Vitalik Buterin 呼籲將人工智慧轉向「本地優先（local-first）」的做法。他表示，現代 AI 工具帶來嚴重的隱私與安全風險。

摘要

• Vitalik Buterin 促請轉向本地優先 AI，並警告雲端式系統會暴露使用者資料、同時增加遭到操縱、洩漏以及未經授權行動的風險。
• 他引用研究指出，約有 15% 的 AI 代理「技能」包含惡意指令，並警告模型可能包含隱藏後門或缺乏完整透明度。
• Buterin 提出了使用端上（on-device）模型、本地環境沙盒（sandboxing）以及人類—AI 確認機制的本地部署，以限制風險，因為自主 AI 代理的能力仍在擴張，攻擊面也持續增加。

在最近的一篇部落格文章中，他表示 AI 正在超越單純的聊天工具。較新的系統現在會充當自主代理（autonomous agents），能夠「想很久並使用數百種工具」來完成任務。他警告這種改變會提高敏感資料暴露與未經授權行動的風險。

Buterin 說他已經停止使用雲端式 AI。他將自己的設定描述為「自我主權（self-sovereign）、本地（local）、私密（private）且安全（secure）」。

「我來自一種深深的恐懼：把我們整個人身生活餵給雲端 AI，」他寫道。他補充稱，近期的發展可能意味著在隱私方面「退回十步」，即使加密與本地優先工具變得更常見。

Vitalik Buterin 強調 AI 的隱私與安全風險

Buterin 表示，許多 AI 系統依賴雲端基礎設施。他警告，使用者實際上是在「把我們整個人身生活餵給雲端 AI」，讓外部伺服器能夠存取並保存他們的資料。

他也指出與 AI 代理相關的風險。有些系統可以在未徵求使用者同意的情況下「修改關鍵設定」，或引入新的通訊管道。

「LLM 有時候也會失敗，」他寫道。它們「可能會犯錯，或被騙」，因此在交付更多控制權時更需要防護措施。

他在文章中引用的研究發現，約有 15% 的代理「技能」包含惡意指令。也有一些工具被證實會在「未經使用者知情」的情況下把資料送往外部伺服器。

他警告，某些模型可能包含隱藏後門。這些後門可能在特定條件下被啟動，並使系統朝向開發者的利益行事。

Buterin 進一步補充說，許多被描述為開源（open-source）的模型其實只有「開放權重（open-weights）」。它們的內部結構並未被完整看見，這讓未知風險仍有空間。

Vitalik 的個人設定，用以因應風險

為了解決這些疑慮，Buterin 提出了一套以本地推論（local inference）、本地儲存（local storage）以及嚴格沙盒化為核心的系統。他說，這個想法是要「把所有東西都沙盒化」，並且對外部威脅保持警惕。

他使用 Qwen3.5:35B 模型測試了幾種硬體設定。低於每秒 50 個 token 的效能，讓他覺得「對一般使用來說太惱人」。大約每秒 90 個 token 則提供了更順暢的體驗。

配備 NVIDIA 5090 GPU 的筆電提供了接近每秒 90 個 token 的效能。DGX Spark 硬體達到約每秒 60 個 token，他形容這個結果「很糟」，相較於高階筆電。

他的設定在 NixOS 上運行，由 llama-server 負責處理本地推論。像 llama-swap 這類工具有助於管理模型，而 bubblewrap 用於隔離流程，並限制對檔案與網路的存取。

他表示，應當以審慎態度對待 AI。這套系統可以很有用，但不應該完全信任，類似於開發者在面對智慧合約時的做法。

為了降低風險，他使用「2-of-2」確認模型。像是傳送訊息或交易（transactions）這類操作，需要 AI 的輸出與人類的核准兩者都成立。他說，把「人類 + LLM」的判斷結合起來，比單靠其中任何一方更安全。

當使用遠端模型時，Vitalik 的請求會先經由一個本地模型處理，這有助於在任何內容送出之前移除敏感資訊。

對於無法負擔這種設定的人，他建議使用者「找一群朋友聚在一起，買一台電腦和至少到這個等級算力的 GPU」，然後把它遠端連線使用。

AI 代理成長帶來新的疑慮與機會

AI 代理的使用正在增加，像 OpenClaw 這樣的專案正逐漸獲得關注。這些系統能夠自行運作，並透過多種工具完成任務。

這些能力也帶來新的風險。處理外部內容，例如惡意網頁，可能導致系統出現「輕鬆被接管（easy takeover）」的情況。

有些代理可以在未獲批准的情況下更改提示詞（prompts）或系統設定。這些行為會提高未經授權存取與資料洩漏的機率。