以太坊創辦人 Vitalik Buterin 4 月 2 日在個人網站發表长文,分享他以隐私、安全与自我主权为核心所打造的 AI 工作环境设置——所有 LLM 推理本地执行、所有文件本地存放、全面沙箱化,刻意避开云端模型与外部 API。
文章一开头先警告:“請不要直接複製這篇文章描述的工具与技術,並假設它們是安全的。這只是一個起點,而不是完成品的描述。”
為什麼現在寫這篇?AI agent 的安全問題被嚴重低估
Vitalik 指出,今年初 AI 完成了从“聊天机器人”到“agent”的重要转型——你不再只是问问题,而是交付任务,让 AI 长时间思考、调用数百个工具来执行。他以 OpenClaw(目前 GitHub 史上成长最快的 repo)为例,同时点名研究人员记录的多项安全问题:
AI agent 可在无需人工确认的情况下修改关键设置,包括添加新的通讯渠道与修改系统提示
解析任何恶意外部输入(如恶意网页)都可能导致 agent 被完全接管;在 HiddenLayer 的一次示范中,研究员让 AI 摘要一批网页,其中藏了一個會命令 agent 下載並執行 shell 腳本的惡意頁面
部分第三方技能包(skills)会执行静默的数据外泄,通过 curl 指令将数据送往技能作者控制的外部服务器
在他们分析的技能包中,约 15% 包含恶意指令
Vitalik 强调,他对隐私的出发点不同于传统资安研究者:“我来自一个对把个人生活完整喂给云端 AI 感到深度恐惧的立场——就在端到端加密与本地优先软件终于主流化,我们终于往前迈一步的时候,我们却可能退后十步。”
五大安全目标
他设定了明确的安全目标框架:
LLM 隱私:在涉及个人隐私数据的情境中,尽量减少使用远端模型
其他隱私:最小化非 LLM 的数据泄露(如搜索查询、其他线上 API)
LLM 越狱:防止外部内容“駭入”我的 LLM,让它违背我的利益(例如发送我的代币或私人数据)
LLM 意外:防止 LLM 误将私人数据发送至错误渠道或公开到网络
LLM 后门:防止被刻意训练进模型的隐藏机制。他特别提醒:开放模型是开放权重(open-weights),几乎没有一个是真正开放原始码(open-source)
硬件选择:5090 笔电胜出,DGX Spark 令人失望
Vitalik 测试了三种本地推理硬件配置,主力使用 Qwen3.5:35B 模型,搭配 llama-server 与 llama-swap:
他的结论是:低于 50 tok/sec 太慢,90 tok/sec 是理想。NVIDIA 5090 笔电体验最流畅;AMD 目前仍有较多边缘问题,但未来有望改善。高端 MacBook 也是有效选项,只是他个人没有亲试。
对 DGX Spark 他直言不客气:“被描述为‘桌面 AI 超级电脑’,但实际 tokens/sec 比好的笔电 GPU 还低,而且还要额外搞定网络连接等细节——这很逊。”他的建议是:若负担不起高端笔电,可以和朋友共同购买一台足够强力的机器,放在有固定 IP 的地点,大家远端连线使用。
为什麼本地 AI 的隱私問題比你想像的更緊迫
Vitalik 的这篇文章,与同日推出的 Claude Code 安全问题讨论形成有趣的呼应——AI agent 进入日常开发工作流的同时,安全性问题也正在从理论风险变成现实威胁。
他的核心讯息很清楚:在 AI 工具愈来愈强大、愈来愈能存取你的个人数据与系统权限的当下,“本地优先、沙箱化、最小信任”不是偏执,而是理性的起点。
这篇文章 Vitalik:我如何打造完全本地、私密、自主可控的 AI 工作环境 最早出现在 鏈新聞 ABMedia。
