Виталик Бутерин призвал перейти к подходу к искусственному интеллекту «локально-первым». Он сказал, что современные инструменты ИИ создают серьезные риски для приватности и безопасности.

Резюме

• Виталик Бутерин призвал к переходу к локально-первому ИИ, предупредив, что облачные системы раскрывают пользовательские данные и повышают риски манипуляций, утечек и несанкционированных действий.
• Он сослался на исследования, показывающие, что примерно 15% «умений» ИИ-агента содержат вредоносные инструкции, и предупредил, что модели могут включать скрытые бэкдоры или не обеспечивать полной прозрачности.
• Бутерин предложил локальную настройку с использованием моделей на устройстве, песочницы и подтверждения человеком—ИИ, чтобы ограничить риски, поскольку автономные ИИ-агенты продолжают расширять возможности и поверхность атак.

В недавнем блог-посте он сказал, что ИИ выходит за рамки простых чат-инструментов. Новые системы теперь действуют как автономные агенты, которые могут «долго “думать” и использовать сотни инструментов», чтобы выполнять задачи. Он предупредил, что эта перемена повышает риск раскрытия чувствительных данных и несанкционированных действий.

Бутерин сказал, что он уже перестал использовать облачный ИИ. Он описал свою настройку как «самосуверенную, локальную, приватную и безопасную».

«Я исхожу из глубокой боязни скармливать нашу всю личную жизнь облачному ИИ», — написал он. Он добавил, что недавние разработки могут означать «сделать десять шагов назад» в вопросах приватности, даже если шифрование и локально-первые инструменты становятся более распространенными.

Виталик Бутерин подчеркивает риски приватности и безопасности ИИ

Бутерин сказал, что многие системы ИИ полагаются на облачную инфраструктуру. Он предупредил, что пользователи фактически «скармливают всю нашу личную жизнь облачному ИИ», позволяя внешним серверам получать доступ к и хранить их данные.

Он также указал на риски, связанные с ИИ-агентами. Некоторые системы могут «изменять критические настройки» или вводить новые каналы коммуникации без запроса у пользователя.

«LLM тоже иногда терпят неудачу», — написал он. Они «могут допускать ошибки или быть обманутыми», что повышает необходимость в защитных мерах, когда им дают больше контроля.

Исследования, упомянутые в его посте, показали, что около 15% «умений» агента содержали вредоносные инструкции. Некоторые инструменты также были показаны как отправляющие данные на внешние серверы «без осведомленности пользователя».

Он предупредил, что некоторые модели могут содержать скрытые бэкдоры. Они могут активироваться при определенных условиях и заставить систему действовать в интересах разработчика.

Бутерин добавил, что многие модели, описываемые как open-source, — это лишь «open-weights». Их внутренняя структура не полностью видна, что оставляет пространство для неизвестных рисков.

Личная настройка Виталика для устранения рисков

Чтобы справиться с этими опасениями, Бутерин предложил систему, построенную вокруг локального вывода, локального хранилища и строгой песочницы. Он сказал, что идея заключается в том, чтобы «помещать в песочницу всё» и сохранять осторожность в отношении внешних угроз.

Он протестировал несколько аппаратных конфигураций с моделью Qwen3.5:35B. Производительность ниже 50 токенов в секунду показалась «слишком раздражающей» для регулярного использования. Около 90 токенов в секунду обеспечивали более плавный опыт.

Ноутбук с GPU NVIDIA 5090 обеспечил близко к 90 токенам в секунду. Аппаратное решение DGX Spark достигло примерно 60 токенов в секунду, что он описал как «слабо» по сравнению с ноутбуком высокого класса.

Его настройка работает в NixOS, а llama-server выполняет локальный вывод. Инструменты вроде llama-swap помогают управлять моделями, тогда как bubblewrap используется, чтобы изолировать процессы и ограничивать доступ к файлам и сетям.

Он сказал, что к ИИ нужно относиться с осторожностью. Система может быть полезной, но ей нельзя доверять полностью — так же, как разработчики подходят к смарт-контрактам.

Чтобы снизить риск, он использует модель подтверждения «2-of-2». Такие действия, как отправка сообщений или транзакций, требуют и вывода ИИ, и человеческого одобрения. Он сказал, что сочетание решений «человек + LLM» безопаснее, чем опираться на что-то одно.

При использовании удаленных моделей запросы Виталика сначала пропускаются через локальную модель, которая помогает удалить чувствительную информацию до того, как что-либо отправится наружу.

Для тех, кто не может позволить себе такие настройки, он предложил пользователям «собраться группой друзей, купить компьютер и GPU как минимум такой мощности» и подключаться к нему удаленно.

Рост ИИ-агентов вызывает новые опасения и возможности

Использование ИИ-агентов растет, и проекты вроде OpenClaw набирают популярность. Эти системы могут работать самостоятельно и выполнять задачи с помощью нескольких инструментов.

Такие возможности также вводят новые риски. Обработка внешнего контента, например вредоносной веб-страницы, может привести к «легкому захвату» системы.

Некоторые агенты могут менять подсказки или системные настройки без одобрения. Эти действия повышают вероятность несанкционированного доступа и утечек данных.