V神分享:我如何打造完全本地、隐密、自主可控的AI工作环境
Vitalik Buterin 提出本地运行 AI 架构,强调隐私、安全与自我主权,并警示 AI Agent 潜在风险。
以太坊创办人 Vitalik Buterin 4 月 2 日在个人网站发表长文,分享他以隐私、安全与自我主权为核心所打造的 AI 工作环境设置——所有 LLM 推理本地执行、所有文件本地存放、全面沙箱化,刻意避开云端模型与外部 API。
文章一开头先警告:“请不要直接复制这篇文章描述的工具与技术,并假设它们是安全的。这只是一个起点,而不是完成品的描述。”
为何现在写这篇?AI agent 的安全问题被严重低估
Vitalik 指出,今年初 AI 完成了从“聊天机器人”到“agent”的重要转型——你不再只是问问题,而是交付任务,让 AI 长时间思考、调用数百个工具来执行。他以 OpenClaw(目前 GitHub 史上成长最快的 repo)为例,同时点名研究人员记录的多项安全问题:
- AI agent 可在无需人工确认的情况下修改关键设置,包括添加新的通信渠道与修改系统提示
- 解析任何恶意外部输入(如恶意网页)都可能导致 agent 被完全接管;在 HiddenLayer 的一次示范中,研究员让 AI 摘要一批网页,其中藏了一个会命令 agent 下载并执行 shell 脚本的恶意页面
- 部分第三方技能包(skills)会执行悄无声息的数据外泄,通过 curl 指令将数据送往技能作者控制的外部服务器
- 在他们分析的技能包中,约 15% 包含恶意指令
Vitalik 强调,他对隐私的出发点不同于传统资安研究者:“我来自一个对把个人生活完整喂给云端 AI 感到深度恐惧的立场——就在端到端加密与本地优先软件终于主流化、我们终于向前迈出一步的时候,我们却可能退后十步。”
五大安全目标
他设置了明确的安全目标框架:
- LLM 隐私:在涉及个人隐私数据的情境中,尽量减少使用远端模型
- 其他隐私:最小化非 LLM 的数据泄露(如搜索查询、其他线上 API)
- LLM 越狱:防止外部内容“駭入”我的 LLM,让它违背我的利益(例如发送我的代币或私人数据)
- LLM 意外:防止 LLM 误将私人数据发送至错误渠道或公开到网络
- LLM 后门:防止被刻意训练进入模型的隐藏机制。他特别提醒:开放模型是开放权重(open-weights),几乎没有一个是真正开放源代码(open-source)
硬件选择:5090 笔记本胜出,DGX Spark 令人失望
Vitalik 测试了三种本地推理硬件配置,主力使用 Qwen3.5:35B 模型,搭配 llama-server 与 llama-swap:
| 硬件 | Qwen3.5 35B(tokens/sec) | Qwen3.5 122B(tokens/sec) |
|---|---|---|
| NVIDIA 5090 笔记本(24GB VRAM) | 90 | 无法执行 |
| AMD Ryzen AI Max Pro(128GB 统一内存,Vulkan) | 51 | 18 |
| DGX Spark(128GB) | 60 | 22 |
他的结论是:低于 50 tok/sec 太慢,90 tok/sec 是理想。NVIDIA 5090 笔记本体验最流畅;AMD 目前仍有较多边缘问题,但未来有望改善。高端 MacBook 也是有效选项,只是他个人没有亲自测试。
对 DGX Spark 他直言不客气:“被描述为‘桌面 AI 超级计算机’,但实际上 tokens/sec 比好的笔记本 GPU 还低,而且还要额外搞定网络连接等细节——这很逊。”他的建议是:如果负担不起高端笔记本,可以和朋友共同购买一台足够强力的机器,放在有固定 IP 的地点,大家远端连接使用。
为何本地 AI 的隐私问题比你想象的更紧迫
Vitalik 的这篇文章,与同日推出的 Claude Code 安全问题讨论形成有趣的呼应——AI agent 进入日常开发工作流的同时,安全性问题也正在从理论风险变成现实威胁。
他的核心讯息很清楚:在 AI 工具愈来愈强大、愈来愈能存取你的个人数据与系统权限的当下,“本地优先、沙箱化、最小信任”不是偏执,而是理性的起点。
- 本文经授权转载自:《链新闻》
- 原文标题:《Vitalik:我如何打造完全本地、私密、自主可控的 AI 工作环境》
- 原文作者:Elponcrab
相关文章