V God teilt mit: Wie ich eine vollständig lokale, private und selbstbestimmte KI-Arbeitsumgebung aufbaue

Vitalik Buterin bringt eine Architektur für lokal ausgeführtes KI-Setup vor, mit dem Schwerpunkt auf Privatsphäre, Sicherheit und Selbstbestimmung, und warnt vor potenziellen Risiken von KI-Agenten.

Der Mitgründer von Ethereum, Vitalik Buterin, veröffentlichte am 2. April einen langen Beitrag auf seiner persönlichen Website und teilte dort sein KI-Arbeitsumfeld mit, das er mit Privatsphäre, Sicherheit und Selbstbestimmung als Kern entworfen hat – mit der Auslegung: alle LLM-Inferenzen werden lokal ausgeführt, alle Dateien werden lokal gespeichert, alles wird umfassend in eine Sandbox verlagert; bewusst wird man Cloud-Modelle und externe APIs umgehen.

Zu Beginn des Artikels warnt er zuerst: „Bitte kopieren Sie nicht die in diesem Artikel beschriebenen Werkzeuge und Technologien und gehen Sie nicht davon aus, dass sie sicher sind. Das ist nur ein Ausgangspunkt und keine Beschreibung eines fertigen Produkts.“

Warum schreibe ich gerade jetzt darüber? Sicherheitsprobleme bei KI-Agenten werden massiv unterschätzt

Vitalik weist darauf hin, dass diese frühen Voraussetzungen im vergangenen Jahr eine wichtige Umstellung von „Chatbots“ zu „Agenten“ abgeschlossen haben: du stellst nicht mehr nur Fragen, sondern übergibst Aufgaben, sodass die KI lange nachdenkt und Hunderte von Tools aufruft, um die Ausführung zu erledigen. Er nennt als Beispiel OpenClaw (derzeit das am schnellsten wachsende Repo in der GitHub-Geschichte) und führt dabei mehrere Sicherheitsprobleme an, die von Forschern dokumentiert wurden:

• KI-Agenten können wichtige Einstellungen ändern, ohne dass eine manuelle Bestätigung erforderlich ist, einschließlich dem Hinzufügen neuer Kommunikationskanäle und dem Ändern von System-Prompts
• Das Verarbeiten jeglicher bösartiger externer Eingaben (z. B. bösartige Webseiten) kann dazu führen, dass der Agent vollständig übernommen wird; in einer Demonstration von HiddenLayer ließ ein Forscher die KI eine Reihe von Webseiten zusammenfassen, in denen eine bösartige Seite verborgen war, die den Agenten dazu bringt, ein Shell-Skript herunterzuladen und auszuführen
• Bestimmte Drittanbieter-Skill-Pakete (skills) führen einen stillen Datenabfluss aus und senden Daten über Curl-Befehle an einen externen Server, der vom Autor der Skills kontrolliert wird
• In den von ihnen analysierten Skill-Paketen enthielten etwa 15% bösartige Befehle

Vitalik betont, dass sein Ansatz für Privatsphäre sich von dem traditioneller Security-Forscher unterscheidet: „Ich komme aus einer Position, die tief davon geprägt ist, dass es mich zutiefst erschreckt, wenn persönliches Leben vollständig an Cloud-KI eingespeist wird – gerade in dem Moment, in dem Ende-zu-Ende-Verschlüsselung und lokal priorisierte Software endlich Mainstream werden und wir einen Schritt nach vorn machen, könnten wir stattdessen zehn Schritte zurückgehen.“

Fünf Sicherheitsziele

Er hat einen klaren Rahmen für Sicherheitsziele festgelegt:

• LLM-Privatsphäre: In Situationen, die personenbezogene Daten betreffen, so wenig wie möglich Remote-Modelle verwenden
• Weitere Privatsphäre: Minimierung von Datenlecks außerhalb der LLMs (z. B. Suchanfragen, andere Online-APIs)
• LLM-Jailbreak: Verhindern, dass externe Inhalte „in“ mein LLM eindringen, sodass es gegen meine Interessen arbeitet (z. B. das Senden meiner Tokens oder privater Daten)
• LLM-Unfall: Verhindern, dass ein LLM versehentlich private Daten an den falschen Kanal sendet oder ins Netz öffentlich macht
• LLM-Backdoor: Verhindern, dass versteckte Mechanismen gezielt in das Modell trainiert werden. Er erinnert besonders daran: Offene Modelle sind offene Gewichte (open-weights); fast keines ist wirklich Open Source (open-source)

Hardware-Auswahl: 5090-Notebooks gewinnen, DGX Spark enttäuschend

Vitalik hat drei lokale Inferenz-Hardwarekonfigurationen getestet. Sein Hauptaugenmerk liegt auf dem Qwen3.5:35B-Modell, kombiniert mit llama-server und llama-swap:

Sein Fazit: Unter 50 tok/sec ist zu langsam, 90 tok/sec sind ideal. Das NVIDIA 5090 Notebook fühlt sich am flüssigsten an; AMD hat aktuell noch mehr Randprobleme, aber in Zukunft ist eine Verbesserung zu erwarten. Ein High-End MacBook ist ebenfalls eine wirksame Option, nur hat er es persönlich nicht ausprobiert.

Über den DGX Spark sagte er ganz unverblümt: „Als ‚Desktop-AI-Supercomputer‘ beschrieben, aber in Wirklichkeit ist tokens/sec niedriger als bei den besseren Notebook-GPUs – und dann muss man zusätzlich noch Details wie die Netzwerkanbindung lösen. Das ist sehr schwach.“ Seine Empfehlung lautet: Wenn man sich kein High-End-Notebook leisten kann, sollte man sich gemeinsam mit Freunden eine ausreichend leistungsstarke Maschine anschaffen, sie an einen Ort mit fester IP stellen und dann per Remote-Verbindung von allen darauf zugreifen.

Warum die Privatsphäre-Probleme bei lokaler KI dringlicher sind, als du denkst

Vitaliks Artikel korrespondiert auf interessante Weise mit der am selben Tag veröffentlichten Diskussion über Sicherheitsprobleme bei Claude Code – während KI-Agenten in den täglichen Entwicklungs-Workflow Einzug halten, werden Sicherheitsprobleme zunehmend von theoretischen Risiken zu realen Bedrohungen.

Seine Kernaussage ist sehr klar: Wenn KI-Tools immer stärker werden und immer mehr auf deine persönlichen Daten und Systemberechtigungen zugreifen können, dann sind „local-first, sandboxed, minimales Vertrauen“ kein Paranoia – sondern ein rationaler Ausgangspunkt.

• Dieser Artikel wurde mit Genehmigung nachgedruckt aus: „链新闻“
• Originaltitel: „Vitalik: Wie ich ein vollständig lokales, privates und selbstbestimmtes KI-Arbeitsumfeld baue“
• Originalautor: Elponcrab