加密与AI应用的希望与挑战

加密 + AI 应用的承诺与挑战

特别感谢 Worldcoin 和 Modulus Labs 团队，Xinyuan Sun、Martin Koeppelmann 和 Illia Polosukhin 的反馈和讨论。

多年来，许多人问过我一个类似的问题：我认为加密和 AI 之间最有成效的交集是什么？这是一个合理的问题：加密和 AI 是过去十年中两个主要的深度（软件）技术趋势，感觉两者之间一定存在某种联系。在表面层面上很容易找到协同效应：加密的去中心化可以平衡 AI 的中心化，AI 是不透明的，而加密带来了透明度，AI 需要数据，而区块链擅长存储和跟踪数据。但多年来，当人们要求我深入探讨具体应用时，我的回答总是令人失望：“是的，有一些东西，但不多。”

在过去三年中，随着现代大语言模型（LLMs）形式的更强大 AI 的崛起，以及不仅仅是区块链扩展解决方案，还有零知识证明（ZKPs）、全同态加密（FHE）、（两方和多方）安全多方计算（MPC）形式的更强大加密技术的崛起，我开始看到这种变化。确实有一些有前景的应用将 AI 应用于区块链生态系统中，或者将 AI 与密码学结合，尽管如何应用 AI 需要谨慎。一个特别的挑战是：在密码学中，开源是使某些东西真正安全的唯一方式，但在 AI 中，模型（甚至其训练数据）的开放大大增加了其受到对抗性机器学习攻击的脆弱性。本文将分类探讨加密 + AI 可能交集的不同方式，以及每一类的前景和挑战。

来自 uETH 博客文章 的加密 + AI 交集的高级总结。但要在具体应用中真正实现这些协同效应，需要什么？

四大类别

AI 是一个非常广泛的概念：你可以将“AI”视为一组算法，这些算法不是通过明确指定它们来创建的，而是通过搅拌一大锅计算汤，并施加某种优化压力，推动这锅汤产生具有你想要的属性的算法。这个描述当然不应该被轻视：它包括了最初创造我们人类的过程！但这确实意味着 AI 算法有一些共同属性：它们能够做非常强大的事情，同时我们对它们内部运作的了解或理解能力有限。

AI 有很多分类方式；为了本文的目的，本文讨论的是 AI 与区块链（被描述为创建“游戏”的平台）之间的交互，我将 AI 分类如下：

• AI 作为游戏中的玩家 [最高可行性]： AI 参与机制，其中激励的最终来源来自具有人类输入的协议。
• AI 作为游戏的接口 [高潜力，但有风险]： AI 帮助用户理解他们周围的加密世界，并确保他们的行为（即签名消息和交易）符合他们的意图，并且他们不会被欺骗或诈骗。
• AI 作为游戏的规则 [非常谨慎]： 区块链、DAO 和类似机制直接调用 AI。例如，考虑“AI 法官”。
• AI 作为游戏的目标 [长期但有趣]： 设计区块链、DAO 和类似机制，目标是构建和维护一个可以用于其他目的的 AI，使用加密部分来更好地激励训练或防止 AI 泄露私人数据或被滥用。

让我们逐一讨论这些类别。

AI 作为游戏中的玩家

这实际上是一个已经存在了近十年的类别，至少自从链上去中心化交易所（DEXes）开始被广泛使用以来。任何时候有交易所，就有通过套利赚钱的机会，而机器人可以比人类更好地进行套利。这个用例已经存在了很长时间，即使使用比我们今天简单得多的 AI，但它最终是一个非常真实的 AI + 加密交集。最近，我们看到了 MEV 套利机器人经常互相利用。任何时候你有一个涉及拍卖或交易的区块链应用，你都会看到套利机器人。

但 AI 套利机器人只是一个更大类别的第一个例子，我预计这个类别很快就会包括许多其他应用。看看 AIOmen，一个预测市场的演示，其中 AI 是玩家：

预测市场长期以来一直是认知技术的圣杯；我在 2014 年就对使用预测市场作为治理的输入（“futarchy”）感到兴奋，并在上次选举中以及最近广泛地玩弄了它们。但到目前为止，预测市场在实践中并没有太多起飞，有一系列常见的原因：最大的参与者通常是非理性的，拥有正确知识的人不愿意花时间下注，除非涉及大量资金，市场通常很薄，等等。

对此的一种回应是指出 Polymarket 或其他新预测市场中正在进行的 UX 改进，并希望它们能在以前的迭代失败的地方取得成功。毕竟，故事是这样的，人们愿意在体育上下注数百亿，那么为什么人们不会在美国选举或 LK99 上下注足够的资金，以至于开始吸引严肃的玩家进入？但这个论点必须面对一个事实，即以前的迭代确实未能达到这种规模（至少与支持者的梦想相比），因此似乎需要一些新的东西来使预测市场成功。因此，另一种回应是指出预测市场生态系统的一个特定功能，我们预计在 2020 年代会看到，而在 2010 年代没有看到：AI 的普遍参与的可能性。

AI 愿意以每小时不到 1 美元的价格工作，并且拥有百科全书的知识——如果这还不够，它们甚至可以与实时网络搜索功能集成。如果你创建一个市场，并提供 50 美元的流动性补贴，人类不会在乎到出价，但成千上万的 AI 会轻易地涌入这个问题并做出最佳猜测。在任何一个问题上做好工作的激励可能很小，但总体上做出良好预测的 AI 的激励可能达到数百万。请注意，你甚至可能不需要人类来裁决大多数问题：你可以使用类似于 Augur 或 Kleros 的多轮争议系统，其中 AI 也会参与早期轮次。人类只需要在少数情况下做出回应，即一系列升级已经发生，并且双方都投入了大量资金。

这是一个强大的原语，因为一旦“预测市场”可以在如此微观的规模上运作，你就可以将“预测市场”原语用于许多其他类型的问题：

• 这个社交媒体帖子是否符合 [使用条款]？
• 股票 X 的价格会发生什么变化（例如，参见 Numerai）
• 目前给我发消息的这个账户实际上是 Elon Musk 吗？
• 在线任务市场上的这份工作提交是否可接受？
• https://examplefinance.network 上的 dapp 是骗局吗？
• 0x1b54....98c3 实际上是“Casinu Inu” ERC20 代币的地址吗？

你可能会注意到，这些想法中有很多都朝着我所说的“信息防御”方向发展。广义上说，问题是：我们如何帮助用户区分真假信息并检测骗局，而不赋予一个中心化权威来决定对错，从而可能滥用这一位置？在微观层面上，答案可以是“AI”。但在宏观层面上，问题是：谁构建了 AI？AI 是创造它的过程的反映，因此无法避免具有偏见。因此，需要一个更高层次的游戏来裁决不同 AI 的表现，其中 AI 可以作为游戏的参与者参与其中。

这种 AI 的使用，其中 AI 参与一个机制，最终通过一个从人类输入中收集的链上机制（称之为基于去中心化市场的 RLHF？）来奖励或惩罚（概率性地）AI，我认为这确实值得研究。现在是研究这类用例的合适时机，因为区块链扩展终于成功了，使得“微观”的任何东西在链上终于可行，而以前往往不可行。

一个相关的应用类别是高度自治的代理使用区块链来更好地合作，无论是通过支付还是通过使用智能合约来做出可信的承诺。

AI 作为游戏的接口

我在 关于 d/acc 的文章 中提出的一个想法是，编写面向用户的软件存在市场机会，这些软件通过解释和识别用户在线世界中导航的危险来保护用户的利益。一个已经存在的例子是 Metamask 的诈骗检测功能：

另一个例子是 Rabby 钱包 的模拟功能，它向用户展示他们即将签名的交易的预期后果。

Rabby 向我解释签署交易以将我所有的“BITCOIN”（一个 ERC20 模因币的代码，其全名显然是“HarryPotterObamaSonic10Inu”）兑换为 ETH 的后果。

编辑 2024.02.02：本文的早期版本将此代币称为试图冒充比特币的骗局。它不是；它是一个模因币。对混淆表示歉意。

这些工具可能会通过 AI 得到超级增强。AI 可以提供一个更丰富的人性化解释，说明你正在参与的 dapp 的类型，你正在签署的更复杂操作的后果，某个特定的代币是否真实（例如，BITCOIN 不仅仅是一个字符字符串，它通常是一个主要加密货币的名称，它不是 ERC20 代币，其价格远高于 0.045 美元，现代 LLM 会知道这一点），等等。有一些项目已经开始朝这个方向发展（例如，LangChain 钱包，它使用 AI 作为主要接口）。我个人的观点是，纯 AI 接口目前可能风险太大，因为它增加了其他类型错误的风险，但 AI 补充更传统的接口已经变得非常可行。

有一个特别的风险值得一提。我将在下面的“AI 作为游戏规则”部分进一步讨论这个问题，但一般问题是对抗性机器学习：如果用户可以在开源钱包中访问 AI 助手，那么坏人也可以访问该 AI 助手，因此他们将有无限制的机会优化他们的骗局，以避免触发该钱包的防御。所有现代 AI 都有某些地方的错误，即使只有有限访问模型的训练过程也不难找到它们。

这就是“AI 参与链上微观市场”效果更好的地方：每个单独的 AI 都面临相同的风险，但你故意创建一个开放的生态系统，数十人不断迭代和改进它们。此外，每个单独的 AI 都是封闭的：系统的安全性来自于游戏规则的开放性，而不是每个玩家的内部运作。

总结：AI 可以帮助用户用简单的语言理解正在发生的事情，它可以作为实时导师，它可以保护用户免受错误的影响，但在试图直接使用它来对抗恶意误导者和骗子时要小心。

AI 作为游戏的规则

现在，我们来到许多人感到兴奋，但我认为风险最大，需要非常谨慎的应用：我称之为 AI 成为游戏规则的一部分。这与主流政治精英对“AI 法官”的兴奋有关（例如，参见“世界政府峰会”网站上的 这篇文章），在区块链应用中也有类似的愿望。如果基于区块链的智能合约或 DAO 需要做出主观决定（例如，某个工作产品在雇佣合同中是否可接受？像 Optimism Law of Chains 这样的自然语言宪法的正确解释是什么？），你能让 AI 简单地成为合约或 DAO 的一部分来帮助执行这些规则吗？

这就是对抗性机器学习将成为一个极其严峻挑战的地方。基本的两个句子论点是：

如果一个在机制中扮演关键角色的 AI 模型是封闭的，你无法验证其内部运作，因此它并不比一个中心化应用更好。如果 AI 模型是开放的，那么攻击者可以下载并在本地模拟它，并设计高度优化的攻击来欺骗模型，然后他们可以在实时网络上重放这些攻击。

对抗性机器学习示例。来源：researchgate.net

现在，经常阅读这个博客（或加密领域的居民）的人可能已经想到了：但是等等！我们有花哨的零知识证明和其他非常酷的密码学形式。当然，我们可以做一些加密魔法，隐藏模型的内部运作，使攻击者无法优化攻击，但同时证明模型正在正确执行，并且是在合理的基础数据集上使用合理的训练过程构建的！

通常，这正是我在这个博客和其他文章中提倡的思维方式。但在与 AI 相关的计算中，有两个主要反对意见：

1. 密码学开销：在 SNARK（或 MPC 或...）中做某事比“明文”做某事效率低得多。鉴于 AI 已经是计算密集型的，在密码学黑盒中做 AI 在计算上是否可行？
2. 黑盒对抗性机器学习攻击：即使对模型的内部运作知之甚少，也有方法优化对 AI 模型的攻击。如果你隐藏太多，你可能会使选择训练数据的人更容易通过投毒攻击破坏模型。

这两个都是复杂的兔子洞，让我们逐一讨论。

密码学开销

密码学工具，特别是像 ZK-SNARKs 和 MPC 这样的通用工具，开销很高。一个以太坊区块需要客户端直接验证几百毫秒，但生成一个 ZK-SNARK 来证明这样一个区块的正确性可能需要几个小时。其他密码学工具（如 MPC）的典型开销甚至更高。AI 计算已经很昂贵了：最强大的 LLM 输出单个单词的速度只比人类阅读它们快一点点，更不用说训练模型通常需要数百万美元的计算成本。顶级模型与试图在训练成本或参数数量上更经济的模型之间的质量差异很大。乍一看，这是一个很好的理由，对整个通过密码学包装 AI 来增加保证的项目持怀疑态度。

幸运的是，AI 是一种非常特定类型的计算，这使得它能够受益于各种优化，而像 ZK-EVM 这样更“非结构化”类型的计算则无法受益。让我们检查一下 AI 模型的基本结构：

通常，AI 模型主要由一系列矩阵乘法组成，其间穿插着每个元素的非线性操作，如 ReLU 函数（y = max(x, 0)）。渐近地，矩阵乘法占据了大部分工作：乘以两个 N*N 矩阵需要 O(N2.8) 时间，而非线性操作的数量要少得多。这对密码学来说非常方便，因为许多形式的密码学可以几乎“免费”地做线性操作（矩阵乘法就是线性操作，至少如果你加密模型但不加密其输入）。

如果你是密码学家，你可能已经听说过在全同态加密背景下的类似现象：在加密的密文上执行加法真的很容易，但乘法非常困难，直到 2009 年我们才找到任何方法在无限深度下做到这一点。

对于 ZK-SNARKs，等价的是 2013 年的这个协议，它显示了在证明矩阵乘法时不到 4 倍的开销。不幸的是，非线性层的开销仍然很大，实际中的最佳实现显示了大约 200 倍的开销。但有希望通过进一步研究大大减少这一点；参见 Ryan Cao 的这个演示 了解基于 GKR 的最新方法，以及我自己的 对 GKR 主要组件如何工作的简化解释。

但对于许多应用，我们不仅想要证明AI 输出被正确计算，还想要隐藏模型。有一些天真的方法可以做到这一点：你可以将模型分割开来，使得不同的服务器冗余存储每一层，并希望一些服务器泄漏一些层不会泄漏太多数据。但也有非常有效的专用多方计算形式。

这些方法之一的简化图，保持模型私有但使输入公开。如果我们想保持模型和输入都私有，我们可以，尽管它会变得更复杂：参见 论文 的第 8-9 页。

在这两种情况下，故事的寓意是相同的：AI 计算的最大部分是矩阵乘法，对于它来说，可以制作非常高效的 ZK-SNARKs 或 MPCs（甚至 FHE），因此将 AI 放入密码学黑盒的总开销出乎意料地低。通常，非线性层是最大的瓶颈，尽管它们的规模较小；也许像查找参数这样的新技术可以提供帮助。

黑盒对抗性机器学习

现在，让我们来看看另一个大问题：即使模型的内容被保密，你只有“API 访问”模型，你也可以进行的攻击类型。引用 2016 年的一篇论文：

许多机器学习模型容易受到对抗性示例的攻击：这些输入是专门设计的，以导致机器学习模型产生错误的输出。影响一个模型的对抗性示例通常也会影响另一个模型，即使这两个模型具有不同的架构或在不同的训练集上训练，只要它们都训练用于执行相同的任务。因此，攻击者可以训练自己的替代模型，针对替代模型制作对抗性示例，并将它们转移到受害者模型上，而对受害者模型的信息知之甚少。

使用对“目标分类器”的黑盒访问来训练和优化你自己本地存储的“推断分类器”。然后，本地生成针对推断分类器的优化攻击。事实证明，这些攻击通常也适用于原始目标分类器。图源。

甚至，你可以在只知道训练数据的情况下创建攻击，即使你对你要攻击的模型的访问非常有限或没有访问权限。截至 2023 年，这些类型的攻击仍然是一个大问题。

为了有效遏制这些类型的黑盒攻击，我们需要做两件事：

• 原文链接： vitalik.eth.limo/general...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～