加密货币与人工智能

作者：维塔利克·布特林 2024年1月30日 原文链接

特别感谢 Worldcoin 和 Modulus Labs 团队、孙新源、Martin Koeppelmann 和 Illia Polosukhin 的反馈和讨论。

多年来，很多人都向我提出了类似的问题：我认为加密技术和人工智能最有成效的交叉领域是什么？这是一个合理的问题：加密技术和人工智能是过去十年中两个主要的核心（软件）技术趋势，人们普遍觉得这两者之间一定存在某种联系。从表面的感性认识来看，很容易想到一些协同效应：加密技术的去中心化可以平衡人工智能的中心化，人工智能是不透明的而加密技术带来透明度，人工智能需要数据而区块链善于存储和追踪数据。但是多年来，当人们要求我深入一层谈论具体应用时，我的回答总是令人失望的："是的，确实有一些联系，但并不多。"

在过去的三年里，随着以现代LLMs形式出现的更强大的人工智能的崛起，以及不仅包括区块链扩容解决方案，还包括ZKPs、FHE、（双方和多方）MPC等更强大的加密技术的发展，我开始看到这种变化。在区块链生态系统内部，或者将人工智能与密码学结合确实存在一些有前途的应用，不过对于如何应用人工智能需要格外谨慎。这里存在一个特殊的挑战：在密码学领域，开源是实现真正安全的唯一途径，但在人工智能领域，模型（甚至其训练数据）的开源会显著提高其受到对抗性机器学习攻击的风险。本文将探讨加密技术与人工智能可能交叉的不同方式，以及每个类别的前景和挑战。

这是来自uETH博客文章的一个关于加密技术+人工智能交叉领域的高层次总结。但要在具体应用中实现这些协同效应需要做些什么呢？

四大主要类别

人工智能是一个非常宽泛的概念：你可以将"人工智能"理解为一系列算法的集合，这些算法并非通过明确指定来创建，而是通过搅动一锅巨大的计算汤，并施加某种优化压力，推动这锅汤产生具有你所需特性的算法。这个描述绝不应该被轻视：它包含了最初创造我们人类的过程！但这确实意味着人工智能算法具有一些共同特性：它们既能够完成极其强大的任务，同时我们又难以了解或理解其内部运作机制。

有很多方式可以对人工智能进行分类；就本文而言，我们将讨论人工智能与区块链（被描述为一个用于创造"游戏"的平台）之间的互动，我将其分类如下：

• **人工智能作为"游戏"中的参与者【最具可行性】：**人工智能参与机制中，其中最终激励来源于具有人类输入的协议。

• **人工智能作为"游戏"的接口【潜力巨大，但存在风险】：**人工智能帮助用户理解周围的加密世界，确保他们的行为（即签名消息和交易）符合其意图，避免被欺骗或诈骗。

• **人工智能作为"游戏"规则【需要非常谨慎】：**区块链、DAO和类似机制直接调用人工智能。比如"人工智能法官"。

• **将 AI 作为游戏的目标【长期规划但极具吸引力】：**设计区块链、DAO 和类似机制，其目标是构建和维护一个可用于其他目的的 AI，利用加密技术来更好地激励训练，或防止 AI 泄露私人数据或被滥用。

让我们逐一讨论这些内容。

AI 作为游戏中的参与者

这实际上是一个已经存在近十年的类别，至少从链上去中心化交易所（DEXes）开始大量使用时就已经存在。只要有交易存在，就有通过套利赚钱的机会，而机器人在套利方面比人类做得更好。这种用例即使在今天更简单的 AI 条件下也已经存在很长时间了，但它确实代表了 AI 与加密技术交叉的一个真实案例。最近，我们看到 MEV 套利机器人经常相互利用。任何涉及拍卖或交易的区块链应用，都会存在套利机器人。

但 AI 套利机器人只是一个更大类别中的第一个例子，我预计这个类别很快就会开始包含许多其他应用。来认识一下 AIOmen，这是一个由 AI 作为参与者的预测市场演示：

预测市场长期以来一直是认识论技术的圣杯。我在2014年就对使用预测市场作为治理的输入（即"futarchy"）感到兴奋，并且在上次选举期间进行了广泛的尝试，以及最近也在继续探索。但到目前为止，预测市场在实践中并没有太大的发展，原因有很多：最大的参与者往往是非理性的，拥有正确知识的人除非涉及大量资金否则不愿意花时间下注，市场往往流动性不足等。

对此的一种回应是指出Polymarket或其他新预测市场在用户体验方面的持续改进，并希望它们能在前几代失败的地方取得成功。毕竟，按照这种说法，人们愿意在体育博彩上投入数百亿美元，那么为什么人们不会在美国大选或LK99上投入足够的资金，从而吸引专业参与者的加入呢？但这个论点必须面对这样一个事实：之前的几代预测市场确实没能达到这种规模（至少与其支持者的期望相比），因此看来你需要一些新东西来让预测市场获得成功。因此，另一种回应是指出在2020年代预测市场生态系统中我们可能看到，而在2010年代没有看到的一个特定特征：人工智能的普遍参与可能性。

AI 愿意以每小时不到 1 美元的价格工作，并且拥有百科全书般的知识——如果这还不够，它们甚至可以集成实时网络搜索功能。如果你建立一个市场，并提供 50 美元的流动性补贴，人类可能不会太在意去竞价，但成千上万的 AI 将轻松地涌入这个问题并做出最佳判断。对于任何单个问题做好工作的激励可能很小，但开发一个能够普遍做出良好预测的 AI 的激励可能高达数百万美元。值得注意的是，你甚至不需要人类来裁决大多数问题：你可以使用类似于 Augur 或 Kleros 的多轮争议系统，其中 AI 也将参与早期轮次。只有在经过一系列升级且双方都投入大量资金的少数情况下，才需要人类介入。

这是一个强大的基础功能，因为一旦"预测市场"能够在如此微观的规模上运作，你就可以将"预测市场"这一基础功能用于许多其他类型的问题：

• 这个社交媒体帖子是否符合[使用条款]？
• 股票 X 的价格会如何变动（例如参见 Numerai）
• 目前与我对话的这个账户是否真的是 Elon Musk？
• 在线任务市场上的这份工作提交是否可以接受？
• https://examplefinance.network 上的 dapp 是否是诈骗？
• 0x1b54....98c3 是否真的是"Casinu Inu" ERC20 通证的地址？

你可能会注意到，这些想法中有很多都朝着我在"d/acc"相关文章中所称的"信息防御"方向发展。从广义上讲，问题在于：我们如何帮助用户区分真假信息并识别诈骗，同时又不赋予某个中心化权威机构决定对错的权力，以免其滥用职权？在微观层面，答案可能是"AI"。但在宏观层面，问题是：谁来构建AI？AI是其创建过程的反映，因此无法避免带有偏见。因此，我们需要一个更高层次的博弈来评判不同AI的表现，让AI们作为参与者加入这个博弈。

这种AI的使用方式值得深入研究：AI参与到一个机制中，最终通过链上机制根据人类输入来（概率性地）获得奖励或惩罚（可以称之为去中心化市场化的RLHF？）。现在正是深入研究这类用例的最佳时机，因为区块链扩容终于取得了成功，使得以前在链上难以实现的各种小规模应用现在终于变得可行。

另一个相关的应用类别则是探索高度自主的代理如何使用区块链来更好地合作，无论是通过支付还是通过使用智能合约来做出可信承诺。

AI 作为游戏的界面

我在之前的文章中提出了这样一个想法：当前存在一个市场机会，可以开发面向用户的软件，通过解释和识别用户在线浏览过程中遇到的各种危险来保护用户利益。这方面已经存在的一个例子是 Metamask 的诈骗检测功能：

另一个例子是 Rabby 钱包的模拟功能，它能够向用户展示他们即将签名的交易可能产生的后果。

Rabby 向我解释签名交易的后果，这笔交易是将我所有的"BITCOIN"（一个 ERC20 Meme 通证，其完整名称显然是"HarryPotterObamaSonic10Inu"）换成 ETH。

编辑于 2024.02.02：本文早期版本将这个通证称为试图冒充比特币的诈骗项目。事实并非如此；它是一个 Meme 通证。为造成的混淆致歉。

潜在地，这些工具可以通过 AI 得到极大增强。AI 可以为用户提供更丰富、更友好的解释，说明你正在参与什么类型的去中心化应用，签名更复杂操作的后果，以及特定代币是否真实（例如，BITCOIN不仅仅是一串字符，它通常是一个主要加密货币的名称，它不是 ERC20 代币，而且价格远远高于 0.045 美元，现代大语言模型都知道这一点），等等。已经有项目开始朝这个方向全力探索（例如LangChain 钱包，它将 AI 作为主要界面）。我个人认为，纯 AI 界面目前可能风险太大，因为它会增加其他类型错误的风险，但是 AI 作为传统界面的补充正变得越来越可行。

这里有一个值得提及的特殊风险。我将在下面"AI 作为游戏规则"部分详细讨论，但一般问题在于对抗性机器学习：如果用户可以在开源钱包中使用 AI 助手，那么坏人也能访问这个 AI 助手，因此他们将有无限的机会优化他们的诈骗手段以避开该钱包的防御机制。所有现代 AI 都存在某些漏洞，即使只有对模型的有限访问权限，训练过程也不难找到这些漏洞。

这就是"AI 参与链上微观市场"发挥更好作用的地方：每个独立的 AI 都面临相同的风险，但你是在有意识地创建一个开放的生态系统，让数十个人不断地迭代和改进它们。此外，每个独立的 AI 都是封闭的：系统的安全性来自于游戏规则的开放性，而不是每个参与者的内部运作机制。

总结：AI 可以帮助用户用简单的语言理解正在发生的事情，它可以作为实时导师，可以保护用户避免犯错，但在试图直接对抗恶意的虚假信息传播者和诈骗者时要格外警惕。

AI 作为游戏规则

现在，我们来谈谈一个很多人都感到兴奋的应用，但我认为这也是最具风险的，需要我们最谨慎对待的领域：我称之为 AI 成为游戏规则的一部分。这与主流政治精英们对"AI 法官"的热情相关（例如，请参见"世界政府峰会"网站上的这篇文章），而在区块链应用中也存在类似的期望。如果基于区块链的智能合约或 DAO 需要做出主观决定（例如：在雇佣合同中某项工作成果是否可接受？如何正确解释 Optimism 的链法则这样的自然语言章程？），我们是否可以让 AI 直接成为合约或 DAO 的一部分来帮助执行这些规则？

这就是对抗性机器学习将会成为极其严峻挑战的地方。用两句话来解释其基本原因如下：

如果在机制中发挥关键作用的 AI 模型是封闭的，你无法验证其内部运作方式，那么它就与中心化应用没有区别。如果 AI 模型是开放的，那么攻击者可以在本地下载并模拟它，设计高度优化的攻击来欺骗模型，然后在实际网络中重现这些攻击。

对抗性机器学习示例。来源：researchgate.net

现在，本博客的常规读者（或者说加密领域的居民）可能已经抢先想到：等等！我们有奇妙的零知识证明和其他非常酷的密码学形式。我们肯定可以使用一些加密魔法，隐藏模型的内部运作方式以防止攻击者优化攻击，同时还能证明模型正在被正确执行，并且是通过合理的训练过程在合理的基础数据集上构建的！

通常，这正是我在本博客和其他文章中所提倡的思维方式。但在涉及AI相关计算时，存在两个主要的反对意见：

1. 密码学开销：在SNARK（或MPC等）内部执行某项操作比"明文"执行效率低得多。考虑到AI本身就已经非常计算密集，在密码学黑盒内执行AI运算在计算上是否可行？

2. 黑盒对抗性机器学习攻击：即使不了解模型的内部运作原理，也有办法优化针对AI模型的攻击。如果你隐藏太多信息，就可能会让选择训练数据的人更容易通过投毒攻击来破坏模型。

这两个问题都是复杂的兔子洞，让我们逐一深入探讨。

密码学开销

密码学工具，尤其是像 ZK-SNARKs 和 MPC 这样的通用型工具，都有很高的开销。以太坊区块在客户端直接验证只需要几百毫秒，但生成一个 ZK-SNARK 来证明这样一个区块的正确性可能需要数小时。其他密码学工具（如 MPC）的典型开销可能更糟。AI 计算本身就很昂贵：最强大的 LLM 输出单个词的速度仅比人类阅读速度快一点，更不用说训练这些模型往往需要数百万美元的计算成本。在训练成本或参数数量方面试图更多节省的模型与顶级模型之间的质量差异很大。乍看之下，这是对试图通过密码学包装来为 AI 添加保障这一整个项目保持怀疑的一个很好理由。

然而幸运的是，AI 是一种非常特殊的计算类型，这使得它可以受益于各种优化，而像 ZK-EVM 这样更"非结构化"的计算类型无法从中受益。让我们来研究一下 AI 模型的基本结构：

通常，AI模型主要由一系列矩阵乘法组成，其间穿插着诸如ReLU函数（y = max(x, 0)）这样的逐元素非线性运算。从渐近角度来看，矩阵乘法占据了大部分计算工作：两个N*N矩阵相乘需要O(N2.8)时间，而非线性运算的数量则要少得多。这对密码学来说非常有利，因为许多形式的密码学可以几乎"零成本"地进行线性运算（矩阵乘法就属于线性运算，至少在仅加密模型而不加密输入的情况下是这样）。

如果你是密码学家，你可能已经在同态加密的领域中听说过类似的现象：对加密密文进行加法运算非常容易，但乘法运算则极其困难，直到2009年我们才找到一种可以实现无限深度乘法的方法。

对于ZK-SNARKs而言，类似的例子是2013年提出的这个协议，它在进行矩阵乘法证明时的计算开销仅不到原来的4倍。然而，非线性层的开销仍然相当大，目前最好的实现方案也显示约有200倍的计算开销。但通过进一步的研究，这个开销有望大幅降低；相关进展可以参考Ryan Cao的这个演示中基于GKR的最新方法，以及我个人对GKR核心组件工作原理的简化解释。

但对于许多应用来说，我们不仅要证明AI输出的计算是正确的，还要隐藏模型。对此有一些简单的方法：你可以将模型拆分，让不同的服务器冗余存储每一层，并期望某些服务器泄露部分层级不会泄露太多数据。但也有一些出人意料的有效的专门多方计算方法。

这是其中一种方法的简化示意图，保持模型私密但输入公开。如果我们想同时保持模型和输入的私密性，这也是可能的，只是会更复杂一些：参见论文的第8-9页。

在这两种情况下，故事的寓意是相同的：AI计算的主要部分是矩阵乘法，对此可以构建非常高效的ZK-SNARKs或MPCs（甚至是FHE），因此将AI置于加密盒子中的总开销出乎意料地低。通常，尽管非线性层的规模较小，但它们反而是最大的瓶颈；也许像查找论证这样的新技术可以提供帮助。

黑盒对抗机器学习

现在，让我们来看另一个大问题：即使模型内容被保密且你只能"通过API"访问模型，仍然可以进行的攻击类型。引用2016年的一篇论文：

许多机器学习模型都容易受到对抗样本的影响：这些输入经过特殊设计，能够导致机器学习模型产生错误输出。影响一个模型的对抗样本通常也会影响另一个模型，即使这两个模型具有不同的架构或在不同的训练集上训练，只要两个模型都是为执行相同的任务而训练的。因此，攻击者可以训练自己的替代模型，针对替代模型制作对抗样本，并将其转移到目标模型，即使对目标模型知之甚少。

利用对"目标分类器"的黑盒访问来训练和完善你自己本地存储的"推断分类器"。然后，在本地生成针对推断分类器的优化攻击。事实证明，这些攻击通常也适用于原始目标分类器。图片来源。

潜在地，即使你对要攻击的模型的访问非常有限或根本无法访问，你也可以仅仅知道训练数据就创建攻击。截至2023年，这类攻击仍然是一个巨大的问题。

要有效遏制这些黑盒攻击，我们需要做两件事：

1. 真正限制谁或什么可以查询模型以及查询的数量。具有不受限制API访问的黑盒是不安全的；具有非常受限API访问的黑盒可能是安全的。
2. 隐藏训练数据，同时保持信心确保用于创建训练数据的过程不会被破坏。

在前者方面做得最多的项目可能是 Worldcoin，我在这里详细分析了它的早期版本（以及其他协议）。Worldcoin 在协议层面广泛使用 AI 模型，用于：（i）将虹膜扫描转换为易于比较相似度的短"虹膜码"，以及（ii）验证其扫描的对象确实是人类。Worldcoin 所依赖的主要防御机制在于它不允许任何人直接调用 AI 模型：相反，它使用可信硬件来确保模型只接受经过 orb 相机数字签名的输入。

这种方法并不能保证一定有效：事实证明，你可以通过戴在脸上的物理补丁或饰品来对生物识别 AI 系统发起对抗性攻击：

在额头上戴一个额外的东西，就可以逃避检测甚至冒充他人。来源。

但我们希望通过将所有防御措施结合在一起**——隐藏 AI 模型本身、大幅限制查询次数，并要求每次查询都必须经过某种形式的认证——可以使对抗性攻击变得足够困难，从而使系统达到安全的程度。**就 Worldcoin 而言，加强这些其他防御措施还可以减少其对可信硬件的依赖，从而提高项目的去中心化程度。

这就引出了第二部分：我们如何隐藏训练数据？这就是**"通过 DAO 来民主治理 AI"可能真正有意义的地方**：我们可以创建一个链上 DAO，来管理谁可以提交训练数据（以及对数据本身需要什么样的认证）、谁可以进行查询以及查询次数等问题，并使用 MPC 等密码学技术来加密从每个用户的训练输入到每次查询的最终输出的整个 AI 创建和运行流程。这个 DAO 可以同时满足为提交数据的人提供补偿这一广受欢迎的目标。

需要重申的是，这个计划非常雄心勃勃，有许多方面可能会证明它不切实际：

• 密码学开销可能仍然过高，这种完全黑盒架构可能无法与传统的封闭式"信任模式"方案竞争。
• 可能无法找到一个好的方法来使训练数据的提交过程既去中心化又能防止恶意数据污染攻击。
• 多方计算组件可能会因为参与者串通而破坏其安全性或隐私保证：毕竟，这种情况在跨链加密货币桥上一再和一再发生。

我在开始这一章节时没有用更多的红色警告标签来说"不要使用AI法官，那是反理想社会"的原因之一，是因为我们的社会已经高度依赖于不受监管的中心化AI法官：这些算法决定了哪些类型的帖子和政治观点会被提升或压制，甚至在社交媒体上被审查。我确实认为在当前阶段进一步扩大这种趋势是个很糟糕的主意，但我认为区块链社区对AI进行更多实验并不太可能成为让情况变得更糟的因素。

事实上，我非常确信加密技术有一些相当基础且低风险的方式可以让这些现有的中心化系统变得更好。一个简单的技术是延迟公布的可验证AI：当社交媒体网站使用AI对帖子进行排名时，它可以发布一个ZK-SNARK证明，证明生成该排名的模型的哈希值。该网站可以承诺在例如一年后延迟公布其AI模型。一旦模型公布，用户可以检查哈希值以验证发布的是正确的模型，社区可以对模型进行测试以验证其公平性。发布延迟将确保在模型被公布时，它已经过时了。

因此，与中心化世界相比，问题不是我们能否做得更好，而是能做得多好。然而，对于去中心化世界来说，保持谨慎很重要：如果有人构建了使用AI预言机的预测市场或稳定币，而预言机被证明是可攻击的，那将会在瞬间损失大量资金。

AI 作为游戏的目标

如果上述用于创建可扩展的去中心化私有 AI 的技术（其内容对任何人来说都是黑盒）确实可行，那么这也可以用于创建效用超越区块链的 AI。NEAR 协议团队正将此作为他们持续工作的核心目标。

这样做有两个原因：

1. 如果你能够通过使用区块链和 MPC 的某种组合来运行训练和推理过程，从而制造出"可信的黑盒 AI"，那么许多应用场景都能从中受益。这特别适用于那些用户担心系统存在偏见或欺骗的情况。许多人已经表达了对**系统重要性 AI 的民主治理**的期望，而加密和区块链技术可能正是实现这一目标的途径。
2. 从AI 安全性的角度来看，这将是一种创建去中心化 AI 的技术，它不仅具有内置的紧急停止机制，还能限制那些试图将 AI 用于恶意行为的查询。

值得注意的是，"使用加密激励机制来激励开发更好的 AI"可以在不完全深入使用加密技术来完全加密它的情况下实现：像 BitTensor 这样的方法就属于这一类。

结论

随着区块链和人工智能变得越来越强大，两个领域的交叉应用场景也在不断增加。然而，其中一些用例比其他用例更有意义且更加稳健。总的来说，那些基础机制设计大致保持不变，但个体参与者变成人工智能的用例最为可行且最容易实现，这使得机制能够在更微观的尺度上有效运作。

最难以实现的是那些试图使用区块链和密码学技术来创建"单例"（singleton）的应用：即一个去中心化的可信任人工智能，某些应用程序会依赖它来实现特定目的。这些应用既有潜在的功能价值，也能以避免主流方法相关中心化风险的方式改善人工智能安全。但是，基础假设可能会以多种方式失效；因此，谨慎行事很有必要，特别是在高价值和高风险场景中部署这些应用时。

我期待看到更多在所有这些领域中人工智能的建设性应用尝试，这样我们就能看到哪些应用真正可以大规模实现。