Vitalik Buterin von Ethereum warnt vor Sicherheitsrisiken durch KI-Agenten und teilt seinen privaten LLM-Stack

Der Mitgründer von Ethereum, Vitalik Buterin, ist vollständig von Cloud-KI-Diensten weggegangen und hat in einem diese Woche veröffentlichten Blogbeitrag sein vollständig lokal betriebenes, abgekapseltes Setup für künstliche Intelligenz (KI) detailliert beschrieben.

Kernaussagen:

• Der Mitgründer von Ethereum, Vitalik Buterin, hat im April 2026 Cloud-KI aufgegeben und Qwen3.5:35B lokal auf einem Nvidia 5090 Laptop mit 90 Tokens pro Sekunde betrieben.
• Buterin stellte fest, dass etwa 15% der KI-Agentenfähigkeiten bösartige Anweisungen enthalten, unter Berufung auf Daten der Sicherheitsfirma Hiddenlayer.
• Sein Open-Source-Messaging-Daemon setzt eine „Mensch + LLM 2-von-2“-Bestätigungsregel für alle ausgehenden Signal- und E-Mail-Aktionen gegenüber Dritten durch.

Wie Vitalik Buterin ein selbst-souveränes KI-System ohne Cloud-Zugriff betreibt

Buterin beschrieb das System als „selbst-souverän / lokal / privat / sicher“ und sagte, es sei als direkte Reaktion auf das entstanden, was er als ernste Sicherheits- und Datenschutzversäumnisse sieht, die sich im KI-Agenten-Bereich ausbreiten. Er verwies auf Forschungen, die zeigen, dass etwa 15% der Agentenfähigkeiten, also Plug-in-Tools, bösartige Anweisungen enthalten. Die Sicherheitsfirma Hiddenlayer zeigte, dass das Parsen einer einzelnen bösartigen Webseite eine Openclaw-Instanz vollständig kompromittieren konnte, sodass sie ohne das Wissen des Nutzers Shell-Skripte herunterladen und ausführen konnte.

„Ich komme aus einer Denkweise, die zutiefst beunruhigt ist, dass wir, während wir endlich einen Schritt in Richtung Datenschutz gemacht haben, indem wir Ende-zu-Ende-Verschlüsselung im Mainstream etabliert haben und immer mehr lokal-first Software nutzen, kurz davorstehen, zehn Schritte rückwärts zu machen“, schrieb Buterin.

Seine Hardware der Wahl ist ein Laptop mit einer Nvidia 5090 GPU und 24 GB Videospeicher. Beim Betrieb des Open-Weights-Modells Qwen3.5:35B von Alibaba über llama-server erreicht das Setup 90 Tokens pro Sekunde, was Buterin als Ziel für eine komfortable tägliche Nutzung bezeichnet. Er testete den AMD Ryzen AI Max Pro mit 128 GB Unified Memory, der 51 Tokens pro Sekunde erreichte, und die DGX Spark, die 60 Tokens pro Sekunde schaffte.

Er sagte, die DGX Spark, als Desktop-KI-Supercomputer vermarktet, sei angesichts ihrer Kosten und der geringeren Durchsatzrate im Vergleich zu einer guten Laptop-GPU enttäuschend. Für sein Betriebssystem wechselte Buterin von Arch Linux zu NixOS, was es Nutzern ermöglicht, ihre gesamte Systemkonfiguration in einer einzigen deklarativen Datei zu definieren. Er nutzt llama-server als Hintergrund-Daemon, der einen lokalen Port freigibt, mit dem jede Anwendung sich verbinden kann.

Claude Code, so merkte er an, könne auf eine lokale llama-server-Instanz statt auf die Server von Anthropic gerichtet werden. Abkapselung ist zentral für sein Sicherheitsmodell. Er verwendet bubblewrap, um mit einem einzigen Befehl isolierte Umgebungen von irgendeinem Verzeichnis zu erstellen. Prozesse, die innerhalb dieser Sandboxes laufen, können nur auf Dateien zugreifen, die ausdrücklich erlaubt und kontrolliert sind, sowie auf Netzwerkports, die gezielt freigegeben sind. Buterin hat einen Messaging-Daemon unter github.com/vbuterin/messaging-daemon open-source gestellt, der signal-cli und email kapselt.

Er bemerkte, dass der Daemon Nachrichten frei lesen und Nachrichten an sich selbst senden kann, ohne dass eine Bestätigung nötig ist. Jede ausgehende Nachricht an eine dritte Partei erfordert eine ausdrückliche Zustimmung durch Menschen. Er nannte das das „human + LLM 2-of-2“-Modell und sagte, dieselbe Logik gelte auch für Ethereum Wallets. Er empfahl Teams, die KI-verbundene Wallet-Tools bauen, autonome Transaktionen auf $100 pro Tag zu begrenzen und für alles darüber hinaus oder für jede Transaktion, die Calldata trägt und Daten exfiltrieren könnte, eine menschliche Bestätigung zu verlangen.

Remote Inference – nach Buterins Regeln

Für Forschungsaufgaben verglich Buterin das lokale Tool Local Deep Research mit seinem eigenen Setup, indem er das pi-Agenten-Framework mit SearXNG kombinierte, einer selbst gehosteten, datenschutzorientierten Meta-Suchmaschine. Er sagte, pi plus SearXNG lieferten bessere Antwortqualität. Er speichert einen lokalen Wikipedia-Dump von ungefähr 1 Terabyte zusammen mit technischer Dokumentation, um seine Abhängigkeit von externen Suchanfragen zu reduzieren, was er als Datenschutzleck behandelt.

Außerdem veröffentlichte er einen lokalen Audio-Transkriptions-Daemon unter github.com/vbuterin/stt-daemon. Das Tool läuft ohne GPU für den grundlegenden Gebrauch und speist die Ausgabe in das LLM ein, um es zur Korrektur und Zusammenfassung zu verarbeiten. Bei der Ethereum-Integration sagte Buterin, KI-Agenten sollten niemals uneingeschränkten Wallet-Zugriff besitzen. Er empfahl, den Menschen und das LLM als zwei getrennte Bestätigungsfaktoren zu behandeln, die jeweils unterschiedliche Fehlerarten abfangen.

Für Fälle, in denen lokale Modelle nicht ausreichen, skizzierte Buterin einen datenschutzfreundlichen Ansatz für Remote Inference. Er verwies auf seinen eigenen ZK-API-Vorschlag mit dem Forscher Davide, auf das Openanonymity-Projekt und auf die Verwendung von Mixnets, um zu verhindern, dass Server aufeinanderfolgende Anfragen anhand der IP-Adresse verknüpfen. Er nannte außerdem Trusted-Execution-Environments als Möglichkeit, Datenlecks durch Remote Inference kurzfristig zu reduzieren, und merkte zugleich an, dass vollständig homomorphe Verschlüsselung für Private-Cloud-Inference heute noch zu langsam ist, um praktisch zu sein.

Buterin schloss mit dem Hinweis, dass der Beitrag einen Startpunkt beschreibt, kein fertiges Produkt, und warnte Leser davor, seine exakten Tools zu kopieren und davon auszugehen, dass sie sicher sind.