作者:Vitalik Buterin
翻譯:白話區塊鏈
多年來,許多人都問過我一個類似的問題:我眼里加密和AI之間最有成果的交集是什么?
確實,加密和AI是過去十年兩個主要的技術趨勢,而且感覺上兩者之間一定有某種聯系。表面上很容易找到二者的協同效應:加密去中心化可以平衡AI的集中化,AI是不透明的,而加密帶來透明度,AI需要數據,而區塊鏈適合存儲和跟蹤數據。但多年來,當人們要我深入一層,談論具體的應用時,我的回答令人失望:“是的,雖然市場上有一些東西,但并不多”。
在過去的三年里,隨著現代LLM形式的更強大AI的崛起,以及不僅僅是區塊鏈擴展解決方案,還有ZKPs,FHE,(兩方和多方)MPC等更強大的加密貨幣的崛起,我開始看到這種變化。確實有一些有前景的應用,在區塊鏈生態系統內部的人工智能中,或者與密碼學一起使用,盡管需要謹慎地考慮如何應用人工智能。
一個特別的挑戰是:在密碼學中,開源是使某物真正安全的唯一途徑,但在AI中,模型(甚至其訓練數據)的開放極大地增加了其對敵對機器學習攻擊的脆弱性。
本文將介紹加密+AI可能相交的不同方式的分類,以及每個類別的前景和挑戰。
1、四大主要類別
AI是一個廣義概念:你可以把它看作是通過大規模計算和施加優化壓力來創建的算法集合,而不是通過明確定義它們。這種描述非常重要,因為它涵蓋了創造人類的過程。但這也意味著人工智能算法有一些共同的特性:它們可以執行強大功能,但我們的運作能力有限。
對于與區塊鏈互動的人工智能,可將其分類如下:
1)作為游戲參與者的人工智能:參與機制的人工智能,其最終激勵來源于具有人類輸入的協議。
2)作為游戲界面的人工智能:幫助用戶理解加密世界,并確保他們的行為與意圖相符,避免欺騙。
3)作為游戲規則的人工智能:直接調用于區塊鏈、DAO和類似機制,例如“人工智能法官”。
4)作為游戲目標的人工智能:設計用于構建和維護其他目的的人工智能,使用加密技術激勵訓練或防止泄露隱私數據或被濫用。
讓我們逐一詳細討論這些。
2、人工智能作為游戲中的參與者
這個類別實際上已經存在了近十年,至少自從鏈上 DEXes 開始被廣泛使用以來就一直存在。每次發生交易時,都存在通過套利賺錢的機會,而機器人可以比人類更好地進行套利。盡管這種用例已經存在了很長時間,甚至是在比今天簡單得多的人工智能時代,但最終它成為了人工智能與加密貨幣交叉點的真實體現。最近,我們經常看到MEV套利機器人相互利用。每當涉及到拍賣或交易的區塊鏈應用時,都會有套利機器人存在。
然而,人工智能套利機器人只是一個更大類別的第一個例子,我預計很快將開始涉及許多其他應用。讓我們來看看AIOmen,一個預測市場的演示,其中人工智能是參與者:
預測市場一直被視為認知技術的圣杯。然而,過去的嘗試并不成功,主要因為最大的參與者往往是非理性的,而有知識的人不愿意參與。但隨著Polymarket等新預測市場的出現,人工智能的廣泛參與可能會改變這一局面。
人工智能具有高效執行和巨大知識儲備的優勢,因此在市場中可能會取代人類。即使對于微小的激勵,成千上萬的人工智能也會涌入并提供最佳猜測。而多輪爭議系統如Augur或Kleros,則可以解決大多數問題,無需人類裁決。
一旦預測市場在微觀層面上運作良好,我們可以將其應用于許多其他問題,例如社交媒體帖子的可接受性、股票價格變化等。
這種使用人工智能的方式值得研究,因為它可以通過鏈上機制收集人類輸入,并以概率方式獎勵或懲罰參與者。此外,區塊鏈的擴展使得之前在鏈上不可行的微觀操作成為可能。
另一類相關的應用是朝著高度自治的代理方向發展,無論是通過支付還是使用智能合約進行可信承諾。
3、人工智能作為游戲界面
在我關于人工智能的文章中提到的一個想法是,編寫用戶界面軟件可能存在市場機會,該軟件可以通過解釋和識別用戶正在瀏覽的在線世界中的危險,來保護用戶的利益。一個已經存在的例子是Metamask的詐騙檢測功能:
另一個例子是Rabby錢包的模擬功能,該功能向用戶展示了他們即將簽署的交易的預期后果。
Rabby向我解釋了簽署一筆交易的后果,即將我的所有“BITCOIN”(一些隨機的欺詐ERC20Token,而不是實際的BTC)交易為ETH。
這些工具可以通過人工智能進行強化,提供更豐富的解釋,例如對參與的dapp的解釋、簽署的復雜操作的后果以及特定Token是否真實等(例如,BITCOIN不僅僅是一串字符,它是一個實際的加密貨幣名稱,不是一個ERC20Token,其價格遠高于0.045美元,而現代LLM會知道這一點)。
一些項目已經朝這個方向發展,例如使用人工智能作為主要接口的LangChain錢包。然而,純粹的人工智能界面可能存在風險,因為它增加了其他類型錯誤的風險,但人工智能與傳統界面相輔相成的方式正在變得可行。
需要注意的一個特定風險是對抗性機器學習:如果用戶在開源錢包中使用人工智能助手,壞人也可以使用該助手,并不斷優化他們的欺詐活動。因此,“人工智能參與鏈上微市場”的優勢在于每個獨立的人工智能容易受到相同的風險,但通過創建一個開放的生態系統,由數十個人不斷迭代和改進它們,系統的安全性來自于游戲規則的公開性。
總結:人工智能可以幫助用戶用通俗的語言理解正在發生的事情,充當實時導師,保護用戶免受錯誤,但在試圖直接對抗惡意的誤導者和騙子時要小心。
4、人工智能作為游戲規則
現在,我們來談談很多人都很興奮的應用,但我認為這是最危險的,并且是我們需要最謹慎地處理的地方:我稱之為人工智能成為游戲規則的一部分。這與主流政治精英對于“人工智能法官”感到興奮有關,并且在區塊鏈應用程序中存在這些愿望的類似之處。如果基于區塊鏈的智能合約或DAO需要做出主觀決定(例如,一個特定的工作產品是否在雇傭合同中可接受?哪種是像Optimism Law of Chains這樣的自然語言憲法的正確解釋?),您是否可以讓人工智能簡單地成為合同或DAO的一部分來幫助執行這些規則?
這就是對抗性機器學習,是一個極其有挑戰的地方。基本的兩句論點是這樣的:
如果在一個機制中發揮關鍵作用的人工智能模型是封閉的,那么你無法驗證其內部工作原理,因此它與中心化應用沒有什么區別。如果人工智能模型是開放的,那么攻擊者可以下載并在本地模擬它,并設計大量優化的攻擊來欺騙模型,然后他們可以在實時網絡上重放這些攻擊。
對抗性機器學習的例子。來源:researchgate.net
現在,你們可能已經在想:我們不是有零知識證明和其他非常酷的加密形式。我們肯定可以做一些加密魔術,隱藏模型的內部工作方式,以便攻擊者無法優化攻擊,但同時證明模型正在正確執行,并且是基于合理的訓練過程和合理的基礎數據集構建的!
通常情況下,這正是我在這個博客和其他文章中提倡的思維方式。但在與人工智能相關的計算中,存在兩個主要的異議:
加密開銷:在SNARK(或MPC或...)中執行某項操作比“清晰可見”要低效得多。鑒于人工智能本身已經需要大量計算,將人工智能放在加密黑盒中是否計算上可行?
黑盒對抗性機器學習攻擊:即使你對模型的內部工作方式不了解,也有方法對人工智能模型進行優化攻擊。如果隱藏得太深,你會面臨被選擇訓練數據的人攻擊破壞模型的風險。
這兩點都是復雜的問題,讓我們分別來探討每一點。
1)加密開銷
加密工具,特別是像ZK-SNARKs和MPC這樣的通用工具,具有很高的開銷。以太坊區塊直接驗證需要幾百毫秒,但生成用于證明這樣一個區塊正確性的ZK-SNARK可能需要數小時。其他加密工具,如MPC,通常的開銷甚至更糟糕。人工智能計算本身已經很昂貴:最強大的LLM僅比人類閱讀單詞稍快一點,更不用說訓練模型通常會產生數百萬美元的計算成本。頂級模型與試圖在訓練成本或參數數量上更節省的模型之間的質量差異很大。乍一看,這是懷疑嘗試通過將人工智能包裹在加密中來增加其保證的整個項目的好理由。
幸運的是,人工智能是一種非常特定類型的計算,這使得它適合于各種優化,而像ZK-EVMs這樣的“非結構化”的計算類型則無法從中受益。讓我們來檢查一下人工智能模型的基本結構:
通常,一個人工智能模型主要由一系列矩陣乘法和分布在其中的每個元素的非線性操作組成,比如ReLU函數(y = max(x, 0))。從漸近的角度來看,矩陣乘法占據了大部分工作量:將兩個N*N矩陣相乘需要O(N^3)的時間,而非線性操作的數量要小得多。這對于加密來說非常方便,因為許多形式的加密可以幾乎“免費”地進行線性操作(至少如果你對模型進行加密但不對其輸入進行加密的話)。
如果你是一個密碼學家,你可能已經在同態加密的背景下聽說過類似的現象:對加密的密文執行加法非常容易,但是乘法非常困難,直到2009年我們才找到了一種無限深度的方法來進行。
對于ZK-SNARKs來說,有一個相似的情況,就像2013年的某些協議,這些協議在證明矩陣乘法時的開銷不到4倍。不幸的是,非線性層的開銷仍然相當大,在實踐中最好的實現顯示出大約200倍的開銷。但是通過進一步的研究,我們有希望大大減少這種開銷;你可以參考Ryan Cao的這個演示,其中介紹了基于GKR的最新方法,以及我自己對GKR主要組件工作原理的簡化解釋。
對于許多應用而言,我們不僅想要證明一個人工智能的輸出是正確計算的,還希望隱藏模型。有一些樸素的方法可以做到這一點:你可以將模型分割成不同的部分,使得一組不同的服務器冗余地存儲在每一層,希望一些服務器泄露一些層但不會泄露太多數據。此外,還有一些出乎意料地有效的專用多方計算形式。
其中一種方法的簡化圖示,保持模型私有但使輸入公開。
在這兩種情況下,故事的道理都是一樣的:AI計算中最大的部分是矩陣乘法。針對這一部分,可以制作非常高效的ZK-SNARKs或MPCs(甚至是FHE),因此將AI放在加密盒子中的總開銷出奇地低。盡管非線性層的規模較小,但它們是最大的瓶頸;也許像查找參數這樣的新技術可以提供幫助。
2)黑盒對抗性機器學習
現在,讓我們來談談另一個重要問題:即使模型的內容保持私密,你只能通過“API訪問”模型,你仍然可以進行的攻擊類型。引用2016年的一篇論文:
許多機器學習模型都容易受到對抗性示例的攻擊:這些輸入經過特殊設計,導致模型產生錯誤的輸出。即使模型架構不同或在不同的訓練集上進行了訓練,只要它們執行相同任務,攻擊一個模型的對抗性示例通常也會影響另一個模型。因此,攻擊者可以訓練替代模型,設計對其進行對抗性示例,然后將這些示例轉移到受害者模型中,而受害者模型的信息很少。
利用對“目標分類器”的黑盒訪問來訓練和優化你自己本地存儲的“推斷分類器”。然后,本地生成針對推斷分類器的優化攻擊。結果表明,這些攻擊通常也會對原始目標分類器產生影響。
即使只了解訓練數據,甚至無法訪問您試圖攻擊的模型,也可以創建攻擊。截至2023年,這類攻擊仍然是一個嚴重的問題。
為了有效地遏制這些黑匣子攻擊,我們需要做兩件事:
A.限制可以查詢模型的人或事物以及查詢的頻率。具有無限制API訪問權限的黑匣子不安全;而具有非常受限制的API訪問權限的黑匣子可能更安全。
B.隱藏訓練數據,同時保證創建訓練數據的過程不受損壞。
前面提到的項目中,也許做得最多的是Worldcoin。Worldcoin在協議級別廣泛使用AI模型,將虹膜掃描轉換為易于比較相似性的短“虹膜代碼”,并驗證其掃描的是否真的是人類。Worldcoin的主要防御措施是,不允許任何人簡單地調用AI模型:相反,它使用可信硬件來確保模型僅接受由球形攝像頭數字簽名的輸入。
這種方法不能保證有效:事實證明,您可以對生物識別AI發起對抗性攻擊,這些攻擊以物理貼片或您可以戴在臉上的珠寶的形式出現。
戴上額頭上的額外物品,可以逃避檢測,甚至冒充他人。來源:https://arxiv.org/pdf/2109.09320.pdf
但是,希望在于如果我們綜合利用所有的防御措施,包括隱藏AI模型本身、大大限制查詢數量,并要求每個查詢都進行某種形式的身份驗證,那么對抗性攻擊就會變得非常困難,系統可能會更加安全。
這讓我們談到了第二部分:我們如何隱藏訓練數據?這就是“DAO民主管理AI”可能真正有意義的地方:我們可以創建一個在鏈上運行的DAO,負責管理誰有權提交訓練數據(以及數據本身需要什么樣的證明),誰有權發出查詢,以及查詢數量,并使用密碼學技術如MPC來加密從每個個人用戶的訓練輸入到每個查詢的最終輸出的整個AI流程。這個DAO可以同時滿足彌足珍貴的目標,即為提交數據的人提供補償。
再次強調,這個計劃非常有野心,但有許多方面可能會被證明是不切實際的:
A.密碼學開銷可能仍然過高,使得這種完全黑匣子架構在競爭傳統的封閉“相信我”方法方面具有競爭力。
B.可能沒有好的方法使訓練數據提交過程去中心化并且受到防毒攻擊的保護。
C.多方計算設備可能因參與者勾結而破壞其安全性或隱私保證:畢竟,這在跨鏈加密貨幣橋梁上一再發生。
我沒有在本節開始時加上更多大大的紅色警告標簽說“不要搞AI法官,那是反烏托邦”,是因為我們的社會已經高度依賴于不負責任的中心化AI法官:決定哪些類型的帖子和政治觀點在社交媒體上被提升和降低甚至被審查的算法。我確實認為在這個階段進一步擴大這種趨勢是一個非常糟糕的主意,但我認為區塊鏈社區更多地進行AI實驗的可能性并不大,這將導致情況變得更糟。
事實上,我非常有信心,加密技術甚至可以通過一些相當基本的低風險方法改善這些現有的中心化系統。一個簡單的技術是帶有延遲發布的驗證AI:當一個社交媒體網站對帖子進行基于AI的排名時,它可以發布一個ZK-SNARK,證明生成該排名的模型的哈希。該網站可以承諾在一年后的某個時候透露其AI模型。一旦模型被公開,用戶可以檢查哈希以驗證發布的是否是正確的模型,社區可以對模型進行測試以驗證其公平性。發布延遲將確保在模型被公開時,它已經過時。
因此,與中心化世界相比,問題不在于我們是否可以做得更好,而在于有多少。然而,對于去中心化的世界來說,重要的是要小心:如果有人構建了一個使用AI預言機的預測市場或穩定幣,結果發現該預言機是可攻擊的,那么可能會有大量資金在瞬間消失。
5、AI作為游戲的目標
如果上述用于創建可擴展的去中心化私有AI的技術,其內容是一個任何人都不知道的黑匣子,實際上可以起作用,那么這也可以用于創建超越區塊鏈的實用AI。NEAR協議團隊正在將這作為他們正在進行的工作的核心目標之一。
有兩個原因要這樣做:
A.如果您可以通過運行訓練和推理過程使用某種組合的區塊鏈和多方計算來制作“可信的黑匣子AI”,那么很多用戶擔心系統存在偏見或欺騙的應用程序都可以從中受益。許多人表達了對我們將依賴的系統性重要AI進行民主治理的渴望;密碼學和基于區塊鏈的技術可能是實現這一目標的途徑。
B.從AI安全的角度來看,這將是一種創建去中心化的AI技術,同時具有自然的關斷開關,可以限制試圖利用AI進行惡意行為的查詢。
值得注意的是,“利用加密激勵來激勵制作更好的AI”可以在不完全深入使用密碼學完全加密的情況下完成:像BitTensor這樣的方法屬于這一類別。
6、結論
現在,區塊鏈和人工智能都變得更加強大,兩者交叉領域的使用案例也在不斷增加。然而,其中一些用例比其他用例更合理。總的來說,基于機制的用例仍然大致設計如以前一樣,但個體參與者變成了AI,使得機制可以在更微觀的尺度上有效運作的用例,是最具有即時前景和最容易成功的。
最難以實現的是試圖使用區塊鏈和密碼學技術創建“單例”的應用程序:一個應用程序會依賴某個用途的單一去中心化可信AI。這些應用程序有很大的潛力,無論是功能上還是從避免與更主流的解決該問題的方法相關聯的中心化風險方面,都能夠提高AI安全性。但也存在許多基礎假設可能失敗的方式;因此,在將這些應用程序部署到高價值和高風險環境時,值得謹慎考慮。
我期待著看到更多嘗試在所有這些領域構建AI的有益用例,以便我們可以看到其中哪些在規模上真正可行。
本文鏈接:http://www.zhucexiangganggs.com/kp/du/01/5013.html
來源:https://vitalik.eth.limo/general/2024/01/30/cryptoai.html