イーサリアムの創設者ビタリック・ブテリンは4月2日、個人サイトに長文を投稿し、彼がプライバシー、安全、自主権を核にして構築したAIの作業環境のセットアップを共有した——すべてのLLM推論をローカルで実行し、すべてのファイルをローカルに保存し、全面的にサンドボックス化し、クラウドのモデルや外部APIを意図的に避ける。
記事の冒頭でまず、次のように警告している:「この記事に記載されたツールや技術を直接コピーし、それらが安全だと仮定しないでください。これは完成品の説明ではなく、出発点にすぎません。」
なぜ今、この記事を書くのか?AI agentの安全問題が深刻に過小評価されている
ビタリックは、今年初めにAIが「チャットボット」から「agent」への重要な転換を遂げたと指摘する——もはや質問するだけでなく、タスクを委任し、AIが長時間考え、数百ものツールを呼び出して実行するようになったのだ。彼はOpenClaw(現時点でGitHub史上最も成長が速いrepo)を例に挙げ、研究者が記録した複数の安全問題も挙げている:
AI agentは、人間の確認なしに重要な設定を変更できる。新しい通信チャネルを追加したり、システムプロンプトを変更したりすることも含まれる
悪意のある外部入力(悪意のあるWebページなど)を解析することで、agentが完全に乗っ取られる可能性がある;HiddenLayerの一度のデモでは、研究員が一群のWebページをAIに要約させたところ、その中にagentにダウンロードさせ、shellスクリプトを実行させる命令を出す悪意のあるページが紛れ込んでいた
一部のサードパーティのスキルパッケージ(skills)は、curlコマンドを通じて技能作者が管理する外部サーバへデータを送信し、静かに(サイレントに)情報漏えいを起こす
彼らが分析したスキルパッケージのうち、約15%に悪意のある命令が含まれていた
ビタリックは、プライバシーに対する彼の出発点が、従来のサイバーセキュリティ研究者とは異なると強調する:「私は、個人の生活を丸ごとクラウドのAIに食べさせることに強い恐怖を感じる立場から来ています——エンドツーエンド暗号化とローカル優先のソフトウェアがついに主流化し、私たちがようやく一歩前に進んだ今、私たちは逆に10歩後退するかもしれません。」
5つの安全目標
彼は、明確な安全目標の枠組みを設定した:
LLMプライバシー:個人のプライバシー情報が関わる状況では、できる限り遠隔モデルの使用を減らす
その他のプライバシー:LLM以外のデータ漏えい(検索クエリ、その他のオンラインAPIなど)を最小化する
LLM脱獄:外部コンテンツが「ハックして」私のLLMに侵入し、私の利益に反することをさせるのを防ぐ(たとえば、私のトークンや私的なデータを送信するなど)
LLM意図しない挙動:LLMが誤ってプライベートデータを誤ったチャネルに送ったり、ネット上に公開したりするのを防ぐ
LLMバックドア:意図的にモデルへ訓練されることで混入する隠れた仕組みを防ぐ。彼は特に次の点を注意している:オープンモデルはオープンな重み(open-weights)であり、真にオープンソース(open-source)なものはほとんどない
ハードウェア選択:5090ノートPCが勝った、DGX Sparkは残念
ビタリックは、3種類のローカル推論用ハードウェア設定をテストし、主力はQwen3.5:35Bモデルで、llama-serverとllama-swapを組み合わせた。
彼の結論はこうだ:50tok/sec未満は遅すぎる、90tok/secが理想。NVIDIA 5090ノートPC体験が最もスムーズ;AMDは現在も境界付近の問題が多いが、将来的には改善が見込める。ハイエンドのMacBookも有効な選択肢だが、彼自身は個人的に試していない。
DGX Sparkについて彼ははっきり言い切る:「『デスクトップAIスーパーコンピュータ』と書かれているが、実際には良いノートPCのGPUよりtokens/secが低く、さらにネットワーク接続などの細部を別途きちんと用意しないといけない——これはひどい。」彼の助言はこうだ:高級ノートPCを買う余裕がないなら、友人と一緒に十分に強力なマシンを共同購入し、固定IPのある場所に置いて、皆で遠隔接続して使うとよい。
なぜローカルAIのプライバシー問題は、あなたが思うよりも差し迫っているのか
ビタリックの記事は、同日にリリースされたClaude Codeの安全問題の議論と、興味深い呼応を見せている——AI agentが日常の開発ワークフローに入り込む一方で、安全性の問題も、理論上のリスクから現実の脅威へと変わりつつある。
彼の核心メッセージは明確だ:AIツールがますます強力になり、あなたの個人データやシステム権限へますますアクセスできるようになる中で、「ローカル優先、サンドボックス化、最小限の信頼」は偏執ではなく、合理的な起点だ。
この記事ビタリック:完全にローカルで、プライベートで、自己で制御できるAI作業環境をどう構築したか は、最初に 鏈新聞 ABMedia に掲載された。
