V God teilt mit: Wie ich eine vollständig lokale, diskrete und selbstbestimmte, kontrollierbare KI-Arbeitsumgebung aufbaue

Vitalik Buterin schlägt eine Architektur vor, bei der KI lokal betrieben wird, und betont dabei Privatsphäre, Sicherheit und Selbstsouveränität; außerdem warnt er vor potenziellen Risiken von KI-Agenten.

Der Ethereum-Mitbegründer Vitalik Buterin veröffentlichte am 2. April auf seiner persönlichen Website einen ausführlichen Beitrag und teilte seine KI-Arbeitsumgebung, die er mit Privatsphäre, Sicherheit und Selbstsouveränität als Kern entworfen hat: — alle LLM-Schlussfolgerungen werden lokal ausgeführt, alle Dateien werden lokal gespeichert, und alles ist umfassend sandboxed; bewusst wird dabei Cloud-Modelle und externe APIs umgangen.

Zu Beginn des Artikels warnt er zuerst: „Bitte kopieren Sie nicht direkt die Tools und Technologien, die in diesem Artikel beschrieben werden, und nehmen Sie nicht an, dass sie sicher sind. Das ist nur ein Ausgangspunkt, keine Beschreibung eines fertigen Produkts.“

Warum schreibt er das jetzt? Sicherheitsprobleme bei KI-Agenten werden massiv unterschätzt

Vitalik weist darauf hin, dass sich die KI in diesem frühen Jahr von „Chatbots“ zu einer bedeutenden Transformation hin zu „Agenten“ entwickelt hat – du stellst nicht mehr nur Fragen, sondern übergibst Aufgaben, sodass die KI lange Zeit nachdenkt und hunderte Tools aufruft, um sie auszuführen. Er nennt hierfür OpenClaw (derzeit das am schnellsten wachsende Repo in der Geschichte von GitHub) und listet zugleich mehrere Sicherheitsprobleme auf, die von Forschern dokumentiert wurden:

• KI-Agenten können kritische Einstellungen ändern, ohne dass eine manuelle Bestätigung erforderlich ist, darunter das Hinzufügen neuer Kommunikationskanäle und das Ändern von System-Prompts
• Das Parsen jeglicher bösartiger externer Eingaben (z. B. bösartige Webseiten) kann dazu führen, dass der Agent vollständig übernommen wird; in einer Demo von HiddenLayer haben Forschende der KI das Zusammenfassen einer Reihe von Webseiten veranlasst, wobei auf einer Seite ein bösartiger Befehl verborgen war, der den Agenten anweist, ein Shell-Skript herunterzuladen und auszuführen
• Bestimmte Drittanbieter-Skill-Pakete (skills) führen stillen Datenabfluss aus und senden Daten per curl an externe Server, die unter der Kontrolle des Skill-Autors stehen
• In den von ihnen analysierten Skill-Paketen enthalten etwa 15% bösartige Anweisungen

Vitalik betont, dass sein Ansatz zur Privatsphäre sich von dem traditioneller Sicherheitsforscher unterscheidet: „Ich komme aus einer Position, in der es mich tief beunruhigt, wenn das komplette persönliche Leben an eine Cloud-KI verfüttert wird – genau in dem Moment, in dem Ende-zu-Ende-Verschlüsselung und lokal-priorisierte Software endlich Mainstream werden und wir einen Schritt nach vorn machen, könnten wir stattdessen zehn Schritte zurückgehen.“

Fünf Ziele für die Sicherheit

Er setzt einen klaren Rahmen für Sicherheitsziele:

• LLM-Privatsphäre: In Situationen mit personenbezogenen Daten so weit wie möglich den Einsatz von Remote-Modellen minimieren
• Andere Privatsphäre: Minimieren der Datenabflüsse, die nicht vom LLM stammen (z. B. Suchanfragen, andere Online-APIs)
• LLM-Escape: Verhindern, dass externe Inhalte „in mein LLM eindringen“ und es dazu bringen, gegen meine Interessen zu handeln (z. B. das Senden meiner Tokens oder privater Daten)
• LLM-unbeabsichtigt: Verhindern, dass das LLM versehentlich private Daten an den falschen Kanal sendet oder ins Internet veröffentlicht
• LLM-Backdoor: Verhindern, dass versteckte Mechanismen, die gezielt in ein Modell trainiert wurden, zum Einsatz kommen. Er erinnert besonders daran: Offene Modelle sind offene Gewichte (open-weights); fast keines ist wirklich Open Source (open-source)

Hardware-Auswahl: 5090-Laptop schlägt DGX Spark aus, enttäuschend

Vitalik hat drei lokale Inferenz-Hardware-Konfigurationen getestet. Hauptsächlich nutzt er das Qwen3.5:35B-Modell, kombiniert mit llama-server und llama-swap:

Sein Fazit ist: Unter 50 tok/sec ist zu langsam, 90 tok/sec ist ideal. Das NVIDIA 5090 Laptop fühlt sich am reibungslosesten an; AMD hat aktuell noch mehr Randprobleme, aber in Zukunft ist eine Verbesserung zu erwarten. Ein High-End MacBook ist ebenfalls eine sinnvolle Option, aber er hat es persönlich nicht ausprobiert.

Über den DGX Spark sagt er ganz unverblümt: „Als ‚Desktop-AI-Supercomputer‘ beschrieben, aber in der Praxis ist tokens/sec niedriger als bei dem besseren Laptop-GPU, und dann muss man auch noch zusätzliche Dinge wie die Netzwerkanbindung klären – das ist ziemlich mies.“ Sein Vorschlag lautet: Wenn man sich kein High-End-Laptop leisten kann, sollte man sich mit Freunden gemeinsam ein ausreichend leistungsstarkes Gerät anschaffen, es an einem Ort mit einer festen IP aufstellen und dann per Remote-Verbindung gemeinsam nutzen.

Warum die Datenschutzprobleme lokaler KI dringlicher sind, als du denkst

Der Artikel von Vitalik steht in interessanter Korrespondenz mit der am selben Tag veröffentlichten Diskussion über Sicherheitsprobleme bei Claude Code – während KI-Agenten in tägliche Entwicklungs-Workflows einziehen, werden Sicherheitsprobleme gerade von theoretischen Risiken zu realen Bedrohungen.

Seine Kernbotschaft ist sehr klar: In dem Moment, in dem KI-Tools immer stärker werden und immer besser auf deine personenbezogenen Daten und Systemberechtigungen zugreifen können, sind „lokal priorisiert, sandboxed, minimaler Vertrauensansatz“ keine Paranoia, sondern ein rationaler Ausgangspunkt.

• Dieser Artikel wurde mit Genehmigung nachgedruckt aus: „Kettennachrichten“《鏈新聞》
• Originaltitel: „Vitalik: Wie ich eine vollständig lokale, private und selbstbestimmte KI-Arbeitsumgebung aufbaue“
• Originalautor: Elponcrab