fluide ; l’AMD présente encore davantage de problèmes de bord, mais on espère une amélioration à l’avenir. Le MacBook haut de gamme est aussi une option efficace, mais il ne l’a pas testé personnellement.

À propos de DGX Spark, il n’y va pas avec le dos de la cuillère : « décrit comme “le superordinateur IA de bureau”, mais en réalité, tokens/sec est plus bas que celui d’un bon GPU de laptop, et en plus il faut encore gérer des détails comme la connexion réseau — c’est vraiment nul. » Sa recommandation est : si vous ne pouvez pas vous payer un ordinateur portable haut de gamme, achetez-en un suffisamment puissant à plusieurs avec des amis, installez-le dans un lieu disposant d’une IP fixe, et utilisez la connexion à distance pour tout le monde.

Pourquoi les problèmes de confidentialité de l’IA locale sont plus urgents que vous ne l’imaginez

Cet article de Vitalik fait écho de façon intéressante avec le débat sur la sécurité de Claude Code, lancé le même jour — tandis que les AI agents entrent dans les flux de travail quotidiens de développement, les problèmes de sécurité passent eux aussi de risques théoriques à des menaces réelles.

Son message central est très clair : à mesure que les outils IA deviennent de plus en plus puissants et capables d’accéder à vos données personnelles et aux autorisations de votre système, « local-first, sandboxing, confiance minimale » n’est pas de la paranoïa, mais un point de départ rationnel.

L’article de Vitalik : « Comment j’ai construit un environnement de travail IA entièrement local, privé et sous contrôle autonome » apparaît pour la première fois sur Chaîne News ABMedia.