Buterin呼吁构建受控的本地化AI生态以应对智能体威胁

以太坊共同创办人Vitalik Buterin近期发布技术声明，指出当前主流人工智能系统在数据隐私与操作自主性方面存在深层缺陷。他特别强调，依赖远程服务器的云服务模式使用户敏感信息面临泄露风险，而具备自我执行能力的AI智能体更可能在未获授权的情况下完成文件读取、网络请求发送甚至系统权限提升等行为。

真实场景中暴露的多维度安全隐患

Buterin列举了多项已被证实的技术漏洞：部分用于网页摘要的AI代理在遭遇恶意页面时，会自动下载并运行脚本，导致外部实体获得设备完全控制权；另有研究发现，若干智能体工具在后台静默发起网络连接，将用户数据外传而不触发任何提示；统计显示，约15%的可用智能体功能包含潜在恶意指令。

此外，他揭露了模型内部可能存在的隐蔽后门机制——在特定条件触发下，系统行为可偏离用户预期，转而服务于开发方利益。同时，大量标榜“开源”的模型实则仅开放权重参数，缺乏完整训练流程与结构透明度，使用户无法独立评估其潜在行为风险。

从对话式助手到自主行动者的范式跃迁

Buterin认为，人工智能的应用形态正经历关键转折。早期系统以问答交互为主，用户输入问题，模型返回答案。而新一代智能体则接受任务后持续运行，调用多个工具链完成复杂目标。这种转变显著扩大了攻击面：一个可浏览网页、读写文件、修改配置、发送消息的智能体，一旦出现漏洞或被操控，造成的破坏远超传统聊天机器人。

个人部署的私有化AI实践路径

为规避上述风险，Buterin已全面停用所有云端AI服务，并建立基于三大原则的自持系统：所有推理过程在本地硬件执行，所有数据永久存储于本地，每个程序运行于严格隔离的沙箱环境。他采用bubblewrap工具实现目录级权限控制，限制应用对文件、网络端口及音频设备的访问范围。

在性能测试中，配备NVIDIA 5090显卡的笔记本可实现每秒约90个token的推理速度；搭载128GB统一内存的AMD Ryzen AI Max Pro处理器达每秒约51个token；而宣传为桌面端AI超级计算机的DGX Spark设备实际仅达每秒60个token，且需额外网络配置，表现未达预期。他设定每秒50个token为可用性底线，理想值为90个以上。其软件架构以llama-server为核心，通过本地端口提供接口，兼容原为OpenAI或Anthropic设计的客户端，配合llama-swap工具实现模型快速切换。

加密资产交互中的去中心化新范式

Buterin对加密钱包集成AI提出明确设计思路：AI不应直接操作资金，而应作为辅助建议者，最终决策须经独立验证与人工确认。针对高价值交易，他规划三步流程：由AI生成方案，本地轻客户端模拟链上执行结果，用户在确认前同步审查自然语言描述与模拟输出。

该轻客户端无需下载完整区块链即可验证状态变更，结合AI层使用户可在广播前精准预判交易影响，摆脱对第三方前端的依赖。

移除前端界面以根治攻击入口

现有大多数去中心化应用通过浏览器界面与用户交互，此类前端长期被视为主要攻击点。近年来，前端劫持、脚本注入及虚假授权诱导已造成数亿美元损失。Buterin主张彻底摒弃图形化前端——若用户以自然语言表达意图，钱包直接构造并模拟交易，则无外部网站可供入侵。

他表示：“完全取消DApp界面可消除大量针对盗窃与隐私的攻击载体。” 对低风险操作，他支持适度自动化：如监控异常行为、动态推荐燃料费、优化代币兑换路径、提前标记可疑合约交互。这些功能即使出错也可恢复，且有助于降低非技术用户的使用门槛。

他强调，大语言模型不具备确定性逻辑，易受提示注入误导或误解指令，因此绝不应赋予其对大额资产的无监督控制权。其提案中每一环节均设有独立核查机制，专门防范此类失效。

智能体市场扩张背后的紧迫风险

这些担忧并非理论推测。行业数据显示，2025年全球AI智能体市场规模约为80亿美元，预计至2030年将突破480亿美元，复合年增长率超过43%。随着越来越多软件系统向更高自主性、更低人工干预方向演进，已知的安全漏洞将在大规模部署中被放大，难以忽视。

结语：技术赋能与人类控制权的再平衡

Buterin的警告源于已有实证研究。智能体安全缺陷已在真实环境中被验证，从被动响应型工具向主动执行型系统的演进，使得风险更难预测与管控。其倡导的本地优先方案与分层验证流程并非否定人工智能，而是确保在享受技术红利的同时，始终掌握对自身数据与资产的主权。随着智能体能力不断增强，谁真正掌控其行为的问题，将成为未来数字社会的核心议题。