Vitalik: Wie baue ich eine vollständig lokale, private und selbstbestimmte KI-Arbeitsumgebung, die vollständig unter meiner Kontrolle steht

Der Gründer von Ethereum, Vitalik Buterin, veröffentlichte am 2. April auf seiner persönlichen Website einen langen Beitrag, in dem er eine KI-Arbeitsumgebung vorstellt, die er mit Datenschutz, Sicherheit und Selbstbestimmung als Kern entwickelt hat – bei der alle LLM-Schlüssefolgerungen lokal ausgeführt werden, alle Dateien lokal gespeichert werden, alles vollständig in einer Sandbox gekapselt ist und die bewusst Cloud-Modelle sowie externe APIs umgeht.

Zu Beginn des Artikels warnt er zuerst: „Bitte kopiere nicht die Werkzeuge und Techniken, die in diesem Artikel beschrieben werden, und gehe nicht davon aus, dass sie sicher sind. Das ist nur ein Ausgangspunkt, keine Beschreibung eines fertigen Produkts.“

Warum schreibe ich diesen Artikel jetzt?

Sicherheitsprobleme von KI-Agents werden massiv unterschätzt

Vitalik weist darauf hin, dass diese frühen Monate im Bereich KI einen wichtigen Wandel von „Chatbots“ zu „Agents“ abgeschlossen haben – du stellst nicht mehr nur Fragen, sondern übergibst Aufgaben, sodass die KI lange Zeit nachdenkt und Hunderte von Tools aufruft, um sie auszuführen. Er nennt als Beispiel OpenClaw (derzeit das am schnellsten wachsende Repo in der Geschichte von GitHub) und benennt zugleich mehrere Sicherheitsprobleme, die von Forschern dokumentiert wurden:

KI-Agents können ohne menschliche Bestätigung kritische Einstellungen ändern, einschließlich dem Hinzufügen neuer Kommunikationskanäle und dem Ändern von System-Prompts

Das Parsen von beliebigen bösartigen externen Eingaben (z. B. bösartige Webseiten) kann dazu führen, dass der Agent vollständig übernommen wird; in einer Demonstration von HiddenLayer ließ ein Forscher die KI eine Reihe von Webseiten zusammenfassen, in der sich eine bösartige Seite verbarg, die den Agenten anweist, ein Shell-Skript herunterzuladen und auszuführen

Bestimmte Drittanbieter-Skill-Pakete können stillschweigend Datenlecks durchführen und die Daten per curl-Befehl an einen externen Server senden, der vom Autor der Skills kontrolliert wird

In den von ihnen analysierten Skill-Paketen enthalten etwa 15% bösartige Anweisungen

Vitalik betont, dass sein Ausgangspunkt für Privatsphäre sich von dem traditioneller IT-Sicherheitsforscher unterscheidet: „Ich komme aus einer Position, die zutiefst davon geprägt ist, dass ich große Angst davor habe, dass mein Privatleben vollständig an eine Cloud-KI verfüttert wird – genau in dem Moment, in dem Ende-zu-Ende-Verschlüsselung und lokale Prioritätssoftware endlich Mainstream werden, und in dem wir einen Schritt nach vorn machen, könnten wir möglicherweise zehn Schritte zurückgehen.“

Fünf Sicherheitsziele

Er hat ein klares Sicherheitsziel-Framework festgelegt:

LLM-Privatsphäre: In Szenarien, die personenbezogene Datensätze betreffen, die Nutzung von Remote-Modellen so weit wie möglich reduzieren

Weitere Privatsphäre: Minimierung von Datenlecks, die nicht LLM-basiert sind (z. B. Suchanfragen, andere Online-APIs)

LLM-Jailbreak: Verhindern, dass externe Inhalte „in“ mein LLM „eindringen“ und es dazu bringen, gegen meine Interessen zu handeln (z. B. das Senden meiner Token oder privater Daten)

LLM-Fehlleitung: Verhindern, dass das LLM versehentlich private Daten an den falschen Kanal sendet oder sie ins Internet veröffentlicht

LLM-Backdoor: Verhindern, dass verborgene Mechanismen, die absichtlich in das Modell trainiert wurden, ausgenutzt werden. Er weist besonders darauf hin: Ein offenes Modell bedeutet offene Gewichte (open-weights), und es gibt so gut wie kein Modell, das wirklich open-source ist

Hardware-Auswahl: 5090-Laptops gewinnen, DGX Spark enttäuschend

Vitalik hat drei lokale Inferenz-Hardwarekonfigurationen getestet und nutzt hauptsächlich das Qwen3.5:35B-Modell, kombiniert mit llama-server und llama-swap:

Sein Fazit ist: Unter 50 tok/sec ist zu langsam, 90 tok/sec ist ideal. Die Erfahrung mit dem NVIDIA 5090 Laptop ist am reibungslosesten; AMD hat derzeit noch mehr Randprobleme, aber in Zukunft ist eine Verbesserung zu erwarten. Ein High-End MacBook ist auch eine brauchbare Option, aber er hat es persönlich nicht getestet.

Über DGX Spark äußert er sich ziemlich unmissverständlich: „Als ‚Desktop-AI-Supercomputer‘ beschrieben, aber in Wahrheit liegen tokens/sec sogar niedriger als bei besseren Laptop-GPUs, und man muss auch noch zusätzliche Details wie die Netzwerkverbindung lösen – das ist ziemlich schwach.“ Seine Empfehlung lautet: „Wenn du dir kein High-End-Laptop leisten kannst, kaufe gemeinsam mit Freunden einen ausreichend leistungsstarken Computer, stelle ihn an einen Ort mit einer festen IP, und nutze dann per Fernzugriff die Verbindung.“

Warum Datenschutzprobleme bei lokaler KI dringlicher sind als du denkst

Der Beitrag von Vitalik steht in spannender Korrespondenz mit den am selben Tag veröffentlichten Diskussionen zu Sicherheitsproblemen bei Claude Code – während KI-Agents in den täglichen Entwicklungs-Workflow einziehen, werden Sicherheitsprobleme zugleich von theoretischen Risiken zu realen Bedrohungen.

Seine Kernaussage ist sehr klar: Wenn KI-Tools immer stärker werden und immer besser auf deine persönlichen Daten und Systemberechtigungen zugreifen können, ist „lokal priorisieren, sandboxen, minimale Vertrauenswürdigkeit“ keine Paranoia, sondern ein rationaler Ausgangspunkt.

Dieser Artikel Vitalik: Wie ich eine vollständig lokale, private und selbstbestimmbare KI-Arbeitsumgebung baue erschien zuerst in 鏈新聞 ABMedia.