Vitalik新作：Crypto+AI的应用前景和挑战

Foresight News

特邀专栏作者

2024-01-31 03:04

本文約7326字，閱讀全文需要約11分鐘

Vitalik详述Crypto+AI四大交叉点。

撰文：Vitalik Buterin

編輯：Karen，Foresight News

特別感謝Worldcoin 和Modulus Labs 團隊、Xinyuan Sun、Martin Koeppelmann 和Illia Polosukhin 的回饋和討論。

多年來，許多人問過我這樣一個問題：「加密貨幣和AI 之間最富有成效的交叉點在哪裡？」這是一個合理的問題：加密貨幣和AI 是過去十年中兩個主要的深度（軟件）技術趨勢，兩者之間必定存在某種聯繫。

從表面上看，很容易找到兩者的協同作用：加密貨幣的去中心化可以平衡AI 中心化，AI 是不透明的，而加密貨幣可以帶來透明度；AI 需要數據，而區塊鏈擅長儲存和追蹤數據。但多年來，當大家要求我深入探討具體應用時，我的回答一直比較令人失望：「是的，確實有一些值得探討的應用，但不多」。

在過去的三年裡，隨著現代LLM（大型語言模型）等更強大的AI 技術的興起，以及不僅僅是區塊鏈擴容解決方案，還有零知識證明、全同態加密、（兩方和多方）安全多方計算等更強大加密貨幣技術的興起，我開始看到了這種變化。在區塊鏈生態系統內，或將AI 與密碼學結合起來，確實存在一些有前景的AI 應用，儘管在應用AI 時需要小心謹慎。一個特殊的挑戰是：在密碼學中，開源是使某些東西真正安全的唯一方法，但在AI 中，開放的模型（甚至是其訓練資料）大大增加了其對抗性機器學習攻擊的脆弱性。這篇文章將對Crypto+AI 可能交叉的不同方式進行分類，並探討每個分類的前景和挑戰。

來自uETH 博客文章的Crypto+AI 交叉點的總結。但如何才能在具體應用中真正實現這些協同作用？

Crypto+AI 四大交叉點

AI 是一個非常廣泛的概念：你可以將AI 視為一組算法，你創建的算法不是通過明確指定，而是通過攪拌一個大的計算湯（computational soup）並施加某種優化壓力來推動湯生成具有你想要的屬性的算法。

這個描述絕對不應該被輕視，因為它包括了創造我們人類的過程！但這也意味著AI 算法具有一些共同的特徵：它們具有非常強大的能力，同時我們在了解或理解其內部運作過程上有一定的限制。

有許多方法可以對人工智能進行分類，針對本文所討論的人工智能與區塊鏈之間的相互作用（Virgil Griffith 《字面意思來看，以太坊是一種變革遊戲規則的技術》文章），我將按以下方式對其進行分類：

AI 作為遊戲中的參與者（最高的可行性）：在AI 參與的機制中，激勵的最終來源來自於人類輸入的協議。
AI 作為遊戲界面（潛力很大，但存在風險）：AI 幫助用戶理解周圍的加密世界，並確保他們的行為（例如簽署的信息和交易）與其意圖相符，以避免被欺騙或受騙。
AI 作為遊戲規則（需要非常謹慎）：區塊鏈、DAO 和類似機制直接調用AI。例如，「AI 法官」。
AI 作為遊戲目標（長期而有趣）: 設計區塊鏈、DAO 和類似機制的目標是構建和維護一個可以用於其他目的的AI，使用加密技術的部分要么是為了更好地激勵訓練，要么是為了防止AI 洩露私人資料或被濫用。

讓我們一一回顧一下。

AI 作為遊戲參與者

實際上，這個類別已經存在了將近十年，至少從鏈上去中心化交易所（DEX）開始被廣泛使用以來就存在了。每當有交易所時，就有透過套利賺錢的機會，而機器人可以比人類更好地進行套利。

這種用例已經存在了很長時間，即使使用的是比現在簡單得多的AI，但最終它確實是AI 和加密貨幣的真實交叉點。最近，我們經常看到MEV（最大化可提取價值）套利機器人相互利用。任何時候涉及拍賣或交易的區塊鏈應用都會存在套利機器人。

但是，AI 套利機器人只是一個更大類別的第一個例子，我預計很快就會涵蓋許多其他應用。讓我們來看看AIOmen，一個AI 作為參與者的預測市場的演示：

預測市場長期以來一直是認知技術的聖杯。早在2014 年，我就對將預測市場用作治理的輸入（未來統治）感到興奮，並在最近的election 中廣泛嘗試。但迄今為止，預測市場在實踐中並沒有取得太大進展，原因有很多：最大的參與者往往是非理性的，擁有正確認知的人不願意花時間和下注，除非有很多人涉及金錢、市場通常不夠活躍等。

對此的一種回應是指出Polymarket 或其他新的預測市場正在進行的用戶體驗改進，並希望它們能夠在先前的迭代失敗的地方不斷改進並取得成功。人們願意在體育上押注數百億美元，那麼為什麼人們不投入足夠的錢投注美國大選或LK 99 ，讓認真的玩家開始參與其中呢？但這個論點必須面對一個事實，即先前的版本未能達到這種規模（至少與其支持者的夢想相比），因此似乎需要一些新的元素才能使預測市場成功。因此，另一個回應是指出預測市場生態系統的一個特定特點，在2020 年代我們可以期待看到，而在2010 年代我們沒有看到：AI 的廣泛參與可能性。

AI 願意或可以以每小時不到1 美元的價格工作，並具有百科全書般的知識。如果這還不夠，它們甚至可以與即時網絡搜尋功能整合。如果你創造一個市場，並提供50 美元的流動性補貼，人類不會關心出價，但成千上萬的AI 會很容蜂擁而至，並做出他們能做出的最佳猜測。

在任何一個問題上做好工作的動機可能很小，但製造出能夠做出良好預測的AI 的動機可能是數以百萬計的。請注意，您甚至不需要人類來裁決大多數問題：您可以使用類似於Augur 或Kleros 的多輪爭議系統，其中AI 也將參與早期輪次。人類只需要在發生一系列升級並且雙方都投入了大量資金的少數情況下做出反應。

這是一個強大的原語，因為一旦可以使「預測市場」在如此微觀的規模上發揮作用，您就可以將「預測市場」原語重複用於許多其他類型的問題，例如：

根據[使用條款]，此社交媒體貼文是否可以接受？
股票X 的價格會發生什麼變化（例如，請參閱Numerai）
目前給我訊息的這個帳號真的是伊隆馬斯克嗎？
在線上任務市場上提交的這項工作可以接受嗎？
https://examplefinance.network 上的DApp 是騙局嗎？
0x 1 b 54....98 c 3 是「Casinu In」ERC 20 代幣位址嗎？

你可能會注意到，其中許多想法都朝著我先前提到的“資訊防禦」（info defense）的方向發展。廣義來說，問題是：我們如何幫助使用者區分真假資訊和識別詐騙行為，而不給予一個中心化的權威機構決定是非對錯的權力，以免其濫用這個權力？在微觀層面上，答案可以是「AI」。

但從宏觀層面來看，問題是：誰建構了AI？ AI 是其創造過程的反映，因此不可避免地存在偏見。需要更高層次的遊戲來判斷不同AI 的表現，讓AI 可以作為玩家參與遊戲。

這種使用AI 的方式，其中AI 參與到一個機制中，最終通過一個鏈上機制從人類那裡獲得獎勵或受到懲罰（以概率方式），我認為這是非常值得研究的。現在是更深入研究這樣的用例的合適時機，因為區塊鏈的擴展性終於取得了成功，使得以前往往無法在鏈上實現的「微觀」任何事物現在可能可行。

相關的一類應用正朝著高度自治的代理方向發展，使用區塊鏈來更好地合作，無論是透過支付還是透過使用智慧合約做出可信的承諾。

AI 作為遊戲介面

我在《My techno-optimism》中提出的一個想法是，編寫面向用戶的軟件存在市場機會，該軟件可以通過解釋和識別用戶正在瀏覽的在線世界中的危險來保護用戶的利益。 MetaMask 的詐騙偵測功能就是一個已經存在的例子。

另一個例子是Rabby 錢包的模擬功能，它向用戶展示他們即將簽署的交易的預期結果。

這些工具有可能被AI 增強。 AI 可以給出更豐富、更符合人類理解的解釋，解釋你參與的DApp 是什麼樣的，你正在簽署的更複雜操作的後果，特定代幣是否真實（例如，BITCOIN 不僅僅是一串字符，它是一個真實的加密貨幣的名稱，它不是一個ERC 20 代幣，其價格遠遠高於0.045 美元）等等。有一些項目開始朝這個方向全力發展（例如，使用AI 作為主要界面的LangChain 錢包）。我個人的觀點是，目前純粹的AI 界面可能存在風險太大，因為它增加了其他類型錯誤的風險，但AI 與更傳統的界面相結合變得非常可行。

有一個值得提及的特定風險。我將在下面關於“AI 作為遊戲規則”部分更詳細地介紹這一點，但總體問題是對抗性機器學習：如果用戶在開源錢包內有一個AI 助手，那麼壞人也會有機會獲得那個AI 助手，因此他們將有無限的機會優化他們的詐騙行為，以避開該錢包的防禦措施。所有現代AI 都會有某些漏洞，而即使只有對模型有限存取權限的訓練過程，也很容易找到這些漏洞。

有一個特別的風險值得一提。我將在下面的“AI 作為遊戲規則”部分詳細討論這一點，但一般問題是對抗性機器學習：如果用戶可以訪問開源錢包內的AI 助手，那麼壞人就會有也可以訪問該AI 助手，因此他們將有無限的機會來優化他們的騙局，以免觸發該錢包的防禦。所有現代AI 都在某個地方存在錯誤，並且對於訓練過程來說，即使是對模型的訪問權限有限的訓練過程，找到它們也不是太難。

這就是「AI 參與鏈上微型市場」效果更好的地方：每個單獨的AI 都面臨相同的風險，但你有意創造一個由數十人不斷迭代和改進的開放生態系統。

此外，每個單獨的AI 都是封閉的：系統的安全性來自於遊戲規則的開放性，而不是每個參與者的內部運作。

總結：AI 可以幫助使用者用簡單的語言理解正在發生的事情，可以充當即時導師，保護使用者免受錯誤的影響，但在遇到惡意誤導者和詐騙者時要注意。

AI 作為遊戲規則

現在，我們來討論許多人都感到興奮的應用，但我認為這是最具風險的，我們需要極其謹慎地行動：我所說的AI 是遊戲規則的一部分。這與主流政治精英對「AI 法官」的興奮有關（例如，可以在「世界政府高峰會」網站上看到相關文章），並且在區塊鏈應用中也存在這些願望的類似情況。如果一個基於區塊鏈的智慧合約或DAO 需要做出主觀決策，你能讓AI 簡單地成為合約或DAO 的一部分來幫助執行這些規則嗎？

這就是對抗性機器學習將會是個極為艱鉅的挑戰的地方。以下是一個簡單的論點：

如果一個在機制中起關鍵作用的AI 模型是封閉的，你就無法驗證它的內部運作，所以它並不比中心化應用更好。
如果AI 模型是開放的，那麼攻擊者可以在本地下載並模擬它，並設計經過高度優化的攻擊來欺騙模型，然後他們可以在即時網絡上重播該模型。

對抗性機器學習範例。來源：researchgate.net

現在，經常閱讀這篇部落格（或加密原生居民）的讀者可能已經領會到了我的意思，並開始思考。但請稍等。

我們擁有先進的零知識證明和其他非常酷的密碼學形式。我們肯定可以進行一些加密魔法，隱藏模型的內部運作，以便攻擊者無法優化攻擊，同時證明模型正在正確執行，並且是通過一個合理的訓練過程在合理的基礎數據集上建構的。

通常情況下，這正是我在這個部落格和其他文章中所提倡的思維。但是在涉及AI 計算的情況下，有兩個主要的異議：

密碼學開銷：在SNARK（或MPC 等）中執行某項任務比明文執行效率低很多。考慮到AI 本身已經具有很高的計算需求，是否在密碼學黑盒子中執行AI 計算在計算上是否可行？
黑盒子對抗性機器學習攻擊：即使不了解模型的內部運作原理，也有方法對AI 模型進行攻擊優化。如果隱藏得太嚴密，你可能會使選擇訓練資料的人更容易通過中毒攻擊來損害模型的完整性。

這兩個都是複雜的兔子洞，需要逐一深入探討。

加密開銷

密碼學工具，尤其是ZK-SNARK 和MPC 等通用工具，開銷很高。客戶端直接驗證以太坊區塊需要幾百毫秒，但產生ZK-SNARK 來證明此類區塊的正確性可能需要數小時。其他加密工具（例如MPC）的開銷可能更大。

AI 計算本身已經非常昂貴：最強大的語言模型輸出單字的速度只比人類閱讀速度稍快一些，更不用說訓練這些模型通常需要數百萬美元的計算成本。頂級模型與試圖在訓練成本或參數數量上更加節省的模型之間的品質差異很大。乍一看，這是懷疑將AI 包裹在密碼學中以添加保證的整個項目的一個很好的理由。

不過幸運的是，AI 是一種非常特殊的計算類型，這使得它能夠進行各種優化，而ZK-EVM 等更多「非結構化」計算類型無法從中受益。讓我們來看看AI 模型的基本結構：

通常，AI 模型主要由一系列矩陣乘法組成，其中散佈著每個元素的非線性運算，例如ReLU 函數( y = max(x, 0) )。漸近地，矩陣乘法佔了大部分工作。這對於密碼學來說確實很方便，因為許多密碼學形式可以幾乎「免費」地進行線性操作（至少在加密模型而不是輸入時進行矩陣乘法運算）。

如果您是密碼學家，可能已經聽過同態加密中的類似現象：對加密密文執行加法非常容易，但乘法卻非常困難，直到2009 年我們才找到了一種無限深度的方法來進行乘法操作。

對於ZK-SNARK，類似於2013 年的協議，該協定在證明矩陣乘法方面的開銷不到4 倍。不幸的是，非線性層的開銷仍然很大，實踐中最好的實現顯示開銷約為200 倍。

但是，通過進一步的研究，有希望大幅減少這種開銷。可以參考Ryan Cao 的示範，其中介紹了一種基於GKR 的最新方法，以及我自己對GKR 主要組成部分的簡化解釋。

但對於許多應用程式來說，我們不僅想證明AI 輸出計算正確，還想隱藏模型。對此有一些簡單的方法：您可以拆分模型，以便一組不同的服務器冗餘地存儲每個層，並希望洩露某些層的某些服務器不會洩露太多數據。但也有一些令人驚訝的專門多方計算。

在這兩種情況下，故事的寓意是相同的：AI 計算的主要部分是矩陣乘法，而針對矩陣乘法可以設計非常有效率的ZK-SNARKs、MPCs（甚至是FHE），因此將AI 放入密碼學框架中的總開銷出乎意料地很低。通常情況下，非線性層是最大的瓶頸，儘管它們的大小較小。也許像尋找參數（lookup）等新技術可以提供幫助。

黑盒對抗性機器學習

現在，讓我們來討論另一個重要問題：即使模型的內容保持私密，你只能透過「API 存取」模型，你仍然可以進行的攻擊類型。引用一篇2016 年的論文：

許多機器學習模型容易受到對抗性範例的影響：專門設計的輸入會導致機器學習模型產生不正確的輸出。影響一個模型的對抗性範例通常會影響另一個模型，即使這兩個模型具有不同的架構或在不同的訓練集上進行訓練，只要兩個模型都經過訓練以執行相同的任務即可。因此，攻擊者可以訓練自己的替代模型，針對替代模型製作對抗性範例，並將其轉移到受害者模型，而受害者的資訊很少。

潛在地，即使你對要攻擊的模型的訪問非常有限或沒有訪問權限，你甚至可以僅僅通過訓練數據來創建攻擊。截至2023 年，這類攻擊仍然是一個重大問題。

為了有效遏制此類黑盒攻擊，我們需要做兩件事：

真正限制誰或什麼可以查詢模型以及查詢的數量。具有無限制API 存取權限的黑盒子是不安全的；具有非常受限的API 存取權限的黑盒子可能是安全的。
隱藏訓練資料的同時，確保訓練資料創建過程的不被損壞是一個重要目標。

就前者而言，在這方面做得最多的項目可能是Worldcoin，我在這裡詳細分析了它的早期版本（以及其他協議）。 Worldcoin 在協議級別廣泛使用AI 模型，以（i）將虹膜掃描轉換為易於比較相似性的簡短「虹膜代碼」，以及（ii）驗證其掃描的物體實際上是人類。

Worldcoin 所依賴的主要防禦措施是，不允許任何人簡單地調用AI 模型：相反，它使用可信硬件來確保該模型只接受由orb 相機數字簽署的輸入。

這種方法並不能保證有效：事實證明，你可以透過實體貼片或佩戴在臉上的珠寶等方式對生物特徵識別AI 進行對抗性攻擊。

在額頭上戴上額外的東西，可以規避檢測甚至冒充別人。資料來源：https://arxiv.org/pdf/2109.09320.pdf

但是我們的希望是，如果將所有防禦措施綜合起來，包括隱藏AI 模型本身、嚴格限制查詢數量，並要求每個查詢以某種方式進行身份驗證，那麼對抗性攻擊就會變得非常困難，從而使系統更加安全。

這就引出了第二個問題：我們要如何隱藏訓練資料？這就是「由DAO 民主管理AI」實際上可能有意義的地方：我們可以創建一個鏈上的DAO，來管理允許誰提交訓練資料（以及對資料本身所需的陳述），誰可以進行查詢以及查詢的數量，並使用諸如MPC 的密碼學技術來加密從每個個體用戶的訓練輸入到每個查詢的最終輸出的整個AI 創建和運行流程。這個DAO 可以同時滿足廣受歡迎的目標，也就是對提交資料的人進行補償。