“仅仅信任我们”的结束

今天的文章是关于 Arcium 的一篇深入介绍，这是一个旨在使隐私保护计算迅速且实用的平台。随着企业和去中心化应用程序处理越来越多的敏感数据，在不牺牲性能的情况下确保隐私已成为一项重大挑战。Arcium 旨在通过允许组织安全处理和分析加密数据来解决这一问题，无论是用于金融交易、人工智能训练还是协同决策。

致谢：感谢 Yannik、Julian 和 Arcium 团队在技术解释上的指导和对文章的深入审阅。

---

简要概述：

• 保密计算对现代应用至关重要，但现有解决方案存在重大局限——全同态加密 (FHE) 过于缓慢，可信执行环境 (TEEs) 受到攻击的威胁，而零知识证明 (ZKPs) 在共享加密数据时效果不佳。

• Arcium 重新构想了隐私保护计算，通过新的多方计算 (MPC) 架构，仅需一个诚实的节点即可实现隐私，同时结合经济激励（质押/惩罚）以确保可靠执行。

• Arcium 收购 Inpher 使得加密操作更快，编译器更高效，并且硬件加速，使加密计算在规模上变得切实可行。

• 系统通过并行化的“MXEs”（多方执行环境）实现可扩展性，允许独立的节点集群同时处理加密计算，使其在许多操作中速度比全同态加密快 10,000 倍。

• 现实世界的应用包括防止去中心化金融 (DeFi) 中的 MEV，促进协作人工智能模型和在私密数据集上训练链上代理，以及允许企业分析联合数据而不泄露敏感信息。

• 开发者体验得到了简化。仅需用一行代码将函数标记为保密，即可增加隐私，让企业级的加密技术无需深厚的密码学专业知识即可轻松访问。

你好，

几个世纪以来，真理之王国（Kingdom of Veritasveil）维持着一种特殊的传统。每年，每个贵族家庭都向国王的财政部报告他们的财富——不是为了征税，而是为了评估王国的繁荣。然而，骄傲而秘密的贵族们厌恶透露自己的财富。一些人低估自己的财富以显得谦逊，另一些则夸大其词以显示更强的实力，还有少部分人贿赂财政官员以篡改记录。

这为国王创造了一个难题：当没有人愿意揭示自己的秘密时，你如何揭示真相？

随着时间的推移，国王的沮丧感越来越强。他需要明确了解王国的力量——其财富和繁荣。但每年他收到的报告都被野心和欺骗所扭曲。赌注有多高！如果他无法辨别王国的实际状态，如何为未来做好准备？他如何能明智地领导他的人民、确保联盟并保护边界而没有准确的信息？

与此同时，贵族们将自己的秘密视为盾牌。他们从竞争对手甚至国王面前隐藏了自己的脆弱。所以，年度仪式成了一场半真半假的游戏、机智的操控和隐秘的威胁——一个被幻觉笼罩的王国。

国王的顾问们迫切地寻找解决方案，最终偶然想到一个新颖的主意：如果能够在不要求任何单独贵族揭示其财富的情况下计算王国的总财富呢？

他们设计了一个系统，其中每个贵族会将一个随机数字秘密地添加到他的财富中。这个“混淆”后的值将传递给下一个贵族，后者会在其财富中加上另一个秘密的数字。这个过程会持续，直到所有贵族贡献了他们的混淆数字。最后，国王会收到一个总和，其中包含所有的秘密数字以及贵族们的综合财富。

为了确定自己王国的真实财富，国王只需去掉随机数字的影响。由于每个贵族都记录了他们的秘密数字，他们可以匿名地进行通讯。这样，国王可以从总和中减去这些值。通过这种方式，Veritasveil的真实综合财富被揭示，而任何贵族都无需透露各自的财富。

今天，金融市场面临类似于我们的假想的真理国王所遇到的挑战。当一个大型养老基金需要出售一百万股苹果股票时，使用公共交易所会使高频交易者知晓，他们可以利用这一信息调整价格，使其损失数百万额外的美元。这就是为什么出现了“黑池”——为大额交易创建的私密交易所。设计上旨在避免抢先交易和价格操控，黑池成为寻求保密的机构投资者的热门解决方案。

与此同时，讽刺的是，今天的黑池处理着 美国交易量的主要部分，但它们并不是完全“黑暗”的。大型银行经常利用这个本应确保隐私的系统，从客户交易中获取特权收益。还有其他操控的途径，例如黑池的所有者更改交易顺序。SEC 曾 起诉 巴克莱银行和花旗银行因黑池违规。

当黑池不能被可靠地证明是黑暗的，那么答案是什么呢？答案与国王的顾问所想到的一样，但有现代的转变。

帮助 Veritasveil 的相同方案可以通过名为安全多方计算 (MPC) 的概念应用于现代世界。正如贵族们添加秘密数字以保持自己的财富隐藏，MPC 允许多个方共同计算一个结果——例如一组交易的总值——而无需揭示他们的私人输入。每个参与者都将其数据保持加密，但小组仍然可以得出有用的结果。在金融市场中，这意味着可安全地进行大额交易，而不会泄露任何可以被利用的信息。

密码学和安全计算的结合在这场永恒的追求中提供了一线希望。正如真理王国曾经经历的那样，现代金融也面临着类似挑战。也许这一次，揭示真相而不背叛秘密的工具终于唾手可得。

安全计算的关键在于理解数据的不同阶段。并确保在每个阶段的隐私。数据或信息处于三个阶段之一：静止、传输或使用中。静止意味着数据存储在某处。传输意味着数据在网络中流动。当数据被使用时，意味着有计算在对其进行处理。

到目前为止，我们已经成功地将数据在存储和传输时保持加密。然而，在计算期间，数据变得容易泄漏，限制了可以在何处以及由谁执行计算。

在本文中，我们探讨启用在不解密或显示数据的情况下使用数据的解决方案，并考察零知识证明 (ZKPs)、全同态加密 (FHE)、可信执行环境 (TEEs) 和 MPC 等技术。最后，我们分析 Arcium 如何利用 MPC 在 Solana 等区块链上对加密数据进行计算。

ZKPs

想象你有一个安全箱的密码。你需要向某人证明你知道这个密码，但你不想告诉他们是什么。这正是零知识证明 (ZKP) 的作用。它允许你证明你知道某个信息，而不揭示实际数据。以太坊的第二层解决方案如 Polygon zkEVM、StarkNet 和 ZKSync 使用 ZKP 来验证成千上万笔交易被正确处理，且不必在主链上重新执行它们。这使得大规模扩展成为可能，同时确保安全性。

这里有一个简单的类比。想象一个复杂的迷宫，你知道通往出口的正确路径。与其向某人展示你的地图或给他们指路，不如你可以多次在迷宫中行走，以证明你知道解决方案。每次，他们把你放进去，通过被提拔出来的方式你出口，最后在终点等你。经过几次成功尝试，他们会相信你知道解决方案，而从未了解过你走的实际路径。

用稍微技术化的术语来说，ZKP 的工作原理是将一个陈述转换为一个可以在不揭示基础数据的情况下被验证的数学方程。例如，⋅你可以不显示你实际的年龄，而是使用 ZKP 数学地证明你满足年龄要求，而不揭示你的出生日期。

但是，ZKP 确实有局限性。它们无法对加密数据进行操作。重要的是要注意，虽然 ZKP 可以保持数据私密，但实际的计算程序仍然是可见的。只有输入和输出受到保护。运行计算的人是在解密数据上进行计算，然后证明他们这样做而未透露数据。因此，它们非常适合证明有关数据的陈述，但在像区块链这样需要多个方同时处理相同加密信息的共享系统中效果不佳。这就像一个小组项目，所有人都需要共同在同一个文档上进行工作。ZKP 可以证明有关文档的事实，但无法帮助每个人在保持私密的情况下进行协作。

目前正在对称为不可区分混淆技术的更高级技术进行研究，理论上可以隐藏程序本身，但这一前景仍在遥远的未来中1。

FHE

几个月前，我在我们的 播客 中请来了 Zama Labs 的首席执行官 Rand Hindi。Zama 正在倡导 FHE 及其如何能够被开发者轻松利用。 Sunscreen 是另一家正在构建开发者工具以使 FHE 更加可访问的公司。 该公司成立于 2023 年，开发了一个编译器来帮助工程师构建 FHE 程序，并最近获得了由 Polychain Capital 领投的 465 万美元种子轮融资。

在介绍 Zama 计划如何简化 FHE 供开发者使用之前，这里简要介绍一下 FHE 的概念。我尽量使用类比来避免过于技术化。想象有一个魔法锁箱，它可以进行数学运算。你不仅可以将数字锁在里面，还可以在不打开箱子的情况下对锁住的数字进行加法和乘法运算2。这基本上就是全同态加密 (FHE) 的作用：在整个过程中对加密数据执行计算，同时保持其加密状态。

想象一下，Sid 和 Shlok 各自都有一个他们想要加在一起的秘密数字，但他们不想让任何人（甚至计算这项操作的计算机）看到他们的数字。使用 FHE，就像他们把各自的数字放在特殊的锁箱中。他们可以在箱子内加数字，而无需打开它。当他们完成时，只有 Sid 和 Shlok 这两个拥有钥匙的人能打开锁箱看到这个总和。

更技术性地说，FHE 是通过将常规数字转换为称为格的数学结构来工作的。这些格就像空间中的一个复杂坐标网格。你的数据被转换成这个网格上的坐标，从而使数学运算仍然适用于它们。数学运算能够查看这些坐标，而其他人则看不到。这种加密确保即使有人看到这些坐标，他们也无法在没有解密密钥的情况下找出原始数字。

这些魔法锁箱面临着一个重大挑战。它们使用起来非常缓慢。即便是像加法这样的简单计算，在加密数据上执行时所需的时间要长得多。

缓慢的原因在于密码学家所称的“噪声”。每次在加密数据上执行操作时，小的数学错误便会累积。我们的锁箱每次使用后都会变得越来越模糊。最终，它会变得模糊到无法读取结果。为了解决这个问题，FHE 需要定期通过称为“引导”的过程来“清理”锁箱，此过程涉及数学运算，以刷新加密而不透露数据。

把这个放在上下文中，历史上公开可用的 FHE 系统的处理速度为每秒约 5 笔交易。这就像有一个计算器，进行两数相加时需要 5 秒——对于大多数实际应用来说，这实在太慢。计算开销极大。在 FHE 中，简单的乘法操作可能需要完成数百万次传统计算机操作。虽然私人实施可能已经实现了更好的性能，但由于其速度在很大程度上依赖于正在执行的操作类型、硬件优化和实施细节，因此比较 FHE 系统是复杂的。

尽管像 Zama Labs 和 Fabric 这样的公司正致力于通过专门的硬件（如改进锁箱打造）来加快 FHE 的速度，根本局限仍然存在。就像试图在水中奔跑一样。不管你多强大，水的阻力总会让你的速度比在陆地上慢得多。

这些限制不仅在于速度。FHE 还在需要比较数字或基于加密值做出决策的操作方面面临困扰。就像试图在不打开锁箱的情况下判断两个数字中哪个更大。技术上是可行的，但极其复杂和缓慢。

Zama 的技术进步使得 FHE 的速度提高 100 倍，并将其集成到现有的开发者工具中，使之可以被开发者在无须深入了解密码学的情况下使用。

不过还有更多。在你将数据加密以执行操作时，其尺寸会增加。增加了 20,000 倍！Zama 在减少 FHE 加密数据大小方面的关键突破是，过去扩展数据大小 20,000 倍的现象现在已压缩至仅为 50 倍。然而这仍然不适合实际用途。通过进一步的改进，这可以降至 10 倍，从而使其在以太坊及其他区块链上可行。专用设备，例如应用特定集成电路（ASIC），已经制造出来，旨在使 FHE 可用于现实应用。但它们还需数年才能投入使用。

这就是为什么包括 Arcium 在内的许多项目转向其他方法，如 MPC 和其他形式的同态加密（稍后描述的某种或半同态加密），这些方法可以实现类似的隐私保障，同时速度提升数千倍。值得注意的是，即使 FHE 系统最终也需要 MPC 协议来揭示信息——这在某个时间点始终是区块链应用必要的一步。通过直接聚焦于 MPC 和更精确的同态加密形式，这些项目能够以更高效的方式实现所需的功能。但我在这里又超前了。

TEEs

可信执行环境 (TEE) 就像计算机处理器内部的安全金库。如果你的计算机是一个繁忙的办公大楼，而 TEE 是一个特殊的房间，墙壁不透明，敏感文件可以在这里处理。即使大楼的其余部分被攻陷，这个房间内发生的事情仍然保持私密。

英特尔是一家提供 TEE 的制造商，被像 Signal Messenger 联系人发现等服务所使用。但是，研究人员已经多次证明了不同 TEE 平台的漏洞和侧信道攻击，包括英特尔的 SGX、TDX 或 AMD 的 SEV 处理器。这表明硬件基础安全的脆弱性。

像微软 Azure 这样的云服务提供商使用 TEE 提供“保密计算”服务，客户可以处理敏感数据。但是，复杂的攻击已经成功地对这些环境进行攻击，引发了对其在高度敏感应用中的可靠性的担忧。

它的工作机制是这样的：当数据进入 TEE 时，将其解密并在此安全区域内处理。就好像在门口有保镖检查每个人的身份证，确保只有授权的代码和数据可以进入。一旦进入，数据就可以受到保护，免受同一计算机上正在运行的其他程序（包括操作系统本身）的影响。

TEE 有一个关键的弱点——它们容易受到所谓的“侧信道攻击”。在我们的办公室类比中，虽然墙壁是不透明的，但狡猾的攻击者可能仍然通过监测人们在房间内停留的时长、监视电力使用或甚至监听房间的微小声音来获取机密。在实践中，这些类型的复杂攻击反复损害了 TEE。

Secret Network 提供了 TEE 脆弱性的一个发人深省的例子。在 2022 年 8 月，研究人员发现了两个严重漏洞（xAPIC 和 MMIO漏洞），这些漏洞可能会曝光网络的“共识种子”——本质上是可以解密网络上每个隐私交易的主密钥。尽管在 2022 年 10 月实施了修复，但没有办法确认这些漏洞是否已经被利用，或者攻击者是否正在未来进行窃听。即使出于善意的节点运营者也可能无意中创造了导致未来攻击的条件。

这一事件突显了基于 TEE 的系统存在一个根本的挑战：一旦被攻陷，目前的数据就面临风险，所有历史私密交易也可能被曝光。

在 2024 年底，AMD SVE 系列 TEE 的一个重大漏洞被公开，这使得攻击者以仅 花费 10 美元的攻击成本就可以进行数据外泄。这一漏洞清楚地表明，攻击并不需要仅有国家行为者或大型公司的庞大预算。英特尔的 TEE 以及任何其他 TEE 都容易受到这些类型的攻击。

这一发现明确警示，任何制造商的 TEE 在攻击者获得物理访问硬件的情况下可能并不完全可靠。在去中心化网络中，无额外的加密保护措施（如安全多方计算 (MPC)）的情况下，让任何人从地下室运作一个 TEE 节点，只会导致更多的攻击和漏洞。

除了侧信道攻击外，TEE 另一个大问题是它们在功能上依赖于专有、封闭和完全受信任的供应链。在该供应链中，制造商生成秘密密钥，将其焊接到芯片中，运行验证服务，并升级芯片固件。这一切代表了一个单点故障的供应链。这种对可信供应链的依赖在去中心化环境中使用此技术时显得关键，而 Secret Network 的漏洞恰恰突显了这一问题。

这一现实因素促使许多项目，包括 Arcium，探索不单纯依赖于硬件安全的替代方法。与其依赖可能存在隐藏漏洞的专用硬件，他们转而依靠密码学解决方案，即使底层硬件被攻陷也能保持安全。一个安全的系统不应仅依靠 TEE，但可以使用 TEE 来进一步保障密码学解决方案的安全。

MPC

还记得真理王国吗？国王的顾问们想到了那种巧妙的解决方案，通过随机数字来计算王国的总财富。这个几个世纪前的难题完美地展现了 MPC 现在的工作原理。不是贵族们保护他们的秘密，而是计算机（称为节点）将敏感信息分割成毫无意义的碎片。这些碎片像贵族的混淆数字一样，单独揭示出无知。但是，当节点一起工作，遵循准确的数学规则时，它们可以在保持基础数据完全私密的同时执行复杂计算。

但有一个问题。这些节点需要不断地与彼此通信，以便执行即使是简单的计算。随着更多节点加入网络，这种交流剧增。这似乎就像必须通过王国中的每个贵族家庭来传递消息——即使是基本的算术运算也变得相当复杂。

传统的 MPC 系统还面临另一个关键挑战：通常需要大多数参与者诚实，系统才会正常工作。这类似于区块链网络（例如比特币或以太坊）要求大多数验证者诚实时才能维护网络安全——这一概念称为 拜占庭容错（BFT）。一些更安全的版本即使只有一个参与者诚实也能正常运作。这是一个即使 100 个参与者中有 99 个被攻陷也能保持安全的系统。

现代 MPC 实现包括冗余措施，以确保没有单个参与者能够通过脱机来中止计算。当参与者主动尝试通过提交错误数据来破坏计算时，这些系统仍然面临挑战。没有方法可以有效过滤坏分子，而不识别出哪些参与者的行为不当。这类似于我们来自 Veritasveil 的贵族故意提交错误数字来破坏总财富的计算——也就是说，虽然系统能够检测到问题，但无法准确找出罪魁祸首。

这种无法识别和去除恶意参与者的能力历史上限制了不诚实多数系统的实际部署，尽管它们的隐私保障更好。这正是 Arcium 能够以密码学方式识别作弊者的重要性，接下来将进行探讨。

从第一原理重新思考保密计算

虽然诸如 FHE、TEE 和 ZKP 的技术在各自的方式上推动了私密（或保密）计算，但是它们每一个都面临基本的局限性。FHE 因计算开销而在大多数实际应用中不切实际。尽管 TEE 高效，但已证明易受复杂的侧信道攻击。以及 ZKP，尽管在证明计算方面表现优异，但不适合多个方需同时处理加密数据的共享状态系统。

这就是 Arcium 进入这一场景的地方，以第一原理重新构想私密计算。Arcium 不接受安全性、可扩展性和信任假设之间的传统权衡，而是开发了一种旨在克服这些基本挑战的架构。

Arcium 设计的核心是多方计算在实现方面的突破。传统的 MPC 系统通常需要大多数参与者诚实，以确保系统的可靠性。即使理论上可由一个诚实方运作的更安全版本也易受到破坏。任何参与者均可通过脱机或发送错误数据使计算失效。

Arcium 的创新在于结合不诚实多数协议与能够密码学地识别恶意参与者的能力。正如首席执行官 Yannik Schrade 所言：“不诚实多数协议通常允许审查和高 DDoS 潜力，因为一个坏行为者可能导致计算失败。我们通过作弊者识别协议克服这一点，该协议生成不当行为的密码学证明，并提交给智能合约，而后通过惩罚方式对恶意节点进行惩罚。”

这一架构方法创造了强大的激励措施，使节点操作员的经济利益与诚实行为一致。更重要的是，它通过称为 MXEs（多方执行环境）的专用 MPC 环境实现了真正的保密计算并行化。Arcium 的设计允许多个独立的计算集群同时进行运算，而不是将所有计算强制通过单一管道。

但在深入探讨 Arcium 如何实现这一目标之前，让我们先看看使这一架构成为可能的关键构建模块。

Arcium 的构建模块

将 Arcium 视为一个专门为加密计算设计的分布式超级计算机。与传统的超级计算机在处理器、内存和操作系统上有相似性，Arcium 也拥有自己的专用组件以协同运行。

多方执行环境 (MXEs)

Arcium 架构的核心是 MXEs——用于安全多方计算的专用环境。MXE 就像一个安全的虚拟机，定义加密计算的执行方式。当开发者想运行保密计算时，他们首先创建一个 MXE，指定其安全需求和计算需求。

MXEs 是高度可配置的，允许开发者定义从安全模型到数据处理的各个方面。开发者可能需要启用 TEE 的节点以增强安全性，或根据应用需求指定特定的数据处理参数。使得 MXE 特别强大的，是其能够独立并行运作。与传统的 MPC 系统将所有计算强制通过单一管道不同，MXE 可以在不同节点群中运行并行计算。

集群：计算的支撑

若 MXEs 定义了计算的执行方式，则集群决定了计算的运行位置。集群是一组 Arx 节点（单个计算单元），共同执行多方计算。

Arcium 的集群设计之所以独特在于其灵活性。计算客户可以创建许可或非许可设置，根据声誉和能力选择特定节点。该设计还考虑了实际问题，如计算负载要求以及通过备用节点实现容错。

重要的是，集群加强了 Arcium 的安全模型。即使集群中的大多数节点遭到攻陷，只要有一个诚实节点，计算的隐私就会得到保护。通过密码学证明识别和惩罚恶意行为的能力使得这一安全模型务实可行。

Arx 节点：计算单元

Arx 节点是构成 Arcium 网络的个别计算机。每个节点贡献计算资源并参与多方计算。"Arx" 一词源于拉丁语，意为堡垒，反映出每个节点在保护网络中的作用。

为确保性能和安全可靠，节点必须满足特定的硬件要求，并保持与其计算能力相符的质押（抵押）。其在总计算资源中所占的比重越高，其责任越大。质押理想情况下应高于通过欺骗系统所可能获得的收益。这为诚实行为创造了强大的经济激励。试图欺骗或未能履行职责的节点将面临罚款惩罚。

arxOS：执行引擎

连接这一切的是 Arcium 的分布式、安全的操作系统 arxOS。它协调数据在网络中的流动，管理计算调度、节点协调、资源分配及状态管理。arxOS 确保尽管分布在多个节点，系统仍然可以保持一致性的操作，同时维护安全保证。

arxOS 中的状态管理通过多种方式进行。arxOS 支持将计算输入和输出作为明文或密文。持久的链上数据可以直接用作计算的输入，并且在计算完成时经过处理的结果将再写回链上。

由于链上操作的交易规模限制，对于拥有大量输入/输出数据（超出这些限制）的任务，可以使用链下数据管理（作为源或写入）。这种灵活性具有重要意义，允许开发者设计应用程序（其数据需求较低）直接与智能合约环境集成，以及选择进行持久状态的链下管理。

走进 Arcium

想象一个全球研究项目，不同制药公司希望结合其专有的药物开发数据，以寻找治愈某种疾病的方法。每家公司都有可能提供宝贵的研究，但谁也不想向竞争对手透露他们的秘密。传统方法需要所有人都信任一个中央实验室来管理其数据。对大多数公司来说，这是一种不可接受的风险。

那么，如果这些公司能够合作，而始终不揭示彼此的研究呢？更好的是，如果他们可以在合并数据上进行复杂分析，同时保持每个公司的贡献完全私密呢？这正是 Arcium 所构建的系统目标：一个多个方可以安全存储敏感数据，同时在不解密或透露底层信息的情况下进行复杂计算的系统。

挑战在于保持秘密并积极地运作它们。

在数字时代重新定义信任

在保持数据私密性方面，只要一个参与者保持诚实，Arcium 的系统保持保密，即使其他人都想窥视加密数据。这就像有一百个人看守一个秘密，只需一个值得信任的守卫就足以让它安全。

请注意，这里有一个重要的区别。虽然隐私只需要一个诚实参与者，但实际执行计算需要所有方共同努力。正如 Arcium 的首席执行官所解释的，“我们只需一个参与者的诚实就可以确保保密。然而，为了生成输出，我们需要群集中的所有节点（或某个阈值的节点）进行合作。”这就像复杂的管弦乐表演——虽然一个人可以保密乐谱，但乐团的所有演奏者都需要参与，才能让交响曲生动呈现。

这带来了一个有趣的挑战：如何确保节点确实如其职责所规范的那样执行？当某个节点失职时，无论是通过脱机还是提交错误数据（例如在加密计算的某个部分翻转一位），计算将失败，而不是产生错误结果。当发生这种情况时，系统会生成密码学证明，准确标识出导致中断的节点。这个证明就像数字监控摄像头，捕获某人现场的情形。它会提交给 Solana 上的智能合约，而后由智能合约自动通过惩罚措施（消除质押）来执行惩罚。这是针对节点问责问题的实用解决方案。

从请求到现实：Arcium 的工作流程

让我们跟随一位开发者 Joel，他正在构建一个去中心化交易所 (DEX)。他希望通过保持订单流的私密性，来防止抢单。同时，Sid 和 Shlok 是数据科学家，他们希望在保持训练数据机密的情况下进行人工智能模型的协作训练。他们的 Arcium 旅程展示了系统如何处理不同的保密计算需求。

首先，他们每个人都需要设置他们的安全计算环境，或 MXE。这就像为他们的操作租借一个高安全级别的建筑。通过 Arcium 在 Solana 上的智能合约，Joel 指定了处理交易数据的安全要求，而 Sid 和 Shlok 则为处理大规模 AI 数据集配置了他们的 MXE。这些 MXE 可以独立且同时运行，而无需将所有计算强制通过单一路径。

接下来，他们需要工作人员来填补这些安全设施。这时集群显得重要。集群是一组 Arx 节点（独立的计算机），将执行机密计算。Joel 创建了一个集群，优化了快速处理交易数据的能力，而 Sid 和 Shlok 选择了一个适合 AI 工作负载的已有强大计算能力的集群。

有趣的是，Arx 节点必须主动选择加入这些集群。每个节点独立评估机会，考虑计算需求和参与者的声誉等因素。这就像熟练的工人决定是否接受基于工作环境和潜在同事的工作机会。

一旦他们的环境准备就绪，实现保密性显得异常简单。Joel 将他的订单匹配逻辑标记为保密，而 Sid 和 Shlok 则指定他们的模型训练函数进行安全计算。仅在他们想保持私密的函数或数据结构前添加一行代码即可。在后台，Arcium 的编译器负责将这些元素转换为安全的 MPC 操作的复杂工作。

当用户与 Joel 的交易所互动，或 Sid 和 Shlok 开始他们的模型训练时，他们的保密计算请求在若干阶段流转。首先，这些请求会经过 Arcium 在 Solana 上的智能合约验证。可以将其视为在安全门口检查凭证。集群的 Arx 节点会获取加密输入，然后开始经过精心编排的 MPC 协议，由 arxOS 协调。

通过并行化实现扩展性

Arcium 具备同时处理任意数量计算的能力。例如，如果 MXE-1 跑的是相对简单的计算，而 MXE-2 则较复杂，前者可以每秒处理 100 次计算。这不会影响到后者，那里的复杂计算为每秒 5 次。与 Layer 1 区块链不同，一些协议（如 NFT 铸造）所带来的高度活动会导致网络整体拥堵，并因Gas费用飙升使其他协议变得经济上不可行，Arcium 的 MXEs 独立运作。因此，当 Joel 的 DEX 正在处理加密交易订单时，Sid 和 Shlok 的 AI 训练则可以在不同集群上独立运行。这种真正的并行化不仅限于同时运行不同的 MXE。

即使在复杂的计算内部，Arcium 也能处理独立操作和那些需要顺序分析的计算。例如，在 Joel 的交易所中，当某些节点处理新的订单加密时，其他节点则可以处理代币余额核实。这种混合方法使得系统能够在更大规模上保持安全性和效率。

区块链基础

Arcium 使用 Solana 作为其协调层，就像城市基础设施支持其商业活动一般。Solana 处理基本功能，如注册节点、管理质押、调度计算和处理支付。虽然 Arcium 本身保持无状态——专注于执行保密计算而不进行永久状态存储——但它可以与链上的状态和链下的状态无缝协作。

这种模块化设计实现了两个主要好处。首先，它允许 Arcium 可能地连接其他区块链网络，同时保持其安全性保障。其次，通过主要通过链上协调管理状态，它为节点提供了一个单一的数据来源，而无需在它们之间额外的共识机制。最终，产生了一个高可扩展性的系统，其中保密计算能够高效处理，而无须依赖于底层的状态管理。

这种架构代表了我们对保密计算的思考方式的转变。与其试图通过如 TEE 之类的硬件解决方案使单台计算机更安全，或接受 FHE 的巨大性能惩罚，Arcium 创建了一个参与者之间互动形成安全的新网络。

Arcium 有什么不同？

当 Sid 和 Shlok 在 Arcium 上训练他们的 AI 模型时，他们的数据保持加密，而复杂的数学运算则在神经网络计算中进行。Arcium 是如何通过几个技术创新使得这一切成为可能的。

将合适的工具用于合适的工作

尽管 FHE 的最新进展备受关注，Arcium 采取了更务实的方法，使用部分同态加密 (SHE)。

我们仅使用加法同态，而不直接使用任何同态乘法。我们为乘法所做的是利用相关随机数。

一个例子是不同的股票似乎随机波动，但许多股票实际上因受到相同经济因素的影响（例如利率或油价）而共同波动。

因此，虽然每个事件单独看起来可能是随机的，但背后存在某种联系使得它们朝类似的方式波动。这就像无形的线连接着那些看似完全独立而又随机的事物。

可以将其比作建立齐全的铁路系统。FHE 就像试图在高速公路上开火车。如果你进行一些特别的改装，是可以做到的，但并不切实高效，并且与基础设施的目的不协调。而 SHE，如同 Arcium 所实现，类似于为特定类型的火车建造专用轨道。通过针对最常见的旅程（加法运算）进行优化，并为其他运算（通过相关随机性进行的乘法）设立高效的转运站，该系统以较低的成本实现更好的性能。

这种方法使用密码学家所称的 “beaver triples” 的预计算值，这些值使得乘法操作变得高效。就像在铁路上高效地将货物在不同火车之间快速移动。

相关随机性是两个随机值相乘等于其某个乘积。这是由节点在无信任的预处理步骤中生成。

结果不言而喻。在许多基准测试中4，即便 Arcium 在多个节点上运行计算，它们的速度可以达到比 FHE 解决方案快 10,000 倍 的水平。在纸面上，FHE 似乎是更全面的解决方案，但 Arcium 的实用方法证明，有时专业化胜过通用化。

打破速度障碍

在 MPC 系统中，传统上速度是一个重大瓶颈。这些系统通常较慢，因为它们需要按顺序处理所有内容，并在参与方之间进行广泛交流。Arcium 已开发出若干优化方案，以解决这些根本性挑战，这得益于内部开发和收购了由摩根大通支持的保密计算公司 Inpher。这一收购使 Arcium 访问到了直接应对这些基本挑战的技术。他们已优化其加密操作，以高效地利用现有硬件加速进行 curve25519 计算。这就像为游戏配备了一块专用图形卡。但在这种情况下，它已针对支撑其安全计算的特定数学操作进行了优化。通过聪明的软件优化，减少数据移动并支持并行处理，早期测试显示这可能为加密操作带来多达 10 倍的性能提升。

整合 Inpher 技术——经过近十年的开发和在严苛企业环境中经过实战考验——引入了关键优化以应对这些挑战。在其技术核心，包含了一个增强的编译器，可消除不必要的计算，更快速地执行基本数学操作，以及专用的硬件加速，加快复杂计算的速度。

这种集成的强大之处在于系统如何处理不同类型的计算。该架构可以根据每个计算的特定需求，在标量、布尔和椭圆曲线等不同处理模式之间动态切换。我把它想象成一把能够根据螺丝的大小更换头部的电动螺丝刀。

这种灵活性使得在加密环境中曾经不可行的实用机器学习应用成为可能。例如，你需要预处理数据，使用各种指标评估模型性能，并了解模型如何做出决策。系统现在处理所有这些任务——从基本统计操作到高级算法——同时确保在整个过程中数据保持加密。

关键是，这种性能提升并未以开发者的访问性为代价。通过将 Inpher 的 Python 框架直接合并到 Arcis 编译器中，开发者可以使用熟悉的工具和工作流构建保护隐私的 AI 应用。因此，Sid 和 Shlok 可以使用熟悉的库如 PyTorch 或 TensorFlow 用 Python 编写他们的 AI 模型，而 Arcis 无缝处理与 Solana 及加密协议的集成。

该系统智能地管理在加密和非加密操作之间切换的复杂性，使得开发者可以专注于解决问题，而不是管理加密协议。

机密性的成本

传统上，机密计算伴随着巨大的权衡：安全性常常意味着牺牲速度和效率。现有的解决方案——无论是 FHE、MPC 还是 TEE——都施加了可观的计算开销，使大规模采用变得具有挑战性。

Arcium 旨在从多个层面重写这个方程，通过优化安全计算。其架构，即利用并行化的 MPC 框架，减少了与保护隐私计算通常相关的低效。与因复杂数学操作而导致极高延迟的 FHE 不同，Arcium 的系统实现了近乎实时的执行，使得机密链上应用成为可能。

对 Arcium 的 Cerberus MPC 协议的早期基准测试， 与最有效的开源 FHE 库在多标量乘法 (MSM) 上进行了比较，在配备 8GB RAM (AMD EPYC-Milan) 的机器上测试了双方计算。结果显示 Cerberus 的速度比 FHE 快 10,000 到 30,000 倍。重要的是，这一测量包括预处理和在线阶段。由于预处理通常是计算开销最大的步骤，且可以提前进行，因此实际计算在这种已加速的运行时间内仅使用其中的一小部分。

这一影响不仅限于 DeFi。基于加密数据训练的 AI 模型现在可以在不承担过高计算成本的情况下处理大数据集。机构投资者可以在不泄露市场信号的情况下执行大宗交易。企业可以在保持竞争秘密的同时，在共享数据集上协作。

通过解决机密计算的计算和经济挑战，Arcium 使得保护隐私的计算不仅在理论上可行，而且在规模上也具备了实践性。

规避机密计算中的障碍

尽管 Arcium 推进了机密计算，但在数据处理、效率和协议灵活性方面仍然存在关键挑战。

输入/输出挑战

多方计算 (MPC) 中最大瓶颈之一是高效管理输入和输出 (I/O)。正如 Yannik 所解释的：“有关 I/O 的限制使得处理大规模交易变得具有挑战性。”节点的增加意味着通信开销增加，可能造成瓶颈。

例如，合作开展疾病检测 AI 模型的医院必须提供加密数据，而不泄露患者信息。挑战在于确保数据传输的顺畅，以及加密过程。Arcium 的 MXE 架构旨在优化这个过程，但仍需要进一步改进以扩大安全协作的范围。

建立无知数据结构

也许 Arcium 最令人兴奋的进展是实施 无知数据结构，允许在不揭示具体检索哪一部分数据的情况下进行数据访问。目前的系统需要扫描所有数据，因此查找效率不高。

Arcium 旨在实现对加密数据的恒定时间读写。设想一座大型图书馆，每本书都锁在一个不透明的保险柜里。通常，找到特定书籍需要逐个解锁并检查每个保险柜——这一过程效率低下且耗时。Arcium 的创新就像为每本书配备一个编码检索机制，使得你能够即时召唤到正确的书籍，而无需透露其位置或内容。

这一突破还为排序加密数据集和构建用于大规模机密计算的无知 RAM (ORAM) 开辟了道路。就像图书管理员能够有效整理书籍而不需要了解其内容一样，Arcium 实现了对加密数据的结构化访问，确保速度和隐私不失。

一旦实现，这将使得：

• 对加密数据进行恒定时间读写：对像Joel的 DEX 这样需要快速访问加密订单簿的应用至关重要。

• 高效排序私人信息：对于 AI 训练而言必不可少，能够快速遍历数据集。

• 加密哈希图和树：在大规模机密计算中提升性能。

对于 DeFi 和 AI 应用，这些改进将解锁更快的执行，使保护隐私的交易和 AI 模型训练不会损害效率。

多协议支持

Arcium 当前采用 BDOZ 协议，该系统确保即使仅有一个参与者保持诚实，数据也保持隐私。该协议的工作有两个关键方式：

首先，它将数据分割成参与者之间的加密份额，安全检查 (MAC) 防止篡改。没有单一的一方可以看到完整的数据，但他们可以一起安全地对其进行计算。

第二，BDOZ 将工作分为两个关键阶段：预处理阶段和在线计算阶段。在预处理期间，节点生成将来进行安全计算所需的“随机原材料”，如 乘法三元组，但这些与实际输入数据无关。例如，如果节点需要在计算期间对加密值进行乘法，他们提前准备特别的随机值，使得在实际数据到来时，进行那些乘法运算的速度更快。

当实际的私有输入数据在在线阶段到达时，节点可以利用这些预处理材料高效地进行计算。这就像餐厅厨房在开业前准备食材和酱料一样。当订单到达时，可以迅速组装菜肴，多亏了提前的准备工作。预处理的值作为加密构建块，加速了对加密数据的操作，而不用透露任何关于输入本身的信息。

现实世界的可能性

当我们考察 Arcium 技术如何转变不同产业时，其潜力变得明显。尽管潜在的技术挑战复杂，但现实世界的应用却令人惊讶地具体。

革新 AI 开发

Sid 和 Shlok 的 AI 实验突显了保护隐私的 AI 如何改变医疗保健。医院掌握着大量患者数据，能够改善疾病诊断，但严格的法规使得合作研究变得困难。

一个现实中的例子是英国国民健康服务系统 (NHS)，其在 2017 年与谷歌 DeepMind 合作开发用于检测肾损伤的 AI。该项目后来因 在未获适当同意的情况下处理 160 万个患者记录 被裁定非法。这凸显了为什么 AI 模型在需要隐私的同时还必须具备可解释性——医生和监管者必须了解模型为特定预测得出什么结论。

对透明度的需求

模糊的 AI 决策可能性在加密领域表现得尤为明显。Andy Ayrey 创建了 Truth Terminal，这是一个自主 AI Twitter 账户。Marc Andreessen 在看到 Truth Terminal 关于它会如何使用 500 万美元的回答后，向其发送了 50000 美元的比特币。Truth Terminal 被发送了若干代币到其区块链地址。AI 选择了 $GOAT，至今我们仍不完全明白为什么。更引人注目的是，这一 AI 成功说服人类投资本质上是一个随机代币，推动其市值达到惊人的 10 亿美元。

我们并不完全了解为什么 AI 对 $GOAT 产生了如此浓厚的兴趣，这突显出 AI 决策缺乏解释的危险。如果 AI 能以不可预测的方式操控金融市场，那么在医疗、金融和治理方面，它的角色需要进行严格监管并提供可验证的解释。

XorSHAP 的角色

Arcium 的 XorSHAP 技术通过使决策树模型既私密又易于解释，从而解决了这一问题。传统的深度学习模型被视为“黑盒”，而 XorSHAP 则允许保护隐私的特征归因，揭示影响诊断的因素而不暴露患者数据。

例如，一个医院的 AI 系统可能会评估年龄、血压、检测结果和家族病史。XorSHAP 可以显示血液检测异常对诊断的贡献是 60%，家族病史 25%，年龄 15%，而无需暴露原始患者数据。这确保了合规，同时使 AI 决策透明且可操作。

XorSHAP 绝不是万能之计。其有效性依赖于基于决策树的模型，这些模型适合于结构化、基于规则的决策，但可能没有深度学习方法那样有效地捕捉复杂模式。虽然决策树提供解释性，但与更复杂的 AI 架构相比，它们的预测能力有所妥协。

实际的 AI 可解释性

Arcium 的系统可以同时解释多个 AI 预测，使医院能够在保持机密的同时获得实时洞察。基于组合但加密的数据集训练的 AI 模型可以在不暴露个别患者记录的情况下识别稀有疾病。

每个医院都保留对其数据的完全控制，同时对共享的更强健模型做出贡献。甚至模型权重在更新期间也保持加密。这种方法使得在合规 ortam 的 AI 创新成为可能，尤其是在医疗等受监管行业。

利用斯坦福 AI 指数中的数据，该数据突出了对 AI 系统日益增强的监管压力，Arcium 确保满足透明度和合规性不断发展的标准。通过将保护隐私的计算与模型可解释性相结合，它成为安全可信的 AI 创新的关键推动者。

不出所料，没有单一的方法可以解决所有 AI 的挑战——XorSHAP 为决策树模型提供了坚实的基础，但在机密计算中更广泛的 AI 可解释性将需要持续创新。

每个医院都完全控制其患者数据，而 AI 模型则受益于跨机构的集体知识。训练在加密数据上进行，甚至模型权重仍然保持私密。这种方法使得能够分析稀有医疗条件，而在各个医院因为数据稀缺，然而在经过安全聚合后则变得统计意义显著。

近年来，AI 在科技领域主导了发展，塑造了产业并引发了激烈的争论——包括 Ben Affleck 对此话题的 看法。

变革 DeFi

Joel 的 DEX 阐明了 Arcium 如何根本改变我们对市场透明度的看法。目前，DeFi 面临着一个悖论——尽管区块链确保了交易透明性，但这一透明性恰恰促进了前置运行和三明治攻击等有害行为。

一个显著的例子就是 MEV (矿工可提取价值)，在这个场景中，验证者或矿工利用交易的顺序流来最大化利润。最近，Jito 验证者的提示甚至超越了索拉那的交易费用，突显了从 MEV 中获得的巨大利润。MEV 的兴起为区块链生态系统引入了显著的低效和风险，常常使普通用户受到损害。随着索拉那的活动激增，MEV 也随之增加。目前，Jito 验证者 的年化运行率为 1.46 亿美元。这可以视为索拉那上 MEV 的一个代理。

Arcium 通过加密订单流解决了这一问题。交易员私下提交订单，细节在结算时才会曝光。这防止了 MEV，确保了公平执行，不会泄露市场信号。如果这样的技术消除了 MEV 的机会，像 Jito 这样的协议可能需要转变或找到替代的收入模式。

这一影响不仅限于交易。闪电贷、跨链交换和机构投资组合再平衡都可以在保密环境中进行，保护策略不受市场操控。Arcium 可以支持大规模安全、私密的执行，为所有参与者平衡竞争场。

超越区块链

Arcium 的方法能够在多个行业中实现保护隐私的数据协作。银行可以实时检测过失而不暴露客户数据，而制造商可以在不泄露专有细节的情况下协调供应链。例如，一家汽车制造商可以在多个供应商之间管理交付，同时保持操作机密。

其设计因其实用性而独特——只需要一个诚实的参与者即可确保隐私，并利用并行计算提高安全处理的效率。对于决策树模型，XorSHAP 提供特征重要性的洞察，尽管更广泛的 AI 可解释性仍然是一个持续的挑战。

从 Veritasveil 的高贵族到现代的暗池用户，组织一直在寻找合作的方式，而不妥协敏感信息。随着隐私法规的加强，以及 AI 在关键系统中的日益渗透，像 Arcium 这样的解决方案展示了可能的前进道路。但仍有一些关键问题残留：它能够多好地处理实际工作负载？即使存在学习曲线，开发者会采用它吗？它能否在实践中平衡安全、性能和可用性？

虽然 Arcium 提供了一种有前景的方法，但尚未上线。其有效性最终将取决于采用程度和实际表现。是否能够将机密计算转变为实际的现实，还有待观察。

享受新的家庭办公室，

Saurabh Deshpande

---

免责声明：DCo 成员可能在文中提到的资产中持有头寸。本文的任何部分均不构成财务或法律建议。

1

多方计算 (MPC) 现在可以使用无知数据结构和无知 RAM (ORAM) 实现类似的结果。这些结构允许对加密数据进行计算，而不会揭示哪些部分数据正在被访问或修改，从而防止旁路信息泄漏。虽然这不能完全替代混淆，但它们在共享计算环境中提供了实用的机密性，使得在不暴露底层逻辑或内存访问模式的情况下进行操作成为可能。

2

当你有增加和乘法的能力时，可以通过使用负数和倒数很容易地实现减法和除法。

3

在整篇文章中，我们交替使用“私人计算”和“机密计算”。

4

比较使用的为 tFHE-rs 0.7.3 和 Arcium 的闭源 Cerberus 用于 MSM。Cerberus 的时间包括两方的预处理和在线阶段。机器配置为 8GB RAM，AMD EPYC-Milan。

---

• 原文链接： decentralised.co/p/f77cb...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～