以太坊联合创始人Vitalik Buterin近日在博客中详细披露了自己的本地化AI工作流,并对当前AI代理快速接入外部工具所带来的安全与隐私风险发出警告。他表示,自己已在2026年4月彻底放弃云端AI服务,转而采用“self-sovereign / local / private / secure”的本地方案,以降低数据泄露和恶意指令攻击的风险。
本地AI替代云服务
Buterin介绍称,他目前使用一台配备Nvidia 5090 GPU、24GB显存的笔记本电脑,在本地通过 llama-server 运行阿里巴巴开源权重模型Qwen3.5:35B,推理速度可达90 token/秒。他还测试了 AMD Ryzen AI Max Pro 128GB 统一内存平台和 DGX Spark,速度分别约为51 token/秒和60 token/秒。在他看来,DGX Spark以其价格和吞吐表现而言并不突出。
在系统层面,Buterin已从 Arch Linux 转向 NixOS,以便通过声明式配置统一管理系统环境,并以 llama-server 作为后台守护进程,向本地应用开放接口。他还提到,Claude Code 也可以指向本地 llama-server,而非直接连接 Anthropic 的云端服务器。
AI代理安全问题成核心担忧
Buterin强调,推动其转向本地AI的关键原因,是AI代理生态中不断暴露的安全短板。他援引安全公司 Hiddenlayer 的研究指出,约15%的AI代理技能或插件工具中含有恶意指令。更严重的是,研究显示仅解析单个恶意网页,就可能完全攻破一个 Openclaw 实例,使其在用户不知情的情况下下载并执行 shell 脚本。
他在文中直言,尽管端到端加密和本地优先软件原本正推动隐私保护取得进展,但AI代理的大规模普及可能让行业在隐私问题上“倒退十步”。
“人工+LLM双确认”机制
围绕安全控制,Buterin将sandboxing(沙箱隔离)视为核心机制。他使用 bubblewrap 创建隔离环境,限制进程仅访问被明确授权的文件与受控网络端口。同时,他还开源了一个 messaging daemon,用于封装 signal-cli 和电子邮件操作。
根据其设计,该守护程序可以自由读取消息,也可以在无需确认的情况下向他本人发送消息;但任何发往第三方的外部消息,都必须经过人工显式批准。Buterin将这一机制称为“human + LLM 2-of-2”,即人工与大模型共同作为双重确认因素。
他进一步指出,这一逻辑同样适用于Ethereum钱包。对于开发AI连接钱包工具的团队,他建议将自主交易额度限制在每天100美元以内;若金额更高,或交易 calldata 可能导致数据外泄,则必须引入人工确认。
远程推理也应尽量保护隐私
在研究任务中,Buterin将本地工具 Local Deep Research 与自己基于 pi agent framework 和自托管元搜索引擎 SearXNG 的方案进行对比,并称后者给出的答案质量更高。为进一步减少对外部搜索的依赖,他还在本地保存了约1TB的 Wikipedia 数据和技术文档,以避免搜索请求本身成为隐私泄露渠道。
对于本地模型能力不足的场景,Buterin并未完全排斥远程推理,但提出应采用更注重隐私的技术路径,例如其与研究者 Davide 提出的 ZK-API 方案、Openanonymity 项目以及 mixnets,以降低服务器通过IP地址关联连续请求的能力。他同时提到,trusted execution environments 可作为近期缓解方案,但用于私有云推理的全同态加密目前仍过于缓慢,尚不具备实用性。
Buterin最后提醒,这套系统仍只是一个起点,而不是可被直接复制的成熟安全产品。换言之,他分享的重点并非一套“现成答案”,而是为AI代理、隐私保护与加密钱包安全之间的平衡,提供一个值得行业参考的思路。

