Vitalik: AI không nên tự do truy cập dữ liệu cá nhân

Vitalik Buterin kêu gọi ưu tiên chạy suy luận LLM và tài liệu theo hướng “local-first” và sandbox hóa, sau khi chỉ ra lĩnh vực AI hiện nay quá lỏng lẻo về quyền riêng tư và bảo mật, khiến agent và kỹ năng có thể bị chiếm quyền hoặc cài chỉ dẫn độc hại.

Bài viết tập trung vào cách xây “AI cá nhân” vừa riêng tư vừa an toàn, khi các agent có thể tự ý đổi cài đặt quan trọng, dữ liệu đầu vào độc hại có thể takeover phiên làm việc, và một số “skill” chứa hướng dẫn ác ý.

Rủi ro bảo mật trong AI cá nhân

Vitalik nêu các kịch bản tấn công cụ thể xảy ra ngay trong quy trình dùng agent và “skill”.

Ông cho biết agent kiểu OpenClaw có thể sửa các thiết lập quan trọng mà không cần con người xác nhận. Ông cảnh báo đầu vào từ bên ngoài có thể dễ dàng chiếm quyền instance của người dùng. Ông cũng nói một số kỹ năng có thể chứa chỉ dẫn độc hại, làm lệch hành vi của hệ thống.

Thiết lập thử nghiệm và cơ chế phòng thủ

Vitalik mô tả cấu hình thử nghiệm theo hướng local-first, kiểm soát quyền truy cập chặt và tách biệt tiến trình.

Ông thử phần cứng như laptop NVIDIA 5090 và AMD Ryzen AI Max Pro. Ông chạy model Qwen3.5:35B qua llama-server, dùng hệ điều hành NixOS. Ông dùng Pi làm agent framework và giới hạn quyền truy cập của LLM bằng sandbox bubblewrap.

Ông xây một messaging daemon chỉ cho LLM đọc tin nhắn và tự gửi tin cho chính nó, và yêu cầu con người xác nhận trước khi gửi cho người khác. Vitalik cho rằng con người và LLM có “failure mode” khác nhau, nên xác nhận kép an toàn hơn. Ông kêu gọi phòng thủ nhiều lớp gồm zero-knowledge API calls, hybrid networks, TEE inference, làm sạch input, và gợi ý biến mọi paid API thành ZK-API.