Vitalik, il creatore di ethereum, parla di AI locale, sovrana e sicura

Da chatbot ad agenti: il problema della sicurezza

All'inizio del 2026 l'AI ha fatto un salto: non si tratta più di chatbot che rispondono a domande, ma di agenti che pensano a lungo, usano centinaia di strumenti e completano compiti complessi. OpenClaw è diventato il repo GitHub in più rapida crescita della storia.
Il problema? Il mondo dell'AI, incluso quello open-source locale, se ne frega completamente di privacy e sicurezza. Ricercatori hanno dimostrato che gli agenti OpenClaw possono essere hackerati tramite pagine web malevole, eseguire comandi senza il consenso dell'utente e persino esfiltrare dati verso server esterni. Circa il 15% delle skill analizzate conteneva istruzioni maligne.
Vitalik arriva da un'altra direzione: quella di chi teme che, proprio mentre stavamo facendo passi avanti con la crittografia end-to-end e il software local-first, stiamo per fare dieci passi indietro normalizzando il fatto di dare tutta la nostra vita a un'AI basata sul cloud.

Domanda fondamentale

Che tipo di setup AI costruiremmo se considerassimo privacy, sicurezza e sovranità dei dati come non negoziabili?
Tutta l'inferenza locale. Tutti i file in locale. Tutto in sandbox. Essere paranoici su cosa c'è fuori, su internet.

Obiettivi di privacy e sicurezza

Vitalik identifica sei obiettivi concreti:

• Privacy dell'LLM: usare il meno possibile modelli remoti quando ricevono dati privati
• Privacy generale: ridurre al minimo qualsiasi fuga di dati non legata all'LLM (query di ricerca, API online)
• Jailbreak dell'LLM: impedire che contenuti remoti "hackerino" l'LLM e lo facciano agire contro i tuoi interessi
• Incidenti dell'LLM: evitare che l'LLM invii per sbaglio dati privati al canale sbagliato
• Backdoor nell'LLM: meccanismi nascosti inseriti nel modello dal creatore. Occhio: i modelli open sono open-weights, quasi mai open-source
• Bug e backdoor nel software: l'AI può ridurre questo rischio, sostituendo la necessità di librerie di terze parti

Hardware testato

Vitalik ha provato tre configurazioni:

• Sotto i 50 token/sec la velocità è troppo lenta per essere comoda. I 90 della 5090 sono l'ideale
• La 5090 (o anche 4090, 5080, 5070) e l'AMD con 128 GB di memoria unificata sono entrambe scelte valide
• AMD ha più bug e spigoli oggi, NVIDIA è più fluida
• Il DGX Spark è deludente: meno veloce di una buona GPU da laptop e richiede configurazione di rete
• L'approccio basato su laptop è preferibile, a meno di potersi permettere un cluster vero
• Alternativa economica: un gruppo di amici compra hardware potente condiviso con IP statico
  Ha anche testato generazione di immagini (Qwen-Image) e video (HunyuanVideo 1.5) tramite ComfyUI sulla 5090.

Software stack

Sistema operativo: NixOS

NixOS permette di specificare l'intero setup come un file di configurazione simile a JSON. Facile da condividere, facile da ripristinarre se qualcosa va storto.

Server LLM: llama-server

Ha abbandonato ollama dopo aver scoperto che llama-server riusciva a far girare Qwen3.5:35B sulla GPU dove ollama falliva. llama-server funziona come demone su localhost, espone una porta HTTP e fornisce un'interfaccia web. Qualsiasi software compatibile con le API di OpenAI o Anthropic può puntare al demone locale, incluso Claude Code.

Agenti: pi

pi avvolge l'LLM con accesso agli strumenti. OpenClaw è costruito sopra pi.

Strumenti locali

File AGENTS.md

Insegna all'LLM quali risorse sono disponibili.

Skill fornite a pi

• SearXNG: aggrega molti motori di ricerca contemporaneamente
• Demone per i messaggi: legge email e messaggi Signal. Può inviare a sé stesso liberamente, agli altri solo con conferma umana

Cartelle locali

• notes: appunti personali
• world_knowledge: dump di tutti gli articoli di Wikipedia più manuali tecnici (ad esempio documentazione Vyper)
  L'obiettivo è ridurre la dipendenza dalle ricerche online per motivi di privacy e disponibilità offline.

Sandbox

Strumento: bubblewrap
Crea una sandbox radicata in una qualsiasi directory. I programmi dentro la sandbox vedono solo i file in quella directory più quelli in whitelist. Controllo completo su porte, accesso audio, ecc.
Viene anche citato Hermes di Nous Research, che usa monitoraggio in tempo reale per rilevare attività malevole, come possibile complemento.

Programmazione con LLM locali

• Qwen3.5:35B se la cava bene su compiti comuni (app flashcard, gioco Snake)
• Fatica su territori complessi e sconosciuti (hash-to-point BLS-12-381 in Vyper)
• Per il codice difficile, Vitalik ha dovuto tornare alla codifica manuale e poi usare Claude
• Conclusione: l'AI locale sul laptop non basta per lavori complessi di agent autonomo

Ricerca locale

Il tool Local Deep Research si è rivelato deludente: difficile da configurare, risposte banali. pi con la skill base di SearXNG lo ha superato in un test comparativo.

Trascrizione audio locale

• stt-daemon: tool di Vitalik stesso
• VoxTerm: qualità più alta, sviluppato attivamente
• L'output non è perfetto, ma l'LLM locale può identificare e correggere gli errori di trascrizione

Collegamento alle app di messaggiaggio

Il messaging-daemon avvolge signal-cli e l'email. Politica firewall severa:

• Può leggere messaggi e inviare a sé stesso in autonomia
• Per inviare ad altri serve conferma manuale umana
  Questo previene che testi malevoli "hackerino" l'LLM per inviare email truffa. Il firewall a conferma umana è fondamentale per mitigare i rischi.

Collegamento a Ethereum

Progetti citati: kohaku-ai, elytro_eth
Approccio di sicurezza in più livelli:

1. Usare i metodi più trustless e privacy-preserving per leggere la blockchain e inviare transazioni
2. Firewall a conferma umana
3. Limite giornaliero ($100) che bypassa la conferma per usi di routine
4. Limitare calldata, importi e numero di transazioni per prevenire esfiltrazione di dati
5. Le hardware wallet lo forniscono "gratis" con impostazione massimamente paranoica
6. Conferma a due fattori: umano + LLM come due fattori separati (conferma 2-of-2)

Incorporare AI remote con cautela

L'AI locale non basta per molti compiti importanti. Approccio a più livelli:

• Chiamate API ZK privacy-preserving: crittografia ZK per nascondere origine e contenuto delle richieste
• Mixnet: impediscono al server di correlare le richieste per indirizzo IP
• Inferenza in TEE: ambienti di esecuzione fidati. Non sono perfetti (le TEE si rompono regolarmente) ma riducono le fughe di dati
• Sanitizzazione degli input: un modello locale rimuove dati privati prima di passarli a un LLM remoto
• A lungo termine: la crittografia FHE potrebbe abilitare privacy crittografica completa

ZK API e Mixnet per tutto

Utili anche per le query sui motori di ricerca e altre API. Un proxy ZK-API potrebbe rendere le API a pagamento privacy-preserving. Le mixnet dovrebbero diventare lo standard per la comunicazione su internet.

Il futuro secondo Vitalik

Possibili sviluppi positivi:

1. Il codice generato localmente può sostituire grandi librerie esterne, creando software più auto-contenuto
2. Tutto scritto in Lean con verifica formale di default
3. Eliminare il browser può rimuovere gli attacchi di fingerprinting
4. La battaglia contro le dark pattern UX si sposta a favore del difensore (il software sulla tua macchina è dalla tua parte)
5. Gli LLM possono aiutare gli utenti a identificare e resistere ai tentativi di truffa
6. Ecosistema pluralistico di LLM open-source per il rilevamento delle truffe, con principi diversi
7. L'utente è il più possibile al controllo
   La visione si contrappone sia all'AI centralizzata controllata dalle corporation sia all'AI "open-source locale" fatta male e piena di vulnerabilità. Vale la pena costruire strumenti AI sicuri, open-source, locali e rispettosi della privacy che lascino il controllo agli utenti.

Fonte: vitalik.eth.limo