イーサリアムのヴィタリック・ブテリン、AIエージェントのセキュリティリスクに警鐘を鳴らし、彼のプライベートなLLMスタックを共有

イーサリアムの共同創業者ヴィタリック・ブテリンはクラウドAIサービスから完全に離脱し、今週公開されたブログ記事で、完全にローカルでサンドボックス化された人工知能（AI）セットアップの詳細を明かしました。

要点：

• イーサリアムの共同創業者ヴィタリック・ブテリンは2026年4月にクラウドAIをやめ、Nvidia 5090のノートPCでQwen3.5:35Bをローカル実行し、毎秒90トークンで動かしています。
• ブテリンは、AIエージェントのスキルのうちおよそ15%に悪意のある指示が含まれていることを見つけ、セキュリティ企業Hiddenlayerのデータを引用しました。
• ブテリンがオープンソースで公開したメッセージング・デーモンは、外部の第三者へのすべての送信（Signalおよびメール）のために、人間＋LLMの2-of-2確認ルールを強制します。

ヴィタリック・ブテリンがクラウドにアクセスせず自己主権型のAIシステムを運用する方法

ブテリンは、そのシステムを「自己主権 / ローカル / プライベート / セキュア」と表現し、AIエージェントの領域に広がっていると彼が見ている重大なセキュリティとプライバシーの失敗への直接の対応として構築されたと述べました。彼は、エージェントのスキル、つまりプラグイン・ツールのうちおよそ15%が悪意のある指示を含むことを示す研究に言及しました。セキュリティ企業Hiddenlayerは、単一の悪意のあるWebページの解析だけでOpenclawのインスタンスを完全に侵害し、ユーザーの認識なしにシェルスクリプトをダウンロードして実行できることを示しました。

「私は、エンドツーエンド暗号化の主流化や、ますますローカル・ファーストなソフトウェアが普及することで、ようやくプライバシーに向けた前進が実現したかのように見えたその時点から、後退を10歩も行ってしまいかねないことに、深く怖れているというマインドセットを持っています」とブテリンは書きました。

彼の選んだハードウェアは、Nvidia 5090 GPUを搭載したノートPCで、ビデオメモリは24 GBです。Alibabaから入手したオープンウェイトのQwen3.5:35Bモデルをllama-server経由で動かすと、毎秒90トークンに到達し、ブテリンは快適な日常使用のための目標だと呼んでいます。128 GBのユニファイドメモリを備えたAMD Ryzen AI Max Proも試し、毎秒51トークンでした。また、DGX Sparkでは毎秒60トークンに到達しました。

「デスクトップAIスーパコンピューター」として売り出されているDGX Sparkは、コストの割に、良いノートPC用GPUと比べてスループットが低く、印象に乏しかったと彼は述べています。OSについてブテリンは、Arch LinuxからNixOSへ切り替えました。NixOSは、ユーザーが宣言的な1つの設定ファイルでシステム全体の構成を定義できる仕組みです。彼は、どのアプリケーションでも接続できるローカルポートを公開する、バックグラウンドのデーモンとしてllama-serverを使っています。

Claude Codeは、Anthropicのサーバーではなく、ローカルのllama-serverインスタンスを指す形で構成できると彼は指摘しました。サンドボックスは、彼のセキュリティモデルの中心です。彼はbubblewrapを使い、単一のコマンドで任意のディレクトリから隔離された環境を作成します。これらのサンドボックス内で動作するプロセスは、明示的に許可され、制御されたネットワークポートと、許可されたファイルにのみアクセスできます。ブテリンは、github.com/vbuterin/messaging-daemonで、signal-cliとemailを包み込むメッセージング・デーモンをオープンソース化しました。

彼は、そのデーモンが確認なしでメッセージを自由に読み取り、自分宛てにメッセージを送信できると述べました。第三者に対する送信はすべて、人間による明示的な承認が必要です。彼はこれを「人間＋LLMの2-of-2」モデルと呼び、同じロジックがイーサリアムのウォレットにも適用されると言いました。彼は、AI接続されたウォレットツールを構築するチームに対し、自律的なトランザクションを1日$100に上限設定し、さらにそれを超える場合や、データを持ち出してしまう可能性のあるcalldataを伴うトランザクションについては、人間の確認を要求するよう助言しました。

リモート推論：ブテリンの条件のもとで

研究タスクでは、ブテリンはローカルツールのLocal Deep Researchを、piエージェントのフレームワークと組み合わせた自身のセットアップ（SearXNG）と比較しました。SearXNGはプライバシー重視の自己ホスト型メタ検索エンジンです。彼は、pi＋SearXNGがより良い品質の回答を生み出したと言いました。外部の検索クエリへの依存を減らすため、彼は約1テラバイトのローカルWikipediaのダンプと技術ドキュメントを保存しており、これをプライバシー漏えいだとみなしています。

また、彼はローカルの音声文字起こしデーモンをgithub.com/vbuterin/stt-daemonで公開しました。このツールは基本的な用途ならGPUなしで動作し、出力をLLMに渡して訂正と要約を行います。イーサリアム統合についてブテリンは、AIエージェントは決して無制限のウォレットアクセスを保持すべきではないと述べました。彼は、人間とLLMを、それぞれ異なる失敗モードを捕捉する2つの別個の確認要因として扱うことを推奨しました。

ローカルモデルでは不十分な場合に備え、ブテリンはプライバシーを保護するリモート推論のアプローチを概説しました。彼は、研究者のDavideとともに自身が提案するZK-API、Openanonymityプロジェクト、そしてサーバーがIPアドレスによって連続するリクエストを紐づけられないようにするミックスネットの利用に言及しました。加えて、近い将来においてリモート推論からのデータ漏えいを減らす手段として、信頼された実行環境（TEE）も挙げました。一方で、プライベートクラウド推論のための完全準同型暗号は、現時点では実用的であるには遅すぎるとも述べています。

ブテリンは最後に、この投稿は出発点であり完成品ではないと注記し、読者に対して、彼の正確なツールをそのままコピーして、それらが安全だと仮定しないよう警告しました。