Vitalik：我如何看待加密和AI交叉领域及前景和挑战

作者：Vitalik；翻译：金色财经xiaozou

多年来，有很多人问过我一个类似的问题，那就是我认为加密和人工智能之间最具成效的交集在哪里？这个问题很好：加密和人工智能可以说是上个十年里最主要的两个深度（软件）技术趋势，二者之间一定存在着某种联系。我们很容易发现表面上的协同效应：加密去中心化可以平衡人工智能的中心化问题，人工智能是不透明的，加密则带来了透明度，人工智能需要数据，而区块链非常适合存储和跟踪数据。但多年来，当人们要我进行深入研究并聊聊具体的应用程序时，我的回答总会让他们失望：“确实，是有一些深度的东西，但不是很多”。

过去三年里，随着现代LLM（机器学习模型）形式的更强大的人工智能的兴起，以及更强大的加密货币——不仅是区块链扩展解决方案形式，还有ZKP、FHE、（双方和n方）MPC形式——的兴起，我开始看到了变化。在区块链生态系统中确实存在一些前景光明的人工智能应用，或是人工智能与密码学相结合的应用，重要的是要关注人工智能的应用方式。其中一个具体的问题就是：在密码学里，开源是确保某些东西真正安全的唯一途径，但在人工智能领域，开源模型（甚至连训练数据也是开源的）却大大加剧了它面对对抗性机器学习攻击的脆弱性。本文将介绍加密与人工智能之间可能存在的各类交集及其前景和挑战。

四大类AI

人工智能是一个非常宽泛的概念：你可以把“人工智能”想象成一组算法，而非具体的设定，就像是通过搅拌一大锅神奇的计算的汤汁，并施加某种优化压力，来让这锅汤提供给你带有你想要的属性的算法。这种描述绝对不应该被看轻：它就是我们人类最初诞生的过程！人工智能算法确有一些共同的特性：它们的做事能力非常强大，而与此同时，我们窥探幕后真相的能力也非常有限。

人工智能的分类方式有很多。本文主要讨论人工智能和区块链（被描述为创建“游戏”的平台）之间的交集，所以我将人工智能在此进行如下分类：

• 游戏玩家类AI（最易存活）：AI所参与的机制中，激励的最终来源出自协议的人类输入。

• 游戏界面类AI（潜力巨大，但也存在风险）：AI帮助用户理解他们身边的加密世界，并确保他们的行为（如：签署消息和交易）与他们的意图相符，他们不会被欺骗。

• 游戏规则类AI（如履薄冰）：区块链、DAO和其他类似机制直接调用AI。例如“AI法官”。

• 游戏目标类AI（长期但有趣）：设计区块链、DAO和其他类似机制，目的是构建和维护一个可用于其他目的的AI，使用加密bits来更好地激励训练或防止AI泄露隐私数据或被滥用。

1、游戏玩家类AI

游戏玩家类AI实际上是一个已经存在了近十年的类别，尤其是自从链上去中心化交易所（DEX）开始被广泛使用以来。只要涉及到交易，就会有套利赚钱的机会，而机器人在套利方面比人类更具优势。这个用例已经存在很久了，虽然使用的AI比现今的AI简单的多，但它最终成为了人工智能与加密货一个真正的交叉领域。最近我们经常看到MEV套利机器人相互竞争。无论什么时候，只要区块链应用程序涉及到拍卖或交易，都会出现套利机器人。

然而，AI套利机器人仅仅是其所在的更大范畴里的第一个例子，我预计很快还会包含很多其他应用。

长期以来，预测市场一直是认知技术的圣杯；早在2014年，我就对使用预测市场作为治理输入非常兴奋，上次大选和最近的选举就广泛使用了预测市场。但到目前为止，预测市场在实践中并没有太大的发展，常见的原因有很多：最大的参与者往往是非理性的，明智的人往往不愿花费时间下注，除非涉及到大量资金，还有市场的流动性很浅，等等。

对此有一种回应指向了Polymarket或其他新兴预测市场正在进行的用户体验改进，并希望它们能够在之前失败的地方获取成功。毕竟，故事都是这样发展的，人们愿意在体育赛事上押注数百亿美元，那么为什么不把足够的钱押注在美国大选或LK99上，这样一来，那些大玩家也就会有入场意愿了。但这一点必须面对这样一个事实，那就是既然之前都未能达到这种规模（至少与其支持者的梦想相比），因此似乎需要一些新的东西才能让使预测市场成功。所以，另一种不同的回应指向了预测市场生态系统的一个具体特征，也就是我们可以在21世纪20年代看到上个年代看不到的东西：人工智能无所不在的可能性。

人工智能愿意以每小时不到1美元的价格工作，并且拥有百科全书般的知识——如果这还不够，它们甚至还可以与实时网络搜索功能相结合。如果你做市，并提供50美元的流动性补贴，人类可能不太在意，不会去竞标，但成千上万的人工智能会迅速行动，并尽其所能做出最好的预测。在一个问题表现出色的激励可能很小，但让人工智能做出广泛的正确预测的激励却很巨大。请注意，你甚至不需要人类来对大多数问题实行裁决：你可以使用类似于Augur或Kleros的多轮争议系统，其中人工智能也将参与较早的轮次。人类只需要在非常少数情况下做出反应，也就是当进行一系列双方投入都很大的升级的时候。

这是一个强大的原语，因为一旦“预测市场”可以进行如此微观规模的工作，你就可以在许多其他类问题上重复使用“预测市场”原语：

• 根据[用户使用条款]，这个社交媒体帖子是否可以发布？

• 股票X的价格会发生什么变化？

• 现在正发消息给我的这个账号真的是埃隆·马斯克吗？

• 这个在在线任务市场提效的工作合格吗？

• 这个网址是https://examplefinance.network的dapp是个骗局吗？

• 0x1b54....98c3真的是“Casinu Inu” ERC20代币的地址吗？

你可能会注意到，这些想法很多都是朝着我所说的“信息防御”的方向发展的。从广义上讲，问题是：我们如何帮助用户区分真实和虚假信息，检测诈骗，而不是授权一个中心化权威机构来决定孰是孰非，因为中心化权威可能会滥用自己的权利。在微观层面上，答案可以是“人工智能”。但在宏观层面上，要面临的问题是：谁来建设人工智能？人工智能是其创建过程的反映，是无法避免偏见的。所以，我们需要一个更高层的游戏去评判各种AI的表现，让AI能够作为玩家参与到游戏中。

人工智能的这种使用，即人工智能参与某种机制，并最终会被一个汇集人类输入的链上机制（称之为基于市场的去中心化RLHF如何？）奖励或惩罚，我认为这是一个真正值得研究的方向。现在是时候更多地研究这样的用例了，因为区块链扩展终于成功了，让任何“小”、“微”事物终于在链上可行，而这些在之前通常是不可行的。

一个相关的应用类别就是高度自主的使用区块链实现更优合作的智能体，不管是通过支付还是通过使用智能合约来做出可信承诺。

2、游戏界面类AI

我曾在自己的文章中提出的一个想法是，编写面向用户的软件是有市场机会的，这种软件可以通过解释和识别用户正在浏览的线上世界中的危险来保障用户的利益。一个业已存在的例子就是Metamask的欺诈检测功能：

另一个例子就是Rabby钱包的模拟功能，它向用户展示他们即将签署的交易的预期结果。

这些工具可能会被人工智能大大强化。人工智能可以提供一个更丰富的人类友好的解释，说明你正在参与什么样的dapp，你正在签署的复杂操作的后果，特定的代币是否真实（例如，BITCOIN不仅仅是一串字符，它还是一种真正的加密货币的名称，它不是ERC20代币，其价格远远高于0.045美元，LLM会知道这一点），等等。有些项目开始朝着这个方向发展（例如LangChain钱包使用AI作为主界面）。我个人的观点是，纯AI界面目前可能风险太大，因为它会增加发生其他类型错误的风险，但用AI来补足偏向传统的界面是极其可行的。

值得一提的还有一个特定风险。我将在下面的“游戏规则类AI”部分内容中详细讨论这个问题，但一般性的问题是对抗性机器学习：如果用户可以访问开源钱包中的AI助手，那么不良人员也可以访问该AI助手，因此他们将有无限的机会优化他们的骗局，避免触发钱包防御。所有现代AI都有bug，这对于训练过程来说发现bug并不难，即使只有有限的模型访问权限。

这就是“人工智能参与链上微市场”更能施展的地方：所有AI能都容易遭受相同的风险，但你有意创建一个开放的生态系统，由数十人不断进行迭代和改进。此外，每个单独的AI都是闭环的：系统的安全性来自游戏规则的开放性，而不是每个玩家的内部操作。

小结：人工智能可以用简单的语言帮助用户理解正在发生的事情，它可以作为实时导师，它可以保护用户免受错误的负面影响，但如果想要直接使用人工智能来对付恶意散布虚假信息者和骗子时，一定要小心。

3、游戏规则类AI

现在，我们谈到了让很多人都很兴奋的应用，但我认为这是最危险的地方，我们需要小心行事：我称之为“人工智能成为游戏规则的一部分”。这与主流政治精英对“AI法官”的兴奋相关，在区块链应用程序中也有类似的愿望。如果基于区块链的智能合约或DAO需要做出主观决策（例如：某个特定的工作产品是否在雇佣合同范围内？），你是否可以让人工智能成为合约或DAO的一部分，以帮助执行这些规则？

这就是为什么说对抗性机器学习将成为一个极其艰巨的挑战。基本的两句话论证如下：

如果在机制中扮演关键角色的AI模型是闭环的，则无法验证其内部工作原理，所以它并不比中心化应用程序更好。如果AI模型是开源的，那么攻击者可以下载并在本地模拟它，并设计大量优化的攻击来欺骗模型，然后在实时网络上重播。

现在，有些读者（或加密原住民）可能已经走在我前面了，并且在想：等等！我们有了不起的零知识证明和其他非常酷的密码学手段。当然，我们可以施一些加密魔法，隐藏模型的内部工作原理，这样攻击者就无法优化攻击，而与此同时证明模型正在被正确执行，并且是在合理的底层数据集上使用合理的训练过程构建的！

通常，这正是我在其他文章中所提倡的思维方式。但对AI相关计算而言，还有两个主要的反对意见：

• 加密开销：在SNARK（或MPC……）内部执行某些操作的效率要比透明化执行低得多。考虑到人工智能已经是非常密集的计算，在加密黑盒中进行人工智能计算可行吗？

• 黑盒对抗性机器学习攻击：即使不了解模型的内部工作原理，也有办法优化针对AI模型的攻击。如果你隐藏得太多，你就有可能让选择训练数据的人很容易用有毒攻击来破坏模型。

二者都是复杂的兔子洞，所以让我们来依次探查。

（1）加密开销

加密工具，特别是像ZK-SNARKs和MPC这样的通用工具，开销很高。客户端直接验证一个以太坊区块需要几百毫秒，但生成一个ZK-SNARK来证明这样一个区块的正确性却可能需要几个小时。其他加密工具（如MPC）的通常开销可能更大。人工智能计算已经相当昂贵：最强大的LLM输出单个单词的速度只比人类阅读单词的速度快一点点，更不用说训练这些模型常常需要数百万美元的计算成本。顶级模型和试图节省更多训练成本或参量数的模型之间的质量差异很大。乍一看，这是一个很好的质疑理由，怀疑整个项目试图通过将AI包裹在密码学中来强化保障。

幸运的是，人工智能是一种结构非常具体的计算类型，这使得它能够适应各种优化，而像ZK-EVM这样的“非结构化”计算类型却无法从这些优化中受益。让我们来看看人工智能模型的基本结构：

通常，AI模型主要由一系列矩阵乘法组成，其中穿插着各元素的非线性运算，如ReLU函数（y = max(x, 0)）。矩阵乘法占据了工作的大部分：将两个N*N矩阵相乘需要时间，而非线性运算的数量要少得多。这对于密码学来说非常方便，因为很多形式的密码学都几乎可以“免费”地进行线性运算（矩阵乘法是线性运算，如果你只加密模型而不加密它的输入的话）。

如果你是一位密码学家，那么你可能已经听说过同态加密中的类似现象：在加密的密文上执行加法非常简单，但执行乘法却非常困难，直到2009年我们才找到方法来进行无限深度的乘法运算。

对于ZK-SNARKs来说，与此相当的2013年的协议，证明矩阵乘法的开销不到4倍。遗憾的是，非线性层的开销最终仍然很大，实践中最好的实现显示开销在200倍左右。但有希望通过进一步的研究，大大减少这方面的开销。

但针对很多应用程序，我们不仅想证明人工智能输出是计算正确的，我们还想隐藏模型。有一些简单的方式可以实现这一点：你可以拆分模型，由一组不同的服务器冗余存储各层，希望泄漏某些层数据的某些服务器不会泄漏太多数据。但还有一些特别有效的多方计算方式。

在这两种情况下，故事的精神是相同的：AI计算的最重要部分是矩阵乘法，因此可以创建非常高效的ZK-SNARKs或MPC（甚至FHE），所以将AI置入加密盒子的总开销非常低。一般来说，非线性层是最大的瓶颈，尽管它们的规模较小；也许像Lookup Arguments这样的新技术会有所帮助。

（2）黑盒对抗性机器学习

现在，让我们来讨论另一个重大问题：如果模型的内容是私有的，并且你只有对模型的“API访问”权限，你可以进行哪类攻击？这里让我来引用2016年的一篇文章：

许多机器学习模型很容易受到对抗性示例的影响：专门设计的输入会导致机器学习模型产生错误输出。能够影响一个模型的对抗性示例通常会影响另一个模型，即使两个模型的架构不同或在不同的训练集上进行训练，只要两个模型都被训练来执行相同的任务就可能受影响。因此，攻击者可能会训练自己的替代模型，打磨针对替代模型的对抗性示例，然后将它们用到受害模型中，几乎无需了解受害模型信息。

有可能，你甚至可以创建只知道训练数据的攻击，就算你对试图攻击的模型的访问权限非常有限或没有任何访问权限也没关系。截止到2023年，这类攻击仍然是一个大问题。

为了有效地减少这类黑盒攻击，我们需要做两件事：

• 真正限制谁可以查询模型以及查询多少内容。具有不受限制的API访问权限的黑盒是不安全的；具有非常有限的API访问权限的黑盒可能是安全的。

• 隐藏训练数据，同时确保用于创建训练数据的过程不会被破坏。

在第一件事上做得最多的项目可能是Worldcoin。Worldcoin在协议层面广泛使用人工智能模型，以将虹膜扫描转换为易于比较相似性的简短“虹膜代码”，以及验证它所扫描的对象实际上是一个人。Worldcoin所依赖的主要防御措施是，它不允许任何人轻易调用人工智能模型，而是使用可信硬件来确保模型只接受由orb相机进行数字签名的输入。

这种方法并不一定奏效：事实证明，你可以对生物识别人工智能进行对抗性攻击，形式是你可以戴在脸上的物理贴片或珠宝：

但希望就是，如果你把所有的防御结合在一起，隐藏人工智能模型本身，极大地限制查询量，并要求每个查询进行某种方式的身份验证，你就可以让攻击变得足够困难，系统就可以是安全的了。

这就将我们带到了下一件事：我们如何隐藏训练数据？这可能就是“民主治理AI DAOs”的用武之地：我们可以创建一个链上DAO，治理决定如下过程：允许谁提交训练数据（需要哪些数据相关证明）、允许谁查询、查询多少内容、以及使用像MPC等加密技术加密整个AI创建和运行管道（从每个用户的训练输入到每个查询的最终输出）。该DAO还可以同时对提交数据的人进行补偿。

需要重申的是，这一计划雄心勃勃，从很多方面来看可能不切实际：

• 对于这种全黑盒架构来说，加密开销可能仍然太高，无法与传统的封闭式的“信任我”的做法相竞争。

• 结果可能是，没有一种好的方法可以使训练数据提交过程去中心化并预防有毒攻击。

• 由于参与者串通，多方计算工具的安全或隐私保障可能受损：毕竟，加密货币跨链桥一次又一次地出现过这种情况。

我之所以没有在这部分一开始就贴上更大的红色警告标签，告诉你“不要做AI法官，这是反乌托邦的”，其中一个原因就是，我们的社会已经高度依赖于不负责任的中心化AI法官：例如，决定社交媒体上哪些帖子和政治观点会浮出水面或被淹没（甚至被审查）的那些算法。我确实认为在这个阶段进一步扩大这一趋势是一个非常糟糕的想法，但我不并认为区块链社区更多地进行人工智能实验会使情况变得更糟。

事实上，加密技术有一些非常低风险的基本方法可以使这些现有中心化系统变得更好，我对此非常有信心。有一种简单的技术通过延迟发布来验证人工智能：当社交媒体网站基于人工智能对帖子进行排名时，它可以发布一个ZK-SNARK来证明生成该排名的模型的哈希值。该网站可能会承诺在一年后公布其人工智能模型。一旦模型公布，用户就可以检查哈希值来验证是否发布了正确模型，社区可以对模型运行测试来验证其公平性。发布延迟将确保当模型公开时，它已经过时了。

因此，与中心化世界相比，问题不在于我们是否能做得更好，而是能好多少。然而，对于去中心化世界而言，重要的是要小心谨慎：如果有人构建一个使用人工智能预言机的预测市场或稳定币，而结果证明这个预言机是可被攻击的，那么一笔巨大的资金可能会在瞬间消失。

4、游戏目标类AI

如果上述技术用于创建可扩展的去中心化私有AI，其内容是任何人都不知道的黑盒子，可用于实际运行，那么这也可以用于创建具有超越区块链效用的AI。NEAR协议团队正将此作为他们正在进行的工作的核心目标。

这样做有两点原因：

• 如果你可以通过运行使用区块链和MPC的训练和推理过程来创建“值得信赖的黑箱AI”，那么许多担心系统有失偏颇或欺骗自己的应用程序都可以从中受益。很多人表达了对我们将依赖的具有系统重要性的AI民主治理的期待；加密和基于区块链的技术可能是实现这一目标的途径。

• 从人工智能安全角度来看，这将是一种创建去中心化人工智能的技术，它也有一个自然的终止开关，可以限制那些试图使用人工智能进行恶意行为的查询。

同样值得注意的是，“使用加密激励措施来激励创造更好的AI”可以在不使用密码学进行完全加密的情况下完成：BitTensor等做法就属于这一类。

结论

区块链和人工智能都变得越来越强大，在这两个领域的交叉领域正出现越来越多的用例。然而，其中一些用例相比于其他用例要更有意义，也更强大。通常情况下，当底层机制继续如以前一样设计得很粗糙，但个体玩家却变成了AI，允许机制在更微观的尺度上有效运行时，用例往往是最有前景的，也是最容易做对的。

尝试使用区块链和加密技术创建“单一实例”的应用程序将面临最大的挑战，即创建某些应用程序将依赖之实现某一目标的单个去中心化的可信AI。这些应用程序在功能和提高人工智能安全性方面都是前景光明的，避免了与更加主流的做法相关的中心化风险。但在很多方面，底层假设也可能失败；所以，需要谨慎行事，特别是在高价值和高风险环境中部署这些应用程序时。

我期待在所有这些交叉领域看到更多人工智能建设性用例的尝试，这样我们就可以知道哪些用例是真正可行的。