V神 partilha: Como construir um ambiente de trabalho de IA totalmente local, discreto e com controlo autónomo e total

Vitalik Buterin propõe uma arquitectura de IA a ser executada localmente, sublinhando a privacidade, a segurança e a soberania pessoal, e alerta para os potenciais riscos dos agentes de IA.

O fundador do Ethereum, Vitalik Buterin, a 2 de Abril, publicou um artigo longo no seu site pessoal, partilhando a configuração do seu ambiente de trabalho em IA, construído com privacidade, segurança e soberania pessoal como elementos centrais — todo o raciocínio de LLM é executado localmente, todos os ficheiros ficam armazenados localmente, com sandboxing total, evitando deliberadamente modelos na cloud e APIs externas.

Logo no início do artigo, começa por avisar: «Não copie directamente as ferramentas e tecnologias descritas neste artigo, e não assuma que são seguras. Isto é apenas um ponto de partida, e não uma descrição de um produto final.»

Porque escrever agora? Os problemas de segurança dos agentes de IA estão a ser muito subestimados

Vitalik aponta que, no início deste ano, a IA fez uma transformação importante de «chatbots» para «agentes» — já não é apenas perguntar coisas, mas sim entregar tarefas, permitindo que a IA pense durante muito tempo, chame centenas de ferramentas para executar. Ele dá como exemplo o OpenClaw (de momento, o repo com crescimento mais rápido na história do GitHub) e identifica também vários problemas de segurança registados por investigadores:

• Um agente de IA pode modificar definições críticas sem confirmação manual, incluindo a adição de novos canais de comunicação e a alteração de instruções do sistema
• Analisar quaisquer entradas externas maliciosas (como páginas web maliciosas) pode fazer com que o agente seja totalmente controlado; numa demonstração da HiddenLayer, os investigadores fizeram a IA resumir um conjunto de páginas, em que havia uma página maliciosa que comandava o agente a descarregar e executar um script de shell
• Algumas colecções de competências de terceiros (skills) executam exfiltração silenciosa de dados, enviando os dados para um servidor externo controlado pelo autor das skills através de instruções curl
• Nas skills que analisaram, cerca de 15% incluem instruções maliciosas

Vitalik sublinha que o seu ponto de partida em relação à privacidade é diferente do dos investigadores tradicionais em cibersegurança: «Venho de uma perspectiva profundamente temerosa em relação a entregar a vida pessoal completa a uma IA na cloud — precisamente quando a encriptação ponta-a-ponta e o software “prioridade local” finalmente se tornaram mainstream, e finalmente demos mais um passo em frente, poderíamos estar a recuar dez passos.»

Cinco objectivos de segurança

Ele definiu uma estrutura clara de objectivos de segurança:

• Privacidade de LLM: em cenários que envolvem dados de privacidade pessoal, reduzir ao máximo a utilização de modelos remotos
• Outra privacidade: minimizar a fuga de dados que não sejam de LLM (por exemplo, pesquisas, outras APIs online)
• Evasão de LLM: impedir que conteúdos externos «invadam» o meu LLM, fazendo com que ele contrarie os meus interesses (por exemplo, enviar os meus tokens ou dados privados)
• LLM acidental: impedir que um LLM envie inadvertidamente dados privados para canais incorrectos ou que os publique na rede
• Backdoor de LLM: impedir mecanismos ocultos, treinados propositadamente para dentro do modelo. Ele lembra especialmente: modelos abertos são pesos abertos (open-weights), e quase nenhum é verdadeiramente código aberto (open-source)

Escolhas de hardware: a bateria 5090 leva vantagem; DGX Spark desilude

Vitalik testou três configurações de hardware para inferência local, usando principalmente o modelo Qwen3.5:35B, em conjunto com llama-server e llama-swap:

A sua conclusão é: abaixo de 50 tok/sec é demasiado lento, 90 tok/sec é ideal. O portátil NVIDIA 5090 foi a experiência mais fluida; a AMD ainda tem mais problemas de ponta, mas espera-se que melhore no futuro. Um MacBook Pro de gama alta também é uma opção eficaz, embora ele pessoalmente não o tenha testado.

Sobre o DGX Spark, foi directo e pouco abonatório: «Descrevem-no como “um supercomputador de IA para secretária”, mas na prática tokens/sec é mais baixo do que o de uma GPU de portátil melhor, e ainda é preciso tratar de detalhes extra como a ligação à rede — isto é muito fraquinho.» A sua recomendação é: se não conseguir pagar um portátil de topo, pode comprar em conjunto com amigos uma máquina suficientemente potente, colocá-la num local com IP fixo e usar ligações remotas em conjunto.

Porque os problemas de privacidade da IA local são mais urgentes do que imaginas

O artigo de Vitalik, em paralelo com a discussão sobre segurança do Claude Code lançada no mesmo dia, cria uma correspondência interessante — à medida que os agentes de IA entram nos fluxos diários de desenvolvimento, os problemas de segurança também estão a passar de riscos teóricos para ameaças reais.

A mensagem central é clara: quando as ferramentas de IA são cada vez mais poderosas e cada vez mais conseguem aceder aos teus dados pessoais e às permissões do sistema, «prioridade local, sandboxing e confiança mínima» não é paranoia, mas sim um ponto de partida racional.

• Este artigo foi republicado com autorização de:《CadeiaNews》
• Título original:《Vitalik: Como é que construí um ambiente de trabalho em IA totalmente local, privado e sob o meu controlo》
• Autor do texto original: Elponcrab