翻译：白话区块链

多年来，许多人都问过我一个类似的问题：我眼里加密和AI之间最有成果的交集是什么？

确实，加密和AI是过去十年两个主要的技术趋势，而且感觉上两者之间一定有某种联系。表面上很容易找到二者的协同效应：加密去中心化可以平衡AI的集中化，AI是不透明的，而加密带来透明度，AI需要数据，而区块链适合存储和跟踪数据。但多年来，当人们要我深入一层，谈论具体的应用时，我的回答令人失望：“是的，虽然市场上有一些东西，但并不多”。

在过去的三年里，随着现代LLM形式的更强大AI的崛起，以及不仅仅是区块链扩展解决方案，还有ZKPs，FHE，（两方和多方）MPC等更强大的加密货币的崛起，我开始看到这种变化。确实有一些有前景的应用，在区块链生态系统内部的人工智能中，或者与密码学一起使用，尽管需要谨慎地考虑如何应用人工智能。

一个特别的挑战是：在密码学中，开源是使某物真正安全的唯一途径，但在AI中，模型（甚至其训练数据）的开放极大地增加了其对敌对机器学习攻击的脆弱性。

本文将介绍加密+AI可能相交的不同方式的分类，以及每个类别的前景和挑战。

 

1、四大主要类别

AI是一个广义概念：你可以把它看作是通过大规模计算和施加优化压力来创建的算法集合，而不是通过明确定义它们。这种描述非常重要，因为它涵盖了创造人类的过程。但这也意味着人工智能算法有一些共同的特性：它们可以执行强大功能，但我们的运作能力有限。

对于与区块链互动的人工智能，可将其分类如下：

1）作为游戏参与者的人工智能：参与机制的人工智能，其最终激励来源于具有人类输入的协议。

2）作为游戏界面的人工智能：帮助用户理解加密世界，并确保他们的行为与意图相符，避免欺骗。

3）作为游戏规则的人工智能：直接调用于区块链、DAO和类似机制，例如“人工智能法官”。

4）作为游戏目标的人工智能：设计用于构建和维护其他目的的人工智能，使用加密技术激励训练或防止泄露隐私数据或被滥用。

让我们逐一详细讨论这些。

 

2、人工智能作为游戏中的参与者

这个类别实际上已经存在了近十年，至少自从链上 DEXes 开始被广泛使用以来就一直存在。每次发生交易时，都存在通过套利赚钱的机会，而机器人可以比人类更好地进行套利。尽管这种用例已经存在了很长时间，甚至是在比今天简单得多的人工智能时代，但最终它成为了人工智能与加密货币交叉点的真实体现。最近，我们经常看到MEV套利机器人相互利用。每当涉及到拍卖或交易的区块链应用时，都会有套利机器人存在。

然而，人工智能套利机器人只是一个更大类别的第一个例子，我预计很快将开始涉及许多其他应用。让我们来看看AIOmen，一个预测市场的演示，其中人工智能是参与者：

预测市场一直被视为认知技术的圣杯。然而，过去的尝试并不成功，主要因为最大的参与者往往是非理性的，而有知识的人不愿意参与。但随着Polymarket等新预测市场的出现，人工智能的广泛参与可能会改变这一局面。

人工智能具有高效执行和巨大知识储备的优势，因此在市场中可能会取代人类。即使对于微小的激励，成千上万的人工智能也会涌入并提供最佳猜测。而多轮争议系统如Augur或Kleros，则可以解决大多数问题，无需人类裁决。

一旦预测市场在微观层面上运作良好，我们可以将其应用于许多其他问题，例如社交媒体帖子的可接受性、股票价格变化等。

这种使用人工智能的方式值得研究，因为它可以通过链上机制收集人类输入，并以概率方式奖励或惩罚参与者。此外，区块链的扩展使得之前在链上不可行的微观操作成为可能。

另一类相关的应用是朝着高度自治的代理方向发展，无论是通过支付还是使用智能合约进行可信承诺。

 

3、人工智能作为游戏界面

在我关于人工智能的文章中提到的一个想法是，编写用户界面软件可能存在市场机会，该软件可以通过解释和识别用户正在浏览的在线世界中的危险，来保护用户的利益。一个已经存在的例子是Metamask的诈骗检测功能：

另一个例子是Rabby钱包的模拟功能，该功能向用户展示了他们即将签署的交易的预期后果。

Rabby向我解释了签署一笔交易的后果，即将我的所有“BITCOIN”（一些随机的欺诈ERC20Token，而不是实际的BTC）交易为ETH。

这些工具可以通过人工智能进行强化，提供更丰富的解释，例如对参与的dapp的解释、签署的复杂操作的后果以及特定Token是否真实等（例如，BITCOIN不仅仅是一串字符，它是一个实际的加密货币名称，不是一个ERC20Token，其价格远高于0.045美元，而现代LLM会知道这一点）。

一些项目已经朝这个方向发展，例如使用人工智能作为主要接口的LangChain钱包。然而，纯粹的人工智能界面可能存在风险，因为它增加了其他类型错误的风险，但人工智能与传统界面相辅相成的方式正在变得可行。

需要注意的一个特定风险是对抗性机器学习：如果用户在开源钱包中使用人工智能助手，坏人也可以使用该助手，并不断优化他们的欺诈活动。因此，“人工智能参与链上微市场”的优势在于每个独立的人工智能容易受到相同的风险，但通过创建一个开放的生态系统，由数十个人不断迭代和改进它们，系统的安全性来自于游戏规则的公开性。

总结：人工智能可以帮助用户用通俗的语言理解正在发生的事情，充当实时导师，保护用户免受错误，但在试图直接对抗恶意的误导者和骗子时要小心。

 

4、人工智能作为游戏规则

现在，我们来谈谈很多人都很兴奋的应用，但我认为这是最危险的，并且是我们需要最谨慎地处理的地方：我称之为人工智能成为游戏规则的一部分。这与主流政治精英对于“人工智能法官”感到兴奋有关，并且在区块链应用程序中存在这些愿望的类似之处。如果基于区块链的智能合约或DAO需要做出主观决定（例如，一个特定的工作产品是否在雇佣合同中可接受？哪种是像Optimism Law of Chains这样的自然语言宪法的正确解释？），您是否可以让人工智能简单地成为合同或DAO的一部分来帮助执行这些规则？

这就是对抗性机器学习，是一个极其有挑战的地方。基本的两句论点是这样的：

如果在一个机制中发挥关键作用的人工智能模型是封闭的，那么你无法验证其内部工作原理，因此它与中心化应用没有什么区别。如果人工智能模型是开放的，那么攻击者可以下载并在本地模拟它，并设计大量优化的攻击来欺骗模型，然后他们可以在实时网络上重放这些攻击。

对抗性机器学习的例子。来源：researchgate.net

现在，你们可能已经在想：我们不是有零知识证明和其他非常酷的加密形式。我们肯定可以做一些加密魔术，隐藏模型的内部工作方式，以便攻击者无法优化攻击，但同时证明模型正在正确执行，并且是基于合理的训练过程和合理的基础数据集构建的！

通常情况下，这正是我在这个博客和其他文章中提倡的思维方式。但在与人工智能相关的计算中，存在两个主要的异议：

加密开销：在SNARK（或MPC或...）中执行某项操作比“清晰可见”要低效得多。鉴于人工智能本身已经需要大量计算，将人工智能放在加密黑盒中是否计算上可行？

黑盒对抗性机器学习攻击：即使你对模型的内部工作方式不了解，也有方法对人工智能模型进行优化攻击。如果隐藏得太深，你会面临被选择训练数据的人攻击破坏模型的风险。

这两点都是复杂的问题，让我们分别来探讨每一点。

1）加密开销

加密工具，特别是像ZK-SNARKs和MPC这样的通用工具，具有很高的开销。以太坊区块直接验证需要几百毫秒，但生成用于证明这样一个区块正确性的ZK-SNARK可能需要数小时。其他加密工具，如MPC，通常的开销甚至更糟糕。人工智能计算本身已经很昂贵：最强大的LLM仅比人类阅读单词稍快一点，更不用说训练模型通常会产生数百万美元的计算成本。顶级模型与试图在训练成本或参数数量上更节省的模型之间的质量差异很大。乍一看，这是怀疑尝试通过将人工智能包裹在加密中来增加其保证的整个项目的好理由。

幸运的是，人工智能是一种非常特定类型的计算，这使得它适合于各种优化，而像ZK-EVMs这样的“非结构化”的计算类型则无法从中受益。让我们来检查一下人工智能模型的基本结构：

通常，一个人工智能模型主要由一系列矩阵乘法和分布在其中的每个元素的非线性操作组成，比如ReLU函数（y = max(x, 0)）。从渐近的角度来看，矩阵乘法占据了大部分工作量：将两个N*N矩阵相乘需要O(N^3)的时间，而非线性操作的数量要小得多。这对于加密来说非常方便，因为许多形式的加密可以几乎“免费”地进行线性操作（至少如果你对模型进行加密但不对其输入进行加密的话）。

如果你是一个密码学家，你可能已经在同态加密的背景下听说过类似的现象：对加密的密文执行加法非常容易，但是乘法非常困难，直到2009年我们才找到了一种无限深度的方法来进行。

对于ZK-SNARKs来说，有一个相似的情况，就像2013年的某些协议，这些协议在证明矩阵乘法时的开销不到4倍。不幸的是，非线性层的开销仍然相当大，在实践中最好的实现显示出大约200倍的开销。但是通过进一步的研究，我们有希望大大减少这种开销；你可以参考Ryan Cao的这个演示，其中介绍了基于GKR的最新方法，以及我自己对GKR主要组件工作原理的简化解释。

对于许多应用而言，我们不仅想要证明一个人工智能的输出是正确计算的，还希望隐藏模型。有一些朴素的方法可以做到这一点：你可以将模型分割成不同的部分，使得一组不同的服务器冗余地存储在每一层，希望一些服务器泄露一些层但不会泄露太多数据。此外，还有一些出乎意料地有效的专用多方计算形式。

其中一种方法的简化图示，保持模型私有但使输入公开。

在这两种情况下，故事的道理都是一样的：AI计算中最大的部分是矩阵乘法。针对这一部分，可以制作非常高效的ZK-SNARKs或MPCs（甚至是FHE），因此将AI放在加密盒子中的总开销出奇地低。尽管非线性层的规模较小，但它们是最大的瓶颈；也许像查找参数这样的新技术可以提供帮助。

2）黑盒对抗性机器学习

现在，让我们来谈谈另一个重要问题：即使模型的内容保持私密，你只能通过“API访问”模型，你仍然可以进行的攻击类型。引用2016年的一篇论文：

许多机器学习模型都容易受到对抗性示例的攻击：这些输入经过特殊设计，导致模型产生错误的输出。即使模型架构不同或在不同的训练集上进行了训练，只要它们执行相同任务，攻击一个模型的对抗性示例通常也会影响另一个模型。因此，攻击者可以训练替代模型，设计对其进行对抗性示例，然后将这些示例转移到受害者模型中，而受害者模型的信息很少。

利用对“目标分类器”的黑盒访问来训练和优化你自己本地存储的“推断分类器”。然后，本地生成针对推断分类器的优化攻击。结果表明，这些攻击通常也会对原始目标分类器产生影响。

即使只了解训练数据，甚至无法访问您试图攻击的模型，也可以创建攻击。截至2023年，这类攻击仍然是一个严重的问题。

为了有效地遏制这些黑匣子攻击，我们需要做两件事：

A.限制可以查询模型的人或事物以及查询的频率。具有无限制API访问权限的黑匣子不安全；而具有非常受限制的API访问权限的黑匣子可能更安全。

B.隐藏训练数据，同时保证创建训练数据的过程不受损坏。

前面提到的项目中，也许做得最多的是Worldcoin。Worldcoin在协议级别广泛使用AI模型，将虹膜扫描转换为易于比较相似性的短“虹膜代码”，并验证其扫描的是否真的是人类。Worldcoin的主要防御措施是，不允许任何人简单地调用AI模型：相反，它使用可信硬件来确保模型仅接受由球形摄像头数字签名的输入。

这种方法不能保证有效：事实证明，您可以对生物识别AI发起对抗性攻击，这些攻击以物理贴片或您可以戴在脸上的珠宝的形式出现。

戴上额头上的额外物品，可以逃避检测，甚至冒充他人。来源：https://arxiv.org/pdf/2109.09320.pdf

但是，希望在于如果我们综合利用所有的防御措施，包括隐藏AI模型本身、大大限制查询数量，并要求每个查询都进行某种形式的身份验证，那么对抗性攻击就会变得非常困难，系统可能会更加安全。

这让我们谈到了第二部分：我们如何隐藏训练数据？这就是“DAO民主管理AI”可能真正有意义的地方：我们可以创建一个在链上运行的DAO，负责管理谁有权提交训练数据（以及数据本身需要什么样的证明），谁有权发出查询，以及查询数量，并使用密码学技术如MPC来加密从每个个人用户的训练输入到每个查询的最终输出的整个AI流程。这个DAO可以同时满足弥足珍贵的目标，即为提交数据的人提供补偿。

再次强调，这个计划非常有野心，但有许多方面可能会被证明是不切实际的：

A.密码学开销可能仍然过高，使得这种完全黑匣子架构在竞争传统的封闭“相信我”方法方面具有竞争力。

B.可能没有好的方法使训练数据提交过程去中心化并且受到防毒攻击的保护。

C.多方计算设备可能因参与者勾结而破坏其安全性或隐私保证：毕竟，这在跨链加密货币桥梁上一再发生。

我没有在本节开始时加上更多大大的红色警告标签说“不要搞AI法官，那是反乌托邦”，是因为我们的社会已经高度依赖于不负责任的中心化AI法官：决定哪些类型的帖子和政治观点在社交媒体上被提升和降低甚至被审查的算法。我确实认为在这个阶段进一步扩大这种趋势是一个非常糟糕的主意，但我认为区块链社区更多地进行AI实验的可能性并不大，这将导致情况变得更糟。

事实上，我非常有信心，加密技术甚至可以通过一些相当基本的低风险方法改善这些现有的中心化系统。一个简单的技术是带有延迟发布的验证AI：当一个社交媒体网站对帖子进行基于AI的排名时，它可以发布一个ZK-SNARK，证明生成该排名的模型的哈希。该网站可以承诺在一年后的某个时候透露其AI模型。一旦模型被公开，用户可以检查哈希以验证发布的是否是正确的模型，社区可以对模型进行测试以验证其公平性。发布延迟将确保在模型被公开时，它已经过时。

因此，与中心化世界相比，问题不在于我们是否可以做得更好，而在于有多少。然而，对于去中心化的世界来说，重要的是要小心：如果有人构建了一个使用AI预言机的预测市场或稳定币，结果发现该预言机是可攻击的，那么可能会有大量资金在瞬间消失。

 

5、AI作为游戏的目标

如果上述用于创建可扩展的去中心化私有AI的技术，其内容是一个任何人都不知道的黑匣子，实际上可以起作用，那么这也可以用于创建超越区块链的实用AI。NEAR协议团队正在将这作为他们正在进行的工作的核心目标之一。

有两个原因要这样做：

A.如果您可以通过运行训练和推理过程使用某种组合的区块链和多方计算来制作“可信的黑匣子AI”，那么很多用户担心系统存在偏见或欺骗的应用程序都可以从中受益。许多人表达了对我们将依赖的系统性重要AI进行民主治理的渴望；密码学和基于区块链的技术可能是实现这一目标的途径。

B.从AI安全的角度来看，这将是一种创建去中心化的AI技术，同时具有自然的关断开关，可以限制试图利用AI进行恶意行为的查询。

值得注意的是，“利用加密激励来激励制作更好的AI”可以在不完全深入使用密码学完全加密的情况下完成：像BitTensor这样的方法属于这一类别。

 

6、结论

现在，区块链和人工智能都变得更加强大，两者交叉领域的使用案例也在不断增加。然而，其中一些用例比其他用例更合理。总的来说，基于机制的用例仍然大致设计如以前一样，但个体参与者变成了AI，使得机制可以在更微观的尺度上有效运作的用例，是最具有即时前景和最容易成功的。

最难以实现的是试图使用区块链和密码学技术创建“单例”的应用程序：一个应用程序会依赖某个用途的单一去中心化可信AI。这些应用程序有很大的潜力，无论是功能上还是从避免与更主流的解决该问题的方法相关联的中心化风险方面，都能够提高AI安全性。但也存在许多基础假设可能失败的方式；因此，在将这些应用程序部署到高价值和高风险环境时，值得谨慎考虑。

我期待着看到更多尝试在所有这些领域构建AI的有益用例，以便我们可以看到其中哪些在规模上真正可行。

 

 

来源：https://vitalik.eth.limo/general/2024/01/30/cryptoai.html