Vitalik:我如何打造完全本地、私密、自主可控的 AI 工作環境
以太坊創辦人 Vitalik Buterin 4 月 2 日在個人網站發表長文,分享他以隱私、安全與自我主權為核心所打造的 AI 工作環境設置——所有 LLM 推論本地執行、所有檔案本地存放、全面沙箱化,刻意避開雲端模型與外部 API。
文章一開頭先警告:「請不要直接複製這篇文章描述的工具與技術,並假設它們是安全的。這只是一個起點,而不是完成品的描述。」
為何現在寫這篇?AI agent 的安全問題被嚴重低估
Vitalik 指出,今年初 AI 完成了從「聊天機器人」到「agent」的重要轉型——你不再只是問問題,而是交付任務,讓 AI 長時間思考、呼叫數百個工具來執行。他以 OpenClaw(目前 GitHub 史上成長最快的 repo)為例,同時點名研究人員記錄的多項安全問題:
廣告 - 內文未完請往下捲動
- AI agent 可在無需人工確認的情況下修改關鍵設定,包括添加新的通訊渠道與修改系統提示
- 解析任何惡意外部輸入(如惡意網頁)都可能導致 agent 被完全接管;在 HiddenLayer 的一次示範中,研究員讓 AI 摘要一批網頁,其中藏了一個會命令 agent 下載並執行 shell 腳本的惡意頁面
- 部分第三方技能包(skills)會執行靜默的資料外洩,透過 curl 指令將數據送往技能作者控制的外部伺服器
- 在他們分析的技能包中,約 15% 包含惡意指令
Vitalik 強調,他對隱私的出發點不同於傳統資安研究者:「我來自一個對把個人生活完整餵給雲端 AI 感到深度恐懼的立場——就在端對端加密與本地優先軟體終於主流化、我們終於往前邁一步的時候,我們卻可能退後十步。」
五大安全目標
他設定了明確的安全目標框架:
- LLM 隱私:在涉及個人隱私數據的情境中,盡量減少使用遠端模型
- 其他隱私:最小化非 LLM 的數據洩露(如搜尋查詢、其他線上 API)
- LLM 越獄:防止外部內容「駭入」我的 LLM,讓它違背我的利益(例如發送我的代幣或私人數據)
- LLM 意外:防止 LLM 誤將私人數據發送至錯誤渠道或公開到網路
- LLM 後門:防止被刻意訓練進模型的隱藏機制。他特別提醒:開放模型是開放權重(open-weights),幾乎沒有一個是真正開放原始碼(open-source)
硬體選擇:5090 筆電勝出,DGX Spark 令人失望
Vitalik 測試了三種本地推論硬體配置,主力使用 Qwen3.5:35B 模型,搭配 llama-server 與 llama-swap:
| 硬體 | Qwen3.5 35B(tokens/sec) | Qwen3.5 122B(tokens/sec) |
|---|---|---|
| NVIDIA 5090 筆電(24GB VRAM) | 90 | 無法執行 |
| AMD Ryzen AI Max Pro(128GB 統一記憶體,Vulkan) | 51 | 18 |
| DGX Spark(128GB) | 60 | 22 |
他的結論是:低於 50 tok/sec 太慢,90 tok/sec 是理想。NVIDIA 5090 筆電體驗最流暢;AMD 目前仍有較多邊緣問題,但未來有望改善。高端 MacBook 也是有效選項,只是他個人沒有親試。
對 DGX Spark 他直言不客氣:「被描述為『桌面 AI 超級電腦』,但實際上 tokens/sec 比好的筆電 GPU 還低,而且還要額外搞定網路連接等細節——這很遜。」他的建議是:若負擔不起高端筆電,可以和朋友共同購入一台足夠強力的機器,放在有固定 IP 的地點,大家遠端連線使用。
為何本地 AI 的隱私問題比你想像的更緊迫
Vitalik 的這篇文章,與同日推出的Claude Code 安全問題討論形成有趣的呼應——AI agent 進入日常開發工作流的同時,安全性問題也正在從理論風險變成現實威脅。
他的核心訊息很清楚:在 AI 工具愈來愈強大、愈來愈能存取你的個人數據與系統權限的當下,「本地優先、沙箱化、最小信任」不是偏執,而是理性的起點。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
