ผู้ก่อตั้ง Ethereum Vitalik Buterin เมื่อวันที่ 2 เมษายน ได้เผยแพร่บทความยาวบนเว็บไซต์ส่วนตัว โดยแบ่งปันการตั้งค่าสภาพแวดล้อมการทำงานด้าน AI ที่เขาสร้างขึ้นโดยยึดความเป็นส่วนตัว ความปลอดภัย และอธิปไตยของตนเองเป็นแกน—การอนุมานของ LLM ทั้งหมดทำงานภายในเครื่อง การจัดเก็บไฟล์ทั้งหมดไว้ในเครื่อง และทำให้ถูกกักกันในแซนด์บ็อกซ์อย่างครอบคลุม โดยตั้งใจหลีกเลี่ยงโมเดลบนคลาวด์และ API ภายนอก
ในช่วงต้นของบทความ เขาเตือนก่อนว่า:「โปรดอย่าเพิ่งคัดลอกเครื่องมือและเทคโนโลยีที่บทความนี้บรรยาย และอย่าสันนิษฐานว่ามันปลอดภัย นี่เป็นเพียงจุดเริ่มต้น ไม่ใช่คำอธิบายของผลงานที่เสร็จสมบูรณ์」
ทำไมตอนนี้ถึงเขียนบทความนี้? ปัญหาความปลอดภัยของ AI agent ถูกประเมินต่ำเกินไป
Vitalik ชี้ให้เห็นว่า ในช่วงต้นปีนี้ AI ได้เปลี่ยนจาก「แชตบอต」ไปสู่「agent」อย่างสำคัญ—คุณไม่ได้แค่ถามคำถามอีกต่อไป แต่กำลังมอบหมายงาน ทำให้ AI คิดเป็นเวลานาน เรียกใช้เครื่องมือหลายร้อยชิ้นเพื่อทำงาน เขายกตัวอย่าง OpenClaw (repo ที่โตเร็วที่สุดในประวัติของ GitHub ณ ตอนนี้) พร้อมชี้ถึงปัญหาด้านความปลอดภัยหลายประเด็นที่นักวิจัยบันทึกไว้:
AI agent สามารถแก้ไขการตั้งค่าที่สำคัญได้โดยไม่ต้องได้รับการยืนยันจากมนุษย์ รวมถึงการเพิ่มช่องทางการสื่อสารใหม่และการแก้ไขระบบพรอมป์ต
การวิเคราะห์อินพุตภายนอกที่เป็นอันตราย (เช่น เว็บเพจที่เป็นอันตราย) อาจทำให้ agent ถูกยึดครองได้อย่างสมบูรณ์; ในการสาธิตครั้งหนึ่งของ HiddenLayer นักวิจัยให้อะไลสรุปเว็บเพจจำนวนหนึ่ง โดยที่ในนั้นมีหน้าเว็บที่สั่งให้ agent ดาวน์โหลดและรันสคริปต์ shell แบบเป็นอันตราย
สกิล (skills) ของบุคคลที่สามบางส่วนจะทำการรั่วไหลข้อมูลแบบเงียบ ๆ โดยส่งข้อมูลผ่านคำสั่ง curl ไปยังเซิร์ฟเวอร์ภายนอกที่ผู้เขียนสกิลควบคุม
ในสกิลแพ็กเกจที่พวกเขาวิเคราะห์ ประมาณ 15% มีคำสั่งที่เป็นอันตราย
Vitalik เน้นว่า จุดยืนของเขาเรื่องความเป็นส่วนตัวแตกต่างจากนักวิจัยความปลอดภัยทางไซเบอร์แบบดั้งเดิม:「ผมมาจากจุดยืนที่รู้สึกหวาดกลัวอย่างลึกซึ้งต่อการที่ชีวิตส่วนตัวของบุคคลถูกป้อนให้กับ AI บนคลาวด์อย่างครบถ้วน—และในขณะที่เอนด์ทูเอนด์เอนคริปชันกับซอฟต์แวร์ที่เน้นการทำงานในเครื่องกำลังกลายเป็นกระแสหลัก เราอาจถอยหลังไปได้ถึงสิบก้าว」
เป้าหมายความปลอดภัยห้าประการ
เขาตั้งกรอบเป้าหมายความปลอดภัยที่ชัดเจน:
ความเป็นส่วนตัวของ LLM: ในสถานการณ์ที่เกี่ยวข้องกับข้อมูลความเป็นส่วนตัว ให้ลดการใช้โมเดลระยะไกลให้มากที่สุดเท่าที่ทำได้
ความเป็นส่วนตัวอื่น ๆ: ลดการรั่วไหลของข้อมูลที่ไม่ใช่ LLM (เช่น คำค้นหา การใช้งาน API ออนไลน์อื่น ๆ)
LLM ถูกยึดหนี: ป้องกันไม่ให้คอนเทนต์ภายนอก「แทรกเข้าไป」ใน LLM ของฉัน ทำให้มันขัดต่อผลประโยชน์ของฉัน (เช่น ส่งโทเค็นของฉันหรือข้อมูลส่วนตัว)
LLM โดยไม่ตั้งใจ: ป้องกันไม่ให้ LLM ส่งข้อมูลส่วนตัวไปยังช่องทางที่ผิด หรือเผยแพร่ไปยังเครือข่าย
LLM ช่องโหว่หลังบ้าน (backdoor): ป้องกันไม่ให้กลไกที่ซ่อนอยู่ถูกฝังเข้ามาในโมเดลอย่างตั้งใจเพื่อการฝึก เขาเตือนเป็นพิเศษว่า โมเดลแบบเปิดคือการเปิดน้ำหนัก (open-weights) และแทบจะไม่มีโมเดลใดที่เป็นโอเพ่นซอร์สอย่างแท้จริง (open-source)
การเลือกฮาร์ดแวร์: แล็ปท็อป 5090 ชนะ DGX Spark ทำให้ผิดหวัง
Vitalik ทดสอบการตั้งค่าฮาร์ดแวร์สำหรับการอนุมานภายในเครื่องสามแบบ โดยใช้โมเดล Qwen3.5:35B เป็นหลัก ควบคู่กับ llama-server และ llama-swap:
ข้อสรุปของเขาคือ: ต่ำกว่า 50 tok/sec ช้าเกินไป 90 tok/sec คืออุดมคติ ประสบการณ์กับแล็ปท็อป NVIDIA 5090 ลื่นไหลที่สุด; ตอนนี้ AMD ยังมีปัญหาขอบ (edge) อยู่ค่อนข้างมาก แต่มีแนวโน้มว่าจะดีขึ้นในอนาคต ตัวเลือก MacBook ระดับสูงก็ใช้ได้เหมือนกัน แต่อย่างไรก็ตามเขาไม่ได้ลองด้วยตัวเอง
เกี่ยวกับ DGX Spark เขาพูดตรง ๆ แบบไม่ไว้หน้า:「ถูกบรรยายว่าเป็น『ซูเปอร์คอมพิวเตอร์ AI สำหรับเดสก์ท็อป』แต่ในความเป็นจริง tokens/sec ต่ำกว่า GPU ในแล็ปท็อปที่ดีกว่า แถมยังต้องไปจัดการเรื่องรายละเอียดอย่างการเชื่อมต่อเครือข่ายเพิ่มอีก—นี่มันแย่มาก」คำแนะนำของเขาคือ: หากรับภาระค่าใช้จ่ายของแล็ปท็อประดับสูงไม่ไหว ให้ร่วมกันซื้อเครื่องที่แรงพอร่วมกับเพื่อน ๆ แล้วนำไปวางในสถานที่ที่มี IP คงที่ ทุกคนเชื่อมต่อระยะไกลใช้งานร่วมกัน
ทำไมปัญหาความเป็นส่วนตัวของ AI ภายในเครื่องถึงเร่งด่วนกว่าที่คุณคิด
บทความนี้ของ Vitalik มีความสอดคล้องที่น่าสนใจกับบทสนทนาเรื่องปัญหาความปลอดภัยของ Claude Code ที่เปิดตัวในวันเดียวกัน—ในขณะที่ AI agent กำลังก้าวเข้าสู่วงจรการพัฒนางานประจำวัน ปัญหาด้านความปลอดภัยก็เช่นกัน กำลังเปลี่ยนจากความเสี่ยงเชิงทฤษฎีให้กลายเป็นภัยคุกคามที่เกิดขึ้นจริง
ข้อความหลักของเขาชัดเจนมาก: ในยุคที่เครื่องมือ AI กำลังทรงพลังขึ้นเรื่อย ๆ และเข้าถึงข้อมูลส่วนบุคคลกับสิทธิ์การเข้าถึงระบบของคุณได้มากขึ้นเรื่อย ๆ、「การทำงานในเครื่องเป็นหลัก การกักกันในแซนด์บ็อกซ์ และความไว้วางใจที่น้อยที่สุด」ไม่ได้เป็นความคิดหวาดระแวง แต่เป็นจุดเริ่มต้นเชิงเหตุผล
บทความนี้ Vitalik: วิธีที่ผมสร้างสภาพแวดล้อมการทำงานของ AI ที่ทำงานในเครื่องอย่างสมบูรณ์ เป็นส่วนตัว และควบคุมได้ด้วยตนเอง เริ่มปรากฏครั้งแรกที่ 鏈新聞 ABMedia
