• 以太坊联合创始人维塔利克·布特林在2026年4月放弃了云AI，选择在一台配备Nvidia 5090显卡的笔记本电脑上本地运行Qwen3.5:35B，每秒处理90个令牌。
• 布特林发现大约15%的AI代理技能包含恶意指令，引用了安全公司Hiddenlayer的数据。
• 他的开源消息守护程序对所有发送给第三方的Signal和电子邮件操作实施了人机加LLM的2-2确认规则。

布特林将该系统描述为“自我主权/本地/私密/安全”，并表示这是对他所认为的AI代理领域蔓延的严重安全和隐私失效的直接回应。他指出研究显示约15%的代理技能或插件工具包含恶意指令。安全公司Hiddenlayer演示了解析一个恶意网页可能完全妥协Openclaw实例，使其在用户不知情的情况下下载和执行shell脚本。

“我来自一个非常害怕的思维模式，就是在我们终于在隐私方面向前迈出一步，随着端到端加密的普及和越来越多的本地优先软件的发展，我们却在濒临后退十步的边缘，”布特林写道。

他选择的硬件是一台配备24 GB显存的Nvidia 5090 GPU的笔记本电脑。通过llama-server运行来自阿里巴巴的开权重Qwen3.5:35B模型，该设置达到了每秒90个令牌，布特林称这是舒适的日常使用目标。他测试了配有128 GB统一内存的AMD Ryzen AI Max Pro，达到了每秒51个令牌，以及DGX Spark，达到了每秒60个令牌。

他说，DGX Spark以桌面AI超级计算机的名义进行营销，但考虑到其成本和与良好的笔记本GPU相比的较低吞吐量，表现并不令人印象深刻。对于他的操作系统，布特林从Arch Linux切换到NixOS，后者让用户在一个声明性文件中定义他们的整个系统配置。他使用llama-server作为后台守护程序，暴露出任何应用程序可以连接的本地端口。

他指出，Claude Code可以指向本地llama-server实例，而不是Anthropic的服务器。沙箱技术是他安全模型的核心。他使用bubblewrap通过单个命令创建来自任何目录的隔离环境。运行在这些沙箱中的进程只能访问被明确允许的文件和受控的网络端口。布特林在github.com/vbuterin/messaging-daemon上开源了一款消息守护程序，该程序封装了signal-cli和电子邮件。

他表示，该守护程序可以自由读取消息并在无需确认的情况下向自己发送消息。任何发送给第三方的出站消息都需要明确的人类批准。他称之为“人机 + LLM 2-2”模型，并表示相同的逻辑适用于以太坊钱包。他建议构建AI连接钱包工具的团队将自主交易限制在每天100美元，并要求对于任何更高金额或携带可能泄露数据的调用数据的交易进行人类确认。

对于研究任务，布特林比较了本地工具Local Deep Research与他自己使用pi代理框架配合自托管的隐私聚焦元搜索引擎SearXNG的设置。他表示pi加SearXNG生成的答案质量更高。他存储了大约1 TB的本地维基百科数据和技术文档，以减少对外部搜索查询的依赖，他将其视为隐私泄漏。

他还在github.com/vbuterin/stt-daemon上发布了一个本地音频转录守护程序。该工具在基本使用时不需要GPU，并将输出送入LLM进行修正和摘要。关于以太坊的整合，布特林表示AI代理绝不应持有无限制的钱包访问权限。他建议将人类和LLM视为两个不同的确认因素，以捕捉不同的故障模式。

对于本地模型不足的情况，布特林概述了一个保护隐私的远程推理方法。他提到自己的ZK-API提案与研究者Davide、Openanonymity项目以及使用混合网络来防止服务器通过IP地址链接连续请求的方式。他还提到了可信执行环境，作为在短期内减少远程推理数据泄漏的方式，同时指出完全同态加密用于私人云推理仍然太慢，实用性不高。

布特林最后提到，本文描述的是一个起点，而不是成品，警告读者不要复制他的确切工具并认为它们是安全的。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。