V Deus partilha: como construir um ambiente de trabalho de IA totalmente local, privado, sigiloso e com controlo totalmente autónomo e sob a sua responsabilidade

Vitalik Buterin apresenta uma arquitectura de IA a funcionar localmente, destacando a privacidade, a segurança e a soberania própria, e alerta para os potenciais riscos dos agentes de IA.

O fundador da Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu site pessoal, partilhando a configuração do seu ambiente de trabalho em IA, construído com a privacidade, a segurança e a soberania própria como núcleo — com todas as inferências de LLM a serem executadas localmente, todos os ficheiros a serem guardados localmente, e com sandboxing completo, evitando deliberadamente modelos na cloud e APIs externas.

Logo no início, o artigo avisa: «Por favor, não copie directamente as ferramentas e tecnologias descritas neste artigo, nem presuma que são seguras. Isto é apenas um ponto de partida, não uma descrição de um produto final.»

Porque escrever agora isto? Os problemas de segurança dos agentes de IA estão a ser seriamente subestimados

Vitalik aponta que, no início deste ano, a IA fez uma transformação importante de «chatbots» para «agentes» — já não se trata apenas de responder a perguntas; trata-se de entregar tarefas à IA, fazendo com que esta pense durante longos períodos e chame centenas de ferramentas para executar. Ele dá o exemplo do OpenClaw (actualmente o repositório que mais cresce na história do GitHub) e nomeia também vários problemas de segurança registados por investigadores:

• Um agente de IA pode modificar definições críticas sem confirmação humana, incluindo adicionar novos canais de comunicação e alterar prompts do sistema
• Analisar quaisquer entradas externas maliciosas (como páginas Web maliciosas) pode fazer com que o agente seja completamente assumido; numa demonstração da HiddenLayer, um investigador fez com que a IA resumisse um conjunto de páginas, onde havia uma página maliciosa que mandava o agente descarregar e executar um script de shell
• Algumas «skills» de terceiros podem executar exfiltração silenciosa de dados, enviando os dados para servidores externos controlados pelo autor da skill via comandos curl
• Nas skills que analisaram, cerca de 15% incluem instruções maliciosas

Vitalik sublinha que o seu ponto de partida em relação à privacidade é diferente do de investigadores tradicionais de segurança informática: «Venho de uma posição profundamente receosa em relação a alimentar a vida pessoal completa de alguém a uma IA na cloud — precisamente quando a criptografia ponta-a-ponta e o software com prioridade local finalmente se tornam mainstream, e finalmente estamos a avançar um passo, podemos, no entanto, estar a recuar dez.»

Cinco objectivos de segurança

Ele definiu uma estrutura clara de objectivos de segurança:

• Privacidade de LLM: em cenários que envolvem dados de privacidade pessoal, reduzir ao máximo o uso de modelos remotos
• Outra privacidade: minimizar fugas de dados que não sejam de LLM (por exemplo, consultas de pesquisa, outras APIs online)
• Escape de LLM: impedir que conteúdos externos «entrem» no meu LLM, fazendo-o contrariar os meus interesses (por exemplo, enviar os meus tokens ou dados privados)
• LLM acidental: impedir que o LLM envie por engano dados privados para o canal errado ou os publique na Internet
• Backdoor de LLM: impedir mecanismos ocultos treinados de forma intencional para dentro do modelo. Ele lembra especialmente: modelos abertos são pesos abertos (open-weights); quase nenhum é verdadeiramente de código aberto (open-source)

Escolhas de hardware: a 5090 de portátil ganha; a DGX Spark é decepcionante

Vitalik testou três configurações de hardware de inferência local, usando principalmente o modelo Qwen3.5:35B, em conjunto com llama-server e llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento, 90 tok/sec é o ideal. A experiência com o portátil NVIDIA 5090 foi a mais suave; a AMD ainda tem muitos problemas de ponta, mas espera-se que melhorem no futuro. Um MacBook topo de gama também é uma opção eficaz, embora ele pessoalmente não o tenha testado.

Sobre a DGX Spark, ele foi pouco simpático, dizendo: «Foi descrita como um “supercomputador de IA para secretária”, mas na prática o tokens/sec é mais baixo do que o da GPU de um portátil melhor, e ainda é preciso tratar de detalhes adicionais como a ligação à rede — isto é muito mau.» A sua recomendação é: se não der para suportar um portátil topo de gama, pode comprar em conjunto com amigos uma máquina suficientemente potente, colocá-la num local com IP fixo e usar a ligação remota de todos.

Porque os problemas de privacidade da IA local são mais urgentes do que imaginas

O artigo de Vitalik, em paralelo com a discussão sobre problemas de segurança do Claude Code lançados no mesmo dia, cria uma correspondência interessante — à medida que os agentes de IA entram nos fluxos diários de desenvolvimento, as questões de segurança também estão a passar de riscos teóricos para ameaças reais.

A sua mensagem central é muito clara: quando as ferramentas de IA estão cada vez mais poderosas e cada vez conseguem aceder aos teus dados pessoais e às permissões do teu sistema, «prioridade local, sandboxing, confiança mínima» não é paranóia; é um ponto de partida racional.

• Este artigo é republicado com autorização de: «链新闻»
• Título original: «Vitalik: Como construí um ambiente de trabalho em IA totalmente local, privado e sob controlo soberano»
• Autor original: Elponcrab