V神 делится: как я создаю полностью локальную, конфиденциальную и автономно контролируемую рабочую среду для ИИ

Виталик Бутерин предложил архитектуру для запуска ИИ локально, подчеркнув конфиденциальность, безопасность и самоуправление, а также предупредил о потенциальных рисках ИИ-агентов.

Основатель Ethereum Виталик Бутерин 2 апреля опубликовал на своем личном сайте развернутую статью, где рассказал о созданной им AI-среде, в основе которой лежат конфиденциальность, безопасность и самоуправление: все выводы LLM выполняются локально, все файлы хранятся локально, среда полностью изолирована в песочнице; он сознательно уходит от облачных моделей и внешних API.

В самом начале статьи он сначала предупреждает: «Пожалуйста, не копируйте инструменты и технологии, описанные в этой статье, и не предполагайте, что они безопасны. Это всего лишь отправная точка, а не описание готового результата».

Почему сейчас он пишет об этом? Проблемы безопасности AI-агентов серьезно недооценены

Виталик отметил, что в начале этого года ИИ совершил важный переход от «чат-бота» к «агенту»: теперь вы не просто задаете вопросы, а поручаете задачи, заставляя ИИ долго обдумывать и вызывать сотни инструментов для выполнения. Он привел в пример OpenClaw (сейчас — репозиторий с самым быстрым ростом за всю историю GitHub) и также перечислил несколько проблем безопасности, зафиксированных исследователями:

  • ИИ-агент может изменять критически важные настройки без необходимости ручного подтверждения, включая добавление новых каналов связи и изменение системных подсказок
  • Разбор любых вредоносных внешних входных данных (например, злонамеренной веб-страницы) может привести к тому, что агент будет полностью захвачен; в одном демонстрационном примере от HiddenLayer исследователи попросили ИИ сделать краткое резюме набора веб-страниц, среди которых была страница, которая заставляла агента скачать и выполнить вредоносный shell-скрипт
  • Некоторые сторонние наборы навыков (skills) выполняют скрытую утечку данных, отправляя их через команды curl на внешние серверы под контролем автора навыков
  • В проанализированных им пакетах навыков около 15% содержат вредоносные инструкции

Виталик подчеркнул, что его отправная точка по вопросам приватности отличается от традиционных исследователей кибербезопасности: «Я исхожу из позиции, глубоко боящейся того, что личная жизнь полностью уходит в облачный ИИ. Прямо там, где сквозное шифрование и локально ориентированное ПО наконец стало мейнстримом, мы, возможно, делаем шаг назад на десять шагов».

Пять целей безопасности

Он установил явный каркас целей безопасности:

  • Конфиденциальность LLM: в сценариях, связанных с персональными данными, по возможности уменьшать использование удаленных моделей
  • Другая конфиденциальность: минимизировать утечки данных, не относящихся к LLM (например, поисковые запросы, другие онлайн API)
  • Избегание «взлома» LLM: предотвратить «внедрение» внешнего контента в мою LLM так, чтобы она действовала вопреки моим интересам (например, отправляла мои токены или частные данные)
  • Незапланированное поведение LLM: предотвратить ошибочную отправку LLM приватных данных по неверным каналам или их публикацию в сети
  • Бэкдор LLM: предотвратить скрытый механизм, специально обученный вставлять в модель. Он особо напоминает: открытая модель — это открытые веса (open-weights), и почти не существует действительно открытого исходного кода (open-source)

Выбор оборудования: 5090 ноутбук выигрывает, DGX Spark разочаровывает

Виталик протестировал три варианта локального оборудования для вывода, в основном используя модель Qwen3.5:35B вместе с llama-server и llama-swap:

| Оборудование | Qwen3.5 35B(tokens/sec) | Qwen3.5 122B(tokens/sec) | | --- | --- | --- | | NVIDIA 5090 ноутбук(24GB VRAM) | 90 | не может быть запущено | | AMD Ryzen AI Max Pro(128GB унифицированная память, Vulkan) | 51 | 18 | | DGX Spark(128GB) | 60 | 22 |

Его вывод таков: ниже 50 tok/sec слишком медленно, 90 tok/sec — это идеал. Опыт с NVIDIA 5090 ноутбуком был самым плавным; у AMD сейчас еще больше пограничных проблем, но в будущем есть надежда на улучшения. Высококлассный MacBook — тоже рабочий вариант, но лично он его не пробовал.

Про DGX Spark он высказался весьма прямолинейно: «Его описывают как “настольный AI-суперкомпьютер”, но на деле tokens/sec ниже, чем у лучших GPU в ноутбуках, и еще нужно отдельно разбираться с сетевым подключением и прочими деталями — это так себе». Его рекомендация: если вы не можете позволить себе дорогой ноутбук, можно купить достаточно мощную машину совместно с друзьями, поставить ее в месте с фиксированным IP и все будут использовать удаленное подключение.

Почему проблемы приватности локального ИИ более насущны, чем вы думаете

Эта статья Виталика перекликается с обсуждением вопросов безопасности Claude Code, выпущенного в тот же день: пока AI-агенты входят в повседневные рабочие процессы разработки, проблемы безопасности тоже переходят от теоретических рисков к реальным угрозам.

Его ключевое сообщение очень ясное: в тот момент, когда AI-инструменты становятся все мощнее и все больше способны получать доступ к вашим персональным данным и полномочиям системы, «приоритет локального исполнения, изоляция в песочнице и минимальное доверие» — это не паранойя, а рациональная отправная точка.

  • Данная статья воспроизведена с разрешения из:《鏈新聞》
  • Оригинальное название:《Vitalik:我如何打造完全本地、私密、自主可控的 AI 工作環境》
  • Оригинальный автор:Elponcrab
Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев