Vitalik 的 AI 生存指南：本地模型是陷阱，三层防御才是出路

本地 AI 的美梦该醒了

Vitalik Buterin 最近公布了他的 AI 配置清单，结论很残酷：本地大模型远远不够。

转录、翻译、拼写检查？没问题，手机都能跑。但写代码、复杂推理、创造性工作？Qwen3.5:35B「远远无法胜任」。

他亲测数据：90 tokens/秒的 5090 显卡体验尚可，50 tokens/秒以下就「烦人到不值得」。写个贪吃蛇游戏可以，但实现 BLS-12-381 哈希到曲线点？「最后还是得发给 Claude」。

更讽刺的是 DGX Spark——号称「桌面 AI 超级计算机」，实际速度还不如游戏本显卡。

云 AI 知道你的一切

每次调用 GPT-4，你的提示词、代码、思考方式，都被记录在云端。更可怕的是「去匿名化」——通过查询模式、IP、时间戳，你的身份很容易被还原。

Vitalik 的警告很直接：「如今去匿名化已经非常容易，必须让每次查询彼此不可关联。」

三层防御体系

第一层：ZK-API（零知识 API）

让服务器不知道你是谁，甚至无法判断两次请求是否来自同一用户。

这不是概念。Vitalik 与 Davide 提出的 ZK-API 方案，配合 OpenAnonymity 项目正在落地。核心：证明你有权限，但不暴露你是谁。

如果 API 担心滥用，ZK-API 还包含「惩罚机制」（slashing）——滥用者被罚没抵押，由链上智能合约执行。

第二层：混合网络（Mixnets）

打乱网络路径，让服务器无法通过 IP 地址关联请求。

想象邮局系统：你的信件被随机扔进多个中转站，与数千封信混合后再发出。收件方只知道「来自某个邮局」，无法追溯源头。

第三层：TEE 可信执行环境

硬件级防护。TEE 确保「除了程序输出没有任何信息泄露」，并提供加密证明。

你可以验证：这台机器确实只是在「解密→推理→加密输出」，没有偷偷记录日志。

当然 TEE 也被攻破过，不是绝对安全。但 Vitalik 强调：只要本地验证证明签名，它「依然可以显著降低数据泄露风险」。

沙盒化：给 AI 上枷锁

Vitalik 使用 bubblewrap 沙盒运行 AI。任何目录下输入 sbox，就能创建受限环境——AI 只能看到该目录下的文件，以及明确白名单的内容。

「AI 可以出错，但出错的影响必须被限制在沙盒内。」

人机确认防火墙

更关键的设计是 人工确认机制。

Vitalik 写了一个消息守护进程，封装了 Signal 和邮件。这个守护进程完全自主只能做两件事：

读取消息
只给自己发消息

发给其他人？必须通过人工确认窗口。

为什么？防止恶意文本「黑客」AI。如果一封邮件包含隐藏的 prompt injection，诱导 AI 用你的账号发诈骗信息给联系人——沙盒和确认机制就是最后的防线。

Vitalik 的原话：「新的『双因素确认』是——人是其中一个因素，AI 是另一个因素。」

人有时会疏忽、被骗；AI 有时也会被攻击。但两者失败的方式不同。要求「人 + AI」2-of-2 确认才能执行风险操作，比单独依赖任何一方都安全得多。

未来：隐私与智能可以兼得

Vitalik 描绘了另一个未来：

本地生成代码 替代大型外部库，软件变得极简且自包含。

Lean 语言 + 形式化验证 成为默认，数学证明保证代码正确性。

消灭浏览器，一整类用户指纹追踪攻击 overnight 消失。

AI 帮助识别诈骗——不再是企业提取注意力的工具，而是真正站在用户这边的防御系统。

ZK-API 和混合网络不仅适用于 AI，还应该成为互联网默认通信方式。搜索引擎查询泄露大量信息，API 正在从免费转向付费——如果每次交互都走隐私保护通道，互联网会变成什么模样？

用户必须被赋权

Vitalik 的文章以这句话结尾：「用户应当被赋权，并尽可能保持对系统的真实控制权。」

本地 AI 是控制权的幻觉——它给你虚假的「数据不出设备」安全感，却让你在智能上落后。

真正的控制权不是「不用云」，而是「用云，但云不知道我是谁」。

三层防御 + 人机确认 + 沙盒隔离——这才是 AI 时代的生存之道。

📄 原文链接: https://vitalik.eth.limo/general/2026/04/02/secure_llms.html