Vitalik Buterin：Crypto+AI 应用前景和挑战 - Just discuss - BitMere

特别感谢 Worldcoin 和 Modulus Labs 团队、Xinyuan Sun、Martin Koeppelmann 和 Illia Polosukhin 的反馈和讨论。 多年以来，很多人问过我这样一个问题：「加密货币和 AI 之间最富有成效的交叉点在哪里？」这是一个合理的问题：加密货币和 AI 是过去十年中两个主要的深度（软件）技术趋势，两者之间必定存在某种联系。从表面上看，很容易找到两者的协同作用：加密货币的去中心化可以平衡 AI 中心化，AI 是不透明的，而加密货币可以带来透明度；AI 需要数据，而区块链擅长存储和追踪数据。但多年来，当大家要求我深入探讨具体应用时，我的回答一直比较令人失望：「是的，确实有一些值得探讨的应用，但并不多」。在过去的三年里，随着现代 LLM（大型语言模型）等更强大的 AI 技术的兴起，以及不仅仅是区块链扩容解决方案，还有零知识证明、全同态加密、（两方和多方）安全多方计算等更强大加密货币技术的兴起，我开始看到了这种变化。在区块链生态系统内，或者将 AI 与密码学结合起来，确实存在一些有前景的 AI 应用，尽管在应用 AI 时需要小心谨慎。一个特殊的挑战是：在密码学中，开源是使某些东西真正安全的唯一方法，但在 AI 中，开放的模型（甚至其训练数据）大大增加了其对抗性机器学习攻击的脆弱性。这篇文章将对 Crypto+AI 可能交叉的不同方式进行分类，并探讨每个分类的前景和挑战。

来自 uETH 博客文章的 Crypto+AI 交叉点的总结。但如何才能在具体应用中真正实现这些协同作用呢？ Crypto+AI 四大交叉点AI 是一个非常广泛的概念：你可以将 AI 视为一组算法，你创建的算法不是通过明确指定，而是通过搅拌一个大的计算汤（computational soup）并施加某种优化压力来推动汤生成具有你想要的属性的算法。这个描述绝对不应该被轻视，因为它包括了创造我们人类的过程！但这也意味着 AI 算法具有一些共同的特征：它们具有非常强大的能力，同时我们在了解或理解其内部运行过程上存在一定的限制。有许多方法可以对人工智能进行分类，针对本文所讨论的人工智能与区块链之间的相互作用（Virgil Griffith 《字面意思来看，以太坊是一种变革游戏规则的技术》文章），我将按以下方式对其进行分类：

AI 作为游戏中的参与者（最高的可行性）：在 AI 参与的机制中，激励的最终来源来自于人类输入的协议。
AI 作为游戏界面（潜力很大，但存在风险）：AI 帮助用户理解周围的加密世界，并确保他们的行为（例如签名的消息和交易）与其意图相符，以避免被欺骗或受骗。
AI 作为游戏规则（需要非常谨慎）：区块链、DAO 和类似机制直接调用 AI。例如，「AI 法官」。
AI 作为游戏目标（长期而有趣）: 设计区块链、DAO 和类似机制的目标是构建和维护一个可以用于其他目的的 AI，使用加密技术的部分要么是为了更好地激励训练，要么是为了防止 AI 泄露私人数据或被滥用。

让我们一一回顾一下。 AI 作为游戏参与者实际上，这个类别已经存在了将近十年，至少从链上去中心化交易所（DEX）开始被广泛使用以来就存在了。每当存在交易所时，就有通过套利赚钱的机会，而机器人可以比人类更好地进行套利。这种用例已经存在了很长时间，即使使用的是比现在简单得多的 AI，但最终它确实是 AI 和加密货币的真实交叉点。最近，我们经常看到 MEV（最大化可提取价值）套利机器人相互利用。任何时候涉及拍卖或交易的区块链应用都会存在套利机器人。但是，AI 套利机器人只是一个更大类别的第一个例子，我预计很快将会涵盖许多其他应用。让我们来看看 AIOmen，一个 AI 作为参与者的预测市场的演示：

预测市场长期以来一直是认知技术的圣杯。早在 2014 年，我就对将预测市场用作治理的输入（未来统治）感到兴奋，并在最近的 election 中广泛尝试过。但迄今为止，预测市场在实践中并没有取得太大进展，原因有很多：最大的参与者往往是非理性的，拥有正确认知的人不愿意花时间和下注，除非有很多人涉及金钱、市场通常不够活跃等等。对此的一种回应是指出 Polymarket 或其他新的预测市场正在进行的用户体验改进，并希望它们能够在之前的迭代失败的地方不断完善并取得成功。人们愿意在体育上押注数百亿美元，那么为什么人们不投入足够的钱投注美国大选或 LK99，让认真的玩家开始参与进来呢？但这个论点必须面对一个事实，即之前的版本未能达到这种规模（至少与其支持者的梦想相比），因此似乎需要一些新的元素才能使预测市场取得成功。因此，另一个回应是指出预测市场生态系统的一个特定特点，在 2020 年代我们可以期待看到，而在 2010 年代我们没有看到：AI 的广泛参与可能性。 AI 愿意或者可以以每小时不到 1 美元的价格工作，并具有百科全书般的知识。如果这还不够，它们甚至可以与实时网络搜索功能集成。如果你创建一个市场，并提供 50 美元的流动性补贴，人类不会关心出价，但成千上万的 AI 会很容蜂拥而至，并做出他们能做出的最佳猜测。在任何一个问题上做好工作的动机可能很小，但制造出能够做出良好预测的 AI 的动机可能是数以百万计的。请注意，您甚至不需要人类来裁决大多数问题：您可以使用类似于 Augur 或 Kleros 的多轮争议系统，其中 AI 也将参与早期轮次。人类只需要在发生一系列升级并且双方都投入了大量资金的少数情况下做出反应。这是一个强大的原语，因为一旦可以使「预测市场」在如此微观的规模上发挥作用，您就可以将「预测市场」原语重复用于许多其他类型的问题，比如：

根据[使用条款]，此社交媒体帖子是否可以接受？
股票 X 的价格会发生什么变化（例如，参见 Numerai）
目前给我发消息的这个账户真的是埃隆·马斯克吗？
在在线任务市场上提交的这项工作可以接受吗？
https://examplefinance.network 上的 DApp 是骗局吗？
0x1b54....98c3 是「Casinu In」ERC20 代币地址吗？

你可能会注意到，其中很多想法都朝着我在先前提到的「信息防御」（info defense）的方向发展。广义上来说，问题是：我们如何帮助用户区分真假信息和识别欺诈行为，而不给予一个中心化的权威机构决定是非对错的权力，以免其滥用这个权力？在微观层面上，答案可以是「AI」。但从宏观层面来看，问题是：谁构建了 AI？AI 是其创造过程的反映，因此不可避免地存在偏见。需要一种更高级别的游戏来判断不同 AI 的表现，让 AI 可以作为玩家参与游戏。这种使用 AI 的方式，其中 AI 参与到一个机制中，最终通过一个链上机制从人类那里获得奖励或受到惩罚（以概率方式），我认为这是非常值得研究的。现在是更深入研究这样的用例的合适时机，因为区块链的扩展性终于取得了成功，使得以前往往无法在链上实现的「微观」任何事物现在可能可行。相关的一类应用程序正朝着高度自治的代理方向发展，使用区块链来更好地合作，无论是通过支付还是通过使用智能合约做出可信的承诺。 AI 作为游戏界面我在《My techno-optimism》中提出的一个想法是，编写面向用户的软件存在市场机会，该软件可以通过解释和识别用户正在浏览的在线世界中的危险来保护用户的利益。MetaMask 的诈骗检测功能就是一个已经存在的例子。

另一个例子是 Rabby 钱包的模拟功能，它向用户展示他们即将签署的交易的预期结果。

这些工具有可能被 AI 增强。AI 可以给出更丰富、更符合人类理解的解释，解释你参与的 DApp 是什么样的，你正在签署的更复杂操作的后果，特定代币是否真实（例如，BITCOIN 不仅仅是一串字符，它是一个真实的加密货币的名称，它不是一个 ERC20 代币，其价格远远高于 0.045 美元）等等。有一些项目开始朝这个方向全力发展（例如，使用 AI 作为主要界面的 LangChain 钱包）。我个人的观点是，目前纯粹的 AI 界面可能存在风险太大，因为它增加了其他类型错误的风险，但是 AI 与更传统的界面相结合变得非常可行。有一个值得提及的特定风险。我将在下面关于「AI 作为游戏规则」部分更详细地介绍这一点，但总体问题是对抗性机器学习：如果用户在开源钱包内有一个 AI 助手，那么坏人也会有机会获得那个 AI 助手，因此他们将有无限的机会优化他们的欺诈行为，以避开该钱包的防御措施。所有现代 AI 都会有某些漏洞，而即使只有对模型有限访问权限的训练过程，也很容易找到这些漏洞。有一个特别的风险值得一提。我将在下面的「AI 作为游戏规则」部分详细讨论这一点，但一般问题是对抗性机器学习：如果用户可以访问开源钱包内的 AI 助手，那么坏人就会有也可以访问该 AI 助手，因此他们将有无限的机会优化他们的骗局，以免触发该钱包的防御。所有现代 AI 都在某个地方存在错误，并且对于训练过程来说，即使是对模型的访问权限有限的训练过程，找到它们也不是太难。这就是「AI 参与链上微型市场」效果更好的地方：每个单独的 AI 都面临相同的风险，但你有意创建一个由数十人不断迭代和改进的开放生态系统。此外，每个单独的 AI 都是封闭的：系统的安全性来自于游戏规则的开放性，而不是每个参与者的内部运作。总结：AI 可以帮助用户用简单的语言理解正在发生的事情，可以充当实时导师，保护用户免受错误的影响，但在遇到恶意误导者和诈骗者时要注意。 AI 作为游戏规则现在，我们来讨论许多人都感到兴奋的应用，但我认为这是最具风险的，并且我们需要极其谨慎地行动：我所说的 AI 是游戏规则的一部分。这与主流政治精英对「AI 法官」的兴奋有关（例如，可以在「世界政府峰会」网站上看到相关文章），并且在区块链应用中也存在这些愿望的类似情况。如果一个基于区块链的智能合约或 DAO 需要做出主观决策，你能让 AI 简单地成为合约或 DAO 的一部分来帮助执行这些规则吗？这就是对抗性机器学习将是一个极其艰巨的挑战的地方。以下是一个简单的论点：

如果一个在机制中起关键作用的 AI 模型是封闭的，你就无法验证它的内部运作，所以它并不比中心化应用更好。
如果 AI 模型是开放的，那么攻击者可以在本地下载并模拟它，并设计经过高度优化的攻击来欺骗模型，然后他们可以在实时网络上重放该模型。

对抗性机器学习示例。来源：researchgate.net 现在，经常阅读本博客（或者是加密原生居民）的读者可能已经领会到了我的意思，并开始思考。但请稍等。我们拥有先进的零知识证明和其他非常酷的密码学形式。我们肯定可以进行一些加密魔法，隐藏模型的内部运作，以便攻击者无法优化攻击，同时证明模型正在正确执行，并且是通过一个合理的训练过程在合理的基础数据集上构建的。通常情况下，这正是我在这个博客和其他文章中提倡的思维方式。但是在涉及 AI 计算的情况下，存在两个主要的异议：

密码学开销：在 SNARK（或 MPC 等）中执行某项任务比明文执行效率低得多。考虑到 AI 本身已经具有很高的计算需求，是否在密码学黑匣子中执行 AI 计算在计算上是否可行？
黑匣子对抗性机器学习攻击：即使不了解模型的内部工作原理，也有方法对 AI 模型进行攻击优化。如果隐藏得过于严密，你可能会使选择训练数据的人更容易通过中毒攻击来损害模型的完整性。

这两个都是复杂的兔子洞，需要逐个进行深入探讨。加密开销密码学工具，尤其是 ZK-SNARK 和 MPC 等通用工具，开销很高。客户端直接验证以太坊区块需要几百毫秒，但生成 ZK-SNARK 来证明此类区块的正确性可能需要数小时。其他加密工具（例如 MPC）的开销可能更大。 AI 计算本身已经非常昂贵：最强大的语言模型输出单词的速度只比人类阅读速度稍快一些，更不用说训练这些模型通常需要数百万美元的计算成本。顶级模型与试图在训练成本或参数数量上更加节省的模型之间的质量差异很大。乍一看，这是怀疑将 AI 包裹在密码学中以添加保证的整个项目的一个很好的理由。不过幸运的是，AI 是一种非常特殊的计算类型，这使得它能够进行各种优化，而 ZK-EVM 等更多「非结构化」计算类型无法从中受益。让我们来看看 AI 模型的基本结构：

通常，AI 模型主要由一系列矩阵乘法组成，其中散布着每个元素的非线性运算，例如 ReLU 函数 ( y = max(x, 0) )。渐近地，矩阵乘法占据了大部分工作。这对于密码学来说确实很方便，因为许多密码学形式可以几乎「免费」地进行线性操作（至少在加密模型而不是输入时进行矩阵乘法运算）。如果您是密码学家，可能已经听说过同态加密中的类似现象：对加密密文执行加法非常容易，但乘法却非常困难，直到 2009 年我们才找到了一种无限深度的方法来进行乘法操作。对于 ZK-SNARK，类似于 2013 年的协议，该协议在证明矩阵乘法方面的开销不到 4 倍。不幸的是，非线性层的开销仍然很大，实践中最好的实现显示开销约为 200 倍。但是，通过进一步的研究，有希望大大减少这种开销。可以参考 Ryan Cao 的演示，其中介绍了一种基于 GKR 的最新方法，以及我自己对 GKR 主要组成部分的简化解释。但对于许多应用程序来说，我们不仅想证明 AI 输出计算正确，还想隐藏模型。对此有一些简单的方法：您可以拆分模型，以便一组不同的服务器冗余地存储每个层，并希望泄漏某些层的某些服务器不会泄漏太多数据。但也有一些令人惊讶的专门多方计算。在这两种情况下，故事的寓意是相同的：AI 计算的主要部分是矩阵乘法，而针对矩阵乘法可以设计非常高效的 ZK-SNARKs、MPCs（甚至是 FHE），因此将 AI 放入密码学框架中的总开销出乎意料地很低。通常情况下，非线性层是最大的瓶颈，尽管它们的大小较小。也许像查找参数（lookup）等新技术可以提供帮助。黑盒对抗性机器学习现在，让我们来讨论另一个重要问题：即使模型的内容保持私密，你只能通过「API 访问」模型，你仍然可以进行的攻击类型。引用一篇 2016 年的论文：

许多机器学习模型容易受到对抗性示例的影响：专门设计的输入会导致机器学习模型产生不正确的输出。影响一个模型的对抗性示例通常会影响另一个模型，即使这两个模型具有不同的架构或在不同的训练集上进行训练，只要两个模型都经过训练以执行相同的任务即可。因此，攻击者可以训练自己的替代模型，针对替代模型制作对抗性示例，并将其转移到受害者模型，而有关受害者的信息很少。

潜在地，即使你对要攻击的模型的访问非常有限或没有访问权限，你甚至可以仅仅通过训练数据来创建攻击。截至 2023 年，这类攻击仍然是一个重大问题。为了有效遏制此类黑盒攻击，我们需要做两件事：

真正限制谁或什么可以查询模型以及查询的数量。具有无限制 API 访问权限的黑盒是不安全的；具有非常受限的 API 访问权限的黑盒可能是安全的。
隐藏训练数据的同时，确保训练数据创建过程的不被损坏是一个重要目标。

就前者而言，在这方面做得最多的项目可能是 Worldcoin，我在这里详细分析了它的早期版本（以及其他协议）。Worldcoin 在协议级别广泛使用 AI 模型，以（i）将虹膜扫描转换为易于比较相似性的简短「虹膜代码」，以及（ii）验证其扫描的物体实际上是人类。 Worldcoin 所依赖的主要防御措施是，不允许任何人简单地调用 AI 模型：相反，它使用可信硬件来确保该模型只接受由 orb 相机数字签名的输入。这种方法并不保证有效：事实证明，你可以通过物理贴片或佩戴在脸上的珠宝等方式对生物特征识别 AI 进行对抗性攻击。

在额头上戴上额外的东西，可以规避检测甚至冒充别人。来源：https://arxiv.org/pdf/2109.09320.pdf 但是我们的希望是，如果将所有防御措施综合起来，包括隐藏 AI 模型本身、严格限制查询数量，并要求每个查询以某种方式进行身份验证，那么对抗性攻击就会变得非常困难，从而使系统更加安全。这就引出了第二个问题：我们如何隐藏训练数据？这就是「由 DAO 民主管理 AI」实际上可能有意义的地方：我们可以创建一个链上的 DAO，来管理允许谁提交训练数据（以及对数据本身所需的陈述），谁可以进行查询以及查询的数量，并使用诸如 MPC 的密码学技术来加密从每个个体用户的训练输入到每个查询的最终输出的整个 AI 创建和运行流程。这个 DAO 可以同时满足广受欢迎的目标，即对提交数据的人进行补偿。

需要重申的是，这个计划是非常雄心勃勃的，并且有很多方面可以证明它是不切实际的：

对于这种完全黑盒架构来说，加密开销仍然可能太高，无法与传统的封闭式「trust me」方法竞争。
事实可能是，没有一种好的方法可以使训练数据提交过程去中心化并防止中毒攻击。
由于参与者串通，多方计算设备可能会破坏其安全或隐私保证：毕竟，这种情况在跨链桥上一再发生过。

我没有在本节开头警告「不要做 AI 法官，那是反乌托邦」的原因之一是，我们的社会已经高度依赖于不可问责的集中式 AI 法官：决定哪种类型的算法帖子和政治观点在社交媒体上得到提升和降低，甚至受到审查。我确实认为，在当前阶段进一步扩大这一趋势是一个相当糟糕的想法，但我并不认为区块链社区对 AI 进行更多的实验会是使情况变得更糟糕的主要原因。实际上，加密技术有一些非常基本且低风险的方式可以改进甚至是现有的集中式系统，我对此非常有信心。其中一种简单的技术是延迟发布的验证 AI：当社交媒体网站使用基于 AI 的帖子排名时，它可以发布一个 ZK-SNARK，证明生成该排名的模型的哈希值。该网站可以承诺在一定延迟后（例如一年）公开其 AI 模型。一旦模型被公开，用户可以检查哈希值以验证是否发布了正确的模型，并且社区可以对模型进行测试以验证其公平性。发布延迟将确保模型发布时，它已经过时了。因此，与中心化世界相比，问题不在于我们是否能够做得更好，而在于我们能够做到多好。然而，对于去中心化的世界来说，需要谨慎行事：如果有人构建了一个使用 AI 预言机的预测市场或稳定币，然后有人发现预言机是可以攻击的，那将有一大笔资金可能会在瞬间消失。 AI 作为游戏目标如果上述用于创建可扩展的去中心化私人 AI（其内容是不为任何人所知的黑匣子）的技术实际上可以发挥作用，那么这也可以用于创建具有超越区块链的实用性的 AI。NEAR 协议团队正在将此作为他们正在进行的工作的核心目标。这样做有两个原因：如果通过使用区块链和多方计算的某种组合来运行训练和推断过程，可以创建「可信任的黑匣子 AI」，那么许多用户担心系统存在偏见或欺骗的应用程序可以从中受益。许多人表达了对我们所依赖的 AI 进行民主治理的愿望；密码学和基于区块链的技术可能是实现这一目标的途径。从 AI 安全的角度来看，这将是一种创建去中心化 AI 的技术，同时具有自然的紧急停止开关，并且可以限制试图使用 AI 进行恶意行为的查询。值得注意的是，「使用加密激励来鼓励制作更好的 AI」可以在不完全陷入使用密码学完全加密的兔子洞的情况下实现：像 BitTensor 这样的方法就属于这个类别。结论随着区块链和 AI 的不断发展，两者交叉领域的应用案例也正在增加，其中一些用用例更具意义和更具鲁棒性。总体而言，那些底层机制基本保持设计不变，但个体参与者变成了 AI 的应用案例，在更微观的层面上有效地运行的机制，是最具有即时前景和最容易实现的。最具挑战性的是那些试图使用区块链和密码学技术创建「单例」（singleton）的应用程序：某些应用程序出于某种目的而依赖的单个去中心化可信 AI。这些应用程序在功能性和改善 AI 安全性方面都具有潜力，同时避免中心化风险。但底层假设也有可能在很多方面失效。因此，尤其是在高价值和高风险环境中部署这些应用程序时需要谨慎行事。我期待在所有这些领域看到更多有建设性的 AI 应用案例的尝试，这样我们就可以看到哪些用例在规模上真正可行。