Vitalik: Tôi làm thế nào để xây dựng một môi trường làm việc AI hoàn toàn cục bộ, riêng tư và tự chủ, có thể kiểm soát hoàn toàn

Vitalik Buterin, sáng lập Ethereum, đã đăng một bài viết dài trên trang cá nhân vào ngày 2 tháng 4, chia sẻ về môi trường làm việc AI mà ông xây dựng dựa trên các nguyên tắc về quyền riêng tư, an toàn và tự chủ — tất cả các suy luận của LLM đều thực thi tại chỗ, tất cả các tệp đều lưu trữ cục bộ, và toàn bộ hệ thống được cách ly hoàn toàn, cố ý tránh xa các mô hình đám mây và API bên ngoài.

Ngay phần đầu bài viết, ông cảnh báo: “Xin đừng sao chép trực tiếp các công cụ và kỹ thuật mô tả trong bài viết này, và giả định rằng chúng là an toàn. Đây chỉ là một điểm khởi đầu, chứ không phải mô tả của một sản phẩm hoàn chỉnh.”

Tại sao lại viết bài này bây giờ? Vấn đề an toàn của AI agent bị đánh giá thấp nghiêm trọng

Vitalik chỉ ra rằng, đầu năm nay, AI đã trải qua một bước chuyển đổi quan trọng từ “trò chuyện robot” sang “agent” — bạn không còn chỉ hỏi câu hỏi nữa, mà giao nhiệm vụ, để AI suy nghĩ trong thời gian dài và gọi hàng trăm công cụ để thực thi. Ông lấy ví dụ về OpenClaw (hiện là repo phát triển nhanh nhất trên GitHub) và đồng thời nêu ra nhiều vấn đề an toàn mà các nhà nghiên cứu đã ghi nhận:

AI agent có thể chỉnh sửa các thiết lập quan trọng mà không cần xác nhận thủ công, bao gồm thêm các kênh liên lạc mới và thay đổi hướng dẫn hệ thống

Phân tích bất kỳ dữ liệu độc hại nào từ bên ngoài (như trang web độc hại) đều có thể dẫn đến việc agent bị kiểm soát hoàn toàn; trong một buổi trình diễn của HiddenLayer, các nhà nghiên cứu đã yêu cầu AI tóm tắt một loạt trang web, trong đó ẩn chứa một trang độc hại ra lệnh cho agent tải xuống và thực thi một script shell

Một số gói kỹ năng của bên thứ ba có thể thực hiện rò rỉ dữ liệu âm thầm, gửi dữ liệu qua lệnh curl đến máy chủ bên ngoài do tác giả kiểm soát

Trong các gói kỹ năng mà họ phân tích, khoảng 15% chứa các lệnh độc hại

Vitalik nhấn mạnh rằng, quan điểm về quyền riêng tư của ông khác với các nhà nghiên cứu an ninh truyền thống: “Tôi xuất phát từ một lập trường cực kỳ sợ hãi việc đưa toàn bộ đời sống cá nhân lên đám mây AI — đúng vào lúc mã hóa đầu cuối và phần mềm ưu tiên cục bộ cuối cùng cũng trở thành xu hướng chính, chúng ta cuối cùng đã tiến một bước lớn, thì lại có thể lùi lại mười bước.”

Năm mục tiêu an toàn chính

Ông đã đặt ra một khung mục tiêu an toàn rõ ràng:

Quyền riêng tư của LLM: Trong các tình huống liên quan đến dữ liệu cá nhân, cố gắng giảm thiểu sử dụng mô hình từ xa

Quyền riêng tư khác: Giảm thiểu rò rỉ dữ liệu ngoài LLM (như truy vấn tìm kiếm, API trực tuyến khác)

Bẻ khóa LLM: Ngăn chặn nội dung bên ngoài “xâm nhập” vào LLM của tôi, khiến nó trái lợi ích của tôi (ví dụ gửi token hoặc dữ liệu cá nhân của tôi)

Tai nạn của LLM: Ngăn LLM gửi nhầm dữ liệu cá nhân đến kênh sai hoặc công khai trên mạng

Backdoor của LLM: Ngăn chặn các cơ chế ẩn được huấn luyện cố ý vào trong mô hình. Ông đặc biệt nhấn mạnh: các mô hình mở là mở về trọng số (open-weights), gần như không có mô hình nào thực sự mã nguồn mở (open-source)

Lựa chọn phần cứng: Laptop 5090 thắng thế, DGX Spark gây thất vọng

Vitalik đã thử nghiệm ba cấu hình phần cứng suy luận cục bộ, chủ yếu dùng mô hình Qwen3.5:35B, kết hợp với llama-server và llama-swap:

Kết luận của ông là: tốc độ dưới 50 token/giây quá chậm, lý tưởng là 90 token/giây. Laptop NVIDIA 5090 trải nghiệm mượt nhất; AMD hiện vẫn gặp nhiều vấn đề về cạnh, nhưng hy vọng sẽ cải thiện trong tương lai. MacBook cao cấp cũng là lựa chọn hiệu quả, chỉ là ông chưa thử trực tiếp.

Về DGX Spark, ông thẳng thắn: “Được mô tả là ‘siêu máy tính AI để bàn’, nhưng thực tế tốc độ token/giây còn thấp hơn cả GPU laptop tốt hơn, và còn phải xử lý các chi tiết như kết nối mạng — thật là thất vọng.” Ông khuyên rằng: nếu không đủ khả năng mua laptop cao cấp, có thể cùng bạn bè mua một máy đủ mạnh, đặt ở nơi có IP cố định, mọi người kết nối từ xa để sử dụng.

Tại sao vấn đề quyền riêng tư của AI cục bộ lại cấp bách hơn bạn nghĩ

Bài viết của Vitalik, cùng với cuộc thảo luận về vấn đề an toàn của Claude Code được ra mắt cùng ngày, tạo thành một sự phản hồi thú vị — khi AI agent bước vào quy trình phát triển hàng ngày, các vấn đề an toàn cũng đang chuyển từ rủi ro lý thuyết thành mối đe dọa thực tế.

Thông điệp cốt lõi của ông rất rõ ràng: Trong bối cảnh các công cụ AI ngày càng mạnh mẽ hơn, có khả năng truy cập dữ liệu cá nhân và quyền hệ thống của bạn nhiều hơn, “ưu tiên cục bộ, cách ly, tối thiểu tin tưởng” không phải là sự cực đoan, mà là điểm khởi đầu hợp lý.

Bài viết này của Vitalik: Làm thế nào để xây dựng môi trường AI hoàn toàn cục bộ, riêng tư, tự chủ và kiểm soát, ban đầu xuất hiện trên Chain News ABMedia.