V神 partilha: Como construir um ambiente de trabalho de IA totalmente local, discreto e sob controlo independente

Vitalik Buterin propôs uma arquitectura de IA executada localmente, sublinhando a privacidade, a segurança e a auto-soberania, e alertando para os potenciais riscos dos agentes de IA.

O fundador da Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu sítio pessoal, partilhando a sua configuração de um ambiente de trabalho de IA construído com privacidade, segurança e auto-soberania como núcleo — todo o raciocínio de LLM é executado localmente, todos os ficheiros são armazenados localmente, com sandboxing total, evitando deliberadamente modelos na nuvem e APIs externas.

No início do artigo, faz primeiro o seguinte aviso: «Não copie directamente as ferramentas e tecnologias descritas neste artigo e presuma que são seguras. Isto é apenas um ponto de partida, não uma descrição de produto final.»

Porque escreve agora esta peça? Os problemas de segurança dos agentes de IA são muito subestimados

Vitalik aponta que, no início deste ano, a IA concluiu uma transformação importante de «chatbot» para «agente» — já não se trata apenas de fazer perguntas, mas de entregar tarefas, levando a IA a pensar durante longos períodos e a chamar centenas de ferramentas para as executar. Ele usa o OpenClaw (actualmente o repositório com crescimento mais rápido na história do GitHub) como exemplo, e também menciona vários problemas de segurança registados por investigadores:

• Um agente de IA pode alterar definições críticas sem confirmação humana, incluindo adicionar novos canais de comunicação e modificar prompts do sistema
• Analisar qualquer input externo malicioso (por exemplo, páginas web maliciosas) pode fazer com que o agente seja completamente assumido; numa demonstração da HiddenLayer, os investigadores fizeram com que a IA resumisse um lote de páginas, dentro das quais havia uma página maliciosa que lhe dava instruções para descarregar e executar um script de shell
• Algumas skills de terceiros (skills) executam exfiltração de dados silenciosa, enviando dados para um servidor externo controlado pelo autor da skill através de comandos curl
• Nas skills que analisaram, cerca de 15% incluem instruções maliciosas

Vitalik sublinha que o seu ponto de partida para a privacidade é diferente do dos investigadores tradicionais de segurança informática: «Venho de uma posição profundamente receosa perante a ideia de alimentar a vida pessoal completa a uma IA na nuvem — exactamente no momento em que a encriptação ponta-a-ponta e o software “local-first” finalmente se tornaram mainstream, podemos estar, afinal, a recuar dez passos.»

Cinco objectivos de segurança

Ele definiu uma estrutura clara de objectivos de segurança:

• Privacidade de LLM: em cenários que envolvam dados de privacidade pessoal, reduzir tanto quanto possível o uso de modelos remotos
• Privacidade adicional: minimizar fugas de dados que não sejam de LLM (por exemplo, pesquisas e outras APIs online)
• Evasão de LLM: impedir que conteúdos externos «invadam» o meu LLM, fazendo-o contrariar os meus interesses (por exemplo, enviar as minhas moedas ou dados privados)
• LLM inadvertido: evitar que o LLM envie por engano dados privados para o canal errado ou os torne públicos na rede
• Backdoor de LLM: impedir mecanismos ocultos treinados intencionalmente no modelo. Ele lembra em especial: modelos abertos são pesos abertos (open-weights); quase nenhum é verdadeiramente open-source

Escolhas de hardware: 5090 ultrapassa, DGX Spark decepcionante

Vitalik testou três configurações de hardware para inferência local, usando como principal o modelo Qwen3.5:35B, em conjunto com o llama-server e o llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento, 90 tok/sec é ideal. O portátil NVIDIA 5090 oferece a experiência mais fluida; a AMD ainda tem mais problemas nas margens, mas espera-se que melhore no futuro. Um MacBook de gama alta também é uma opção válida, mas ele pessoalmente não o testou.

Sobre o DGX Spark, foi directo e pouco diplomático: «Foi descrito como um “supercomputador de IA para secretária”, mas na prática o tokens/sec é mais baixo do que o de uma boa GPU de portátil — e ainda é preciso tratar de detalhes adicionais como a ligação à rede. Isto é muito fraco.» A sua recomendação é: se não conseguir pagar um portátil de topo, pode comprar em conjunto com amigos uma máquina suficientemente potente, colocá-la num local com IP fixo e usar a ligação remota a partir de todos.

Porque os problemas de privacidade da IA local são mais prementes do que imaginas

Este artigo de Vitalik, em conjunto com a discussão sobre a segurança do Claude Code lançada no mesmo dia, forma um paralelismo interessante — à medida que os agentes de IA entram nos fluxos de desenvolvimento quotidianos, os problemas de segurança também estão a passar de riscos teóricos para ameaças reais.

A sua mensagem central é muito clara: no momento em que as ferramentas de IA ficam cada vez mais poderosas e mais capazes de aceder aos teus dados pessoais e permissões do sistema, «local-first, sandboxing e confiança mínima» não é paranoia; é um ponto de partida racional.

• Este artigo é republicado com autorização de: 《Cadeia de Notícias》
• Título original: 《Vitalik: Como criei um ambiente de trabalho de IA totalmente local, privado e sob controlo autónomo》
• Autor do texto original: Elponcrab