加密貨幣與人工智能應用的前景與挑戰

特別感謝Worldcoin和Modulus Labs團隊、孫新源、Martin Koeppelmann和Illia Polosukhin的反饋和討論。

多年來，許多人都問過我一個類似的問題：我認爲加密貨幣和人工智能之間最有成果的交叉點是什麽？這個問題很合理：加密貨幣和人工智能是過去十年兩大主要的深度（軟件）技術趨勢，而且似乎兩者之間一定存在某種聯繫。錶麵上，很容易想到協衕作用：加密貨幣的去中心化可以平衡人工智能的中心化，人工智能是不透明的，而加密貨幣帶來了透明度，人工智能需要數據，而區塊鏈適合存儲和跟蹤數據。但多年來，當人們要求我深入探討併談論具體的應用時，我的回答是令人失望的：“是的，有一些研究，但不是很多”。

在過去的三年中，隨著現代LLM形式的更強大的人工智能的崛起，以及不僅僅是區塊鏈擴展解決方案，還有零知識證明、全衕態加密、（兩方和多方）多方計算的崛起，我開始看到這種變化。雖然很重要的一點是要註意如何應用人工智能，但在區塊鏈生態繫統內部確實存在一些有前景的人工智能應用，或者人工智能與密碼學結合的應用。一個特別的挑戰是：在密碼學中，開源是使某物真正安全的唯一途徑，但在人工智能中，模型（甚至其訓練數據）的開放大大增加了其對抗性機器學習攻擊的脆弱性。本文將討論加密貨幣與人工智能可能交叉的不衕類別，併分析每個類別的前景和挑戰。

上圖來自一個uETH博客文章中有關加密貨幣和人工智能交叉的高層次總結。但是，需要什麽才能實現這些協衕作用中的任何一個具體應用呢？

四大類應用

人工智能是一個非常廣泛的概念：你可以將“人工智能”視爲通過攪動一個大型計算池併施加某種優化壓力，而不是通過明確指定它們來創建的算法集合，這個過程推動該池朝著産生具有所需屬性的算法的方曏髮展。這種描述絶對不應被輕視：它包括了創造我們人類的過程！但這意味著人工智能算法具有一些共衕的特性：它們能夠做出非常強大的事情，但我們無法完全知道或理解在其背後髮生了什麽。

對於人工智能的分類有很多種方法；就本文所討論的人工智能與區塊鏈之間的交互（區塊鏈被描述爲@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8">創建“游戲”的平颱）而言，我將其分類如下：

• 作爲游戲玩家的人工智能[最高可行性]：人工智能參與的機製，這裡的激勵的最終來自具有人類輸入的協議。
• 作爲游戲界麵的人工智能[潛力巨大，但伴隨風險]：人工智能幫助用戶理解周圍的加密世界，併確保他們的行爲（即簽名消息和交易）與他們的意圖相符，併且不會受到欺騙或詐騙。
• 作爲游戲規則的人工智能[需要非常小心]：區塊鏈、DAO和類似機製直接調用人工智能。例如“AI裁判”。
• 作爲游戲目標的人工智能[較長期但令人感興趣]：設計區塊鏈、DAO和類似機製的目的是構建併維護一個可用於其他目的的人工智能，使用加密位可以更好地激勵訓練，或者防止人工智能泄露私人數據或被濫用。

讓我們一一回顧一下。

作爲游戲玩家的AI

實際上，這是一個已經存在了近十年的類別，至少自從鏈上去中心化交易所（DEX）開始得到明顯使用以來就存在了。每當有一個交易時，都存在通過套利賺錢的機會，而機器人可以比人類更好地進行套利。這個用例已經存在了很長時間，即使是比今天更簡單的人工智能，但最終它是一個非常真實的人工智能與加密貨幣的交叉點。最近，我們經常看到MEV套利機器人相互利用。每當您有一個涉及拍賣或交易的區塊鏈應用時，都會有套利機器人存在。

但人工智能套利機器人隻是一個更大類別的第一個例子，我預計很快會涵蓋許多其他應用。讓我們來見識一下AIOmen，這是一個預測市場的演示，其中人工智能是玩家：

長期以來，預測市場一直是認知技術的必殺技。我在2014年就很期待將預測市場用作治理的輸入的futarchy項目，併且這在上次選舉中以及最近也進行了大量嘗試。但到目前爲止，預測市場在實踐中併沒有取得太大的成功，通常有一繫列常見的原因：最大的參與者往往是不理性的，擁有正確知識的人不願意花時間併投入賭註，除非涉及大量資金，市場往往很薄弱，等等。

對此的一種回應是指出Polymarket或其他新預測市場正在進行的用戶體驗改進，併希望它們能成功，以彌補之前的版本失敗的地方。畢竟，據説人們願意在體育比賽上押註數十億美元，那麽爲什麽人們不願意在那些對於開始加入的認真玩家有意義的美國大選或LK99上投入足夠多的資金進行賭註呢？但這一論點必鬚麵對一個事實，那就是，之前的版本未能達到這種規模的水平（至少與其支持者的夢想相比），因此似乎你需要一些新的東西來使預測市場成功。因此，另一種回應是指出預測市場生態繫統的一個具體特徵，我們可以預期在2020年代會看到，而在2010年代卻沒有看到AIs的普遍參與可能性。

AIs願意以不到1美元的價格工作一個小時，併且擁有百科全書的知識——如果這還不夠，它們甚至可以與實時網絡搜索功能集成。如果你創建了一個市場，併提供了50美元的流動性補貼，人類不會對投標很關心，但成千上萬的AIs會輕易地轉曏這個問題併盡力做出最好的猜測。爲任何一個問題上做好的工作提供的激勵可能微不足道，但在一般情況下爲做出良好預測的AI提供的激勵可能達到數百萬。需要註意的是，很有可能你甚至不需要人類來裁決大多數問題：你可以使用類似Augur或Kleros的多輪爭議繫統，其中AIs也會參與到較早的輪次中。人類隻需要在那些髮生了一繫列升級併且雙方都投入了大量資金的情況下做出響應。

這是一個強大的原始形態，因爲一旦“預測市場”可以在這樣微觀的尺度上運作，你就可以將“預測市場”原始形態重用於許多其他類型的問題中：

• 根據[使用條款]，此社交媒體帖子是否可以接受？
• 股票 X 的價格會髮生什麽變化（例如，參見Numerai）
• 目前給我髮消息的這個賬戶真的是埃隆·馬斯剋嗎？
• 在在線任務市場上提交的這項工作可以接受嗎？
• https://examplefinance.network 上的 dapp 是騙局嗎？
• 0x1b54….98c3 實際上是“Casinu Inu”ERC20代幣的地址？

你可能註意到，很多這些想法都朝著我在“d/acc”寫作中所稱的“信息防禦”方曏髮展。廣義上來説，問題是：我們如何幫助用戶區分真假信息併檢測詐騙，而不賦予一個可能濫用權力的中央機構來判斷是非？從微觀層麵上看，答案可能是“人工智能”。但從宏觀層麵上看，問題是：誰來構建人工智能？人工智能是創造它的過程的反映，因此無法避免存在偏見。因此，有必要有一個更高層次的游戲，裁定不衕人工智能的錶現如何，人工智能可以作爲游戲中的玩家參與其中。

這種使用人工智能的方式，即人工智能參與一種機製，我認爲是值得深入研究的。在這種機製中，它們最終會被鏈上機製（以概率方式）獎勵或懲罰，這個機製從人類處收集輸入（稱之爲去中心化市場驅動的強化學習？）。現在正是深入研究這類用例的時候，因爲區塊鏈擴容最終取得了成功，使得任何東西得以“微觀”化併在鏈上最終變得可行，而之前這通常是不可能的。

另一類相關的應用方曏是高度自治的代理使用區塊鏈進行更好地合作，無論是通過支付還是通過使用智能合約做出可信承諾。

AI 作爲游戲的界麵

我在自己的寫作中提出的一個想法是，有一個可以編寫麵曏用戶軟件的市場機會，該軟件通過解釋和識別用戶正在瀏覽的在線世界中的危險來保護用戶的利益。其中一個已經存在的例子是Metamask的詐騙檢測功能：

另一個例子是Rabby錢包的模擬功能，它曏用戶展示了他們將要簽署的交易的預期後果。

Rabby曏我解釋簽署交易以將我所有的“BITCOIN”（一個ERC20 memecoin的簡稱，其全稱顯然是“HarryPotterObamaSonic10Inu”）交換爲ETH的後果。

於2024年2月2日編輯：本文的早期版本將此代幣稱爲試圖冒充比特幣的騙局。實際上它不是，而是一個memecoin。在此對這種錯誤錶示歉意。

這些工具可能會具有通過人工智能進行超級增強的潛力。人工智能可以更豐富地以人類友好的方式解釋你參與的dapp類型、你正在簽署的更覆雜操作的後果、某個代幣是否真實（例如，BITCOIN不僅僅是一串字符，通常是一種重要的加密貨幣的名稱，它不是一個ERC20代幣，而且價格遠高於0.045美元，而當今LLM會知曉這一點）等等。已經有一些項目開始朝這個方曏努力（例如，使用人工智能作爲主要界麵的LangChain錢包）。我的個人觀點是，純人工智能界麵目前可能風險太高，因爲它增加了其他類型錯誤的風險，但人工智能輔助更傳統界麵的方式的可行度很高。

有一個特定的風險值得一提。我將在下麵關於“AI作爲游戲規則”的部分中詳細介紹這一點，但總體問題是對抗性機器學習：如果用戶在開源錢包內部有訪問AI助手的權限，壞人也會有訪問AI助手的權限，因此他們將有無限的機會來優化他們的欺詐行爲，以避開該錢包的防禦措施。所有現代人工智能都有一定的漏洞，在訓練過程中，即使隻有有限的訪問權限，也不難找到這些漏洞。

這就是“人工智能參與鏈上微市場”更有效的地方：每個單獨的AI都麵臨著相衕的風險，但你故意創建了一個由數十個人組成的開放生態繫統，他們不斷地進行迭代和改進。此外，每個單獨的AI都是封閉的：繫統的安全性來自游戲規則的公開性，而不是每個參與者的內部運作。

總體來説，人工智能可以幫助用戶以簡單的語言理解髮生的事情，它可以充當實時導師，可以保護用戶免受錯誤，但在嘗試直接與惡意的誤導者和詐騙者對抗時要小心。

人工智能作爲游戲規則

現在，我們接觸到了令很多人都期待的應用程序，但我認爲它是風險最大的，也是我們需要最謹慎對待的地方：我所説的人工智能是游戲規則的一部分。這與主流政治精英對“人工智能法官”的興奮有關（例如，參閲在“世界政府峰會”網站上這篇文章），在區塊鏈應用中也存在類似的願望。如果基於區塊鏈的智能合約或 DAO 需要做出主觀決定（例如，特定工作産品在雇傭合約中是否可以接受？哪種是對樂觀主義等自然語言憲法的正確解釋？鏈的法則？），你能讓人工智能成爲合約或 DAO 的一部分來幫助執行這些規則嗎？

這就是對抗性機器學習將成爲一個極其艱巨挑戰的地方。以下用基本的兩句話解釋了“爲什麽”：

如果一個在機製中起關鍵作用的AI模型是封閉的，你就無法驗證它的內部運作，所以它併不比中心化應用更好。如果人工智能模型是開放的，那麽攻擊者可以在本地下載併模擬它，併設計經過高度優化的攻擊來欺騙模型，然後他們可以在實時網絡上重放該模型。

對抗性機器學習示例（來源：researchgate.net）

如今本博客的老讀者（或加密世界的居民）可能已經領先於我，併思考：但是等等！我們有奇特的零知識證明和其他非常酷的密碼學形式。當然，我們可以做一些加密魔法，隱藏模型的內部工作原理，以便攻擊者無法優化攻擊，但衕時證明該模型正在正確執行，併且是在一組合理的基礎數據上使用合理的訓練過程構建的！

通常情況下，這是正是我在這本博客和其他著作中都提倡的思維方式。但就人工智能相關計算而言，主要有兩個反對意見：

1. 加密開銷：在 SNARK（或 MPC 或…）內做某事比“以明確的方式”做事效率要低得多。鑒於人工智能的計算量已經非常大，那麽在加密黑匣子內進行人工智能在計算上是否可行？
2. 黑盒對抗性機器學習攻擊：有一些方法在即使不太了解模型的內部運作的情況下也可優化針對人工智能模型的攻擊。如果你隱藏太多了，您可能會冒著讓選擇訓練數據的人利用中毒攻擊很容易地破壞模型的風險。

這兩個都是覆雜的問題，所以讓我們依次深入了解它們。

加密開銷

加密工具，尤其是 ZK-SNARK 和 MPC 等通用工具，具有很高的開銷。客戶端直接驗證以太坊區塊需要幾百毫秒，但生成 ZK-SNARK 來證明此類區塊的正確性可能需要數小時。其他加密工具（例如 MPC）的典型開銷可能更糟。人工智能計算已經很昂貴了：最強大的LLMs輸出單個單詞的速度僅比人類閲讀它們的速度快一點點，更不用説通常數百萬美元的計算成本了。頂級模型和試圖節省更多培訓費用或參數個數的模型之間的質量差異很大。乍一看，這是一個懷疑整個項目的很好理由，即試圖通過將人工智能包裝在密碼學中來爲其添加保證。

不過幸運的是，人工智能是一個非常具體的計算類型，這使得它適合各種優化，這些優化像 ZK-EVM 這樣的更多“非結構化”計算類型無法從中受益。讓我們來看看人工智能模型的基本結構：

通常，AI 模型主要由一繫列矩陣乘法組成，其中散布著每個元素的非線性運算，例如ReLU) 功能 （y = 最大值(x, 0)）。漸近地，矩陣乘法占據了大部分工作：將兩個N*N 矩陣相乘需要

�(�2.8)時間，而非線性運算的數量要少得多。這對於密碼學來説確實很方便，因爲許多形式的密碼學都可以進行線性運算（矩陣乘法是這樣的，至少如果您加密模型而不加密模型的輸入）幾乎“免費”。

如果您是密碼學家，您可能已經聽説過在衕態加密環境下的類似現象：執行補充加密密文確實很容易，但是乘法非常睏難，直到2009年我們才找到任何無限深度的方法。

對於 ZK-SNARK，相衕的的是類似2013年的協議，這顯示了小於4倍證明矩陣乘法的開銷。不幸的是，非線性層的開銷仍然很大，實踐中最好的實現顯示開銷約爲200倍。但希望通過進一步的研究可以大大減少這種情況；參閲Ryan Cao 的演講了解最近基於 GKR 的方法以及我自己的對GKR 主要組件如何工作的簡要解釋。

但對於許多應用程序，我們不僅僅想要證明 人工智能輸出計算正確，我們還想隱藏模型。對此有一些簡單的方法：您可以拆分模型，以便一組不衕的服務器冗餘地存儲每個層，併希望泄漏某些層的某些服務器不會泄漏太多數據。但也有一些專門多方計算的有效形式，這令人剛到驚訝。

這是其中一種方法的簡化圖。它保持模型私有，但將輸入公開。如果我們想將模型和輸入保持私有，我們可以做到如此，盡管它變得有點覆雜：請參閲第本文的 8-9 頁內容。

在這兩種情況下，故事的寓意是相衕的：人工智能計算的最大部分是矩陣乘法，爲此可以使 ZK-SNARK 或 MPC（甚至 FHE）非常高效，因此將 AI 放入加密盒中的總開銷低得驚人。一般來説，非線性層是最大的瓶頸，盡管它們的尺寸較小；也許更新的技術，例如lookup arguments可以提供幫助。

黑盒對抗性機器學習

現在，讓我們討論另一個大問題：即使模型的內容是私有的、您隻有對該模型的“API 訪問權限”，您也可以進行的攻擊類型。正如一篇2016年的論文所言:

許多機器學習模型容易受到對抗性示例的影響：專門設計的輸入會導緻機器學習模型産生不正確的輸出。影響一個模型的對抗性示例通常會影響另一個模型，即使這兩個模型具有不衕的架構或在不衕的訓練集上進行訓練，隻要兩個模型都經過訓練以執行相衕的任務。因此，攻擊者可以訓練自己的替代模型，針對替代模型製作對抗性示例，併將其轉移到受害者模型，而有關受害者的信息很少。

使用黑盒訪問“目標分類器”來訓練和完善您自己的本地存儲的“推斷分類器”。然後，在本地生成針對推斷分類器的優化攻擊。事實證明，這些攻擊通常也會針對原始目標分類器起作用。（請參閲圖源）。

您甚至可以髮起知道訓練數據的攻擊，即使您對要攻擊的模型的訪問權限非常有限或無權。截至2023年，此類攻擊仍然是一個大問題。

爲了有效遏製此類黑盒攻擊，我們需要做兩件事：

1. 真正限製誰或什麽可以查詢模型及查詢的深度。具有不受限製的 API 訪問權限的黑匣子併不安全； API 訪問可能受到嚴格限製的黑匣子。
2. 隱藏訓練數據，衕時讓人們相信 用於創建訓練數據的過程沒有損壞。

在前者上做得最多的項目可能是 Worldcoin，我在本文中詳細分析了其中的早期版本（以及其他協議）。Worldcoin在協議級別廣泛使用人工智能模型，以（i）將虹膜掃描轉換爲易於比較相似性的簡短“虹膜代碼”，以及（ii）驗證其掃描的物體實際上是人類。世界幣所依賴的主要防禦是它不會讓任何人簡單地調用人工智能模型：相反，它使用可信硬件來確保模型隻接受由球體相機數字簽名的輸入。

這種方法併不能保證有效：事實證明，您可以對生物識別人工智能進行對抗性攻擊，其形式爲您可以戴在臉上的物理貼片或珠寶:

在額頭上多戴一個東西，逃避檢測，甚至冒充別人。（參閲來源）

但所希望的是，如果你將所有防禦結合在一起，隱藏人工智能模型本身，極大地限製查詢數量，併要求每個查詢都以某種方式進行身份驗證，那麽您就可以進行足夠睏難的對抗性攻擊，從而保證繫統的安全。 就Worldcoin而言，增加這些其他防禦措施也可以減少對可信硬件的依賴，從而提高項目的去中心化程度。

這就將我們引入第二部分：我們如何隱藏訓練數據？這就是“民主管理人工智能的 DAO”可能起作用的地方：我們可以創建一個鏈上 DAO 來管理誰可以提交訓練數據（以及數據本身需要什麽證明）、誰可以進行查詢以及查詢數量的流程，併使用 MPC 等加密技術對創建和運行人工智能的整個管道進行加密，從每個用戶的訓練輸入一直到每個查詢的最終輸出。這個 DAO 可以衕時滿足補償人們提交數據的非常受歡迎的目標。

需要重申的是，這個計畫是非常宏大的，併且有很多方麵可以證明它是不切實際的：

• 加密開銷仍然可能過高 讓這種完全黑盒的架構能夠與傳統的封閉式“相信我”方法競爭。
• 事實可能是這樣沒有好的方法可以使訓練數據提交過程去中心化併防止其免受中毒攻擊。
• 多方計算小工具可能會因合謀而破壞他們的安全或隱私保證：畢竟，這種情況已經一而再再而三地髮生在跨鏈加密貨幣橋上。

我沒有在這一部分開頭加上更多的大大的紅色警示標簽，警告“不要做AI法官，那是反烏托邦”的原因之一，是因爲我們的社會已經高度依賴於不負責任的中央化AI法官：決定在社交媒體上哪些類型的帖子和政治觀點被推廣、被降低、甚至被審查的算法。我確實認爲，在當前階段進一步擴大這種趨勢是一個相當糟糕的主意，但我不認爲區塊鏈社區更多地嘗試AI實驗會成爲惡化的因素。

事實上，我對加密技術甚至可以改進這些現有的中心化繫統的一些非常基本的低風險方式非常有信心。一個簡單的技術是具有延遲髮布的驗證AI：當一個社交媒體網站對帖子進行基於AI的排名時，它可以髮布一個證明生成該排名的模型哈希的ZK-SNARK。該網站可以承諾在例如一年後的某個時候公布其AI模型。一旦模型被公布，用戶可以檢查哈希以驗證正確的模型是否被髮布，併且社區可以對模型進行測試以驗證其公平性。髮布延遲將確保在模型被公開之前，它已經過時了。

因此，與中心化世界相比，問題不在於我們是否可以做得更好，而在於我們可以做得更好多少。然而，對於去中心化世界來説，要小心謹慎：如果有人構建了例如一個使用AI仲裁者的預測市場或穩定幣，而事實證明該仲裁者是可攻擊的，那麽將可能會瞬間消失大額資金。

AI作爲游戲的目標

如果上述用於創建可擴展的去中心化私人人工智能（其內容是不爲任何人所知的黑匣子）的技術實際上可以髮揮作用，那麽這也可以用於創建具有超越區塊鏈的實用性的人工智能。 NEAR 協議團隊正在將其打造成他們正在進行的工作的核心目標。

這樣做有兩個原因：

1. 如果你能夠通過某種區塊鏈和多方計算組合運行訓練和推理過程來製作“可信的黑匣子人工智能”，那麽許多應用程序都可能受益於此，特別是當用戶擔心繫統存在偏見或欺騙時。許多人錶達了對我們將依賴的繫統性重要人工智能進行民主治理的願望；密碼學和基於區塊鏈的技術可以成爲實現這一目標的途徑。
2. 從人工智能安全的角度來看，這將是一種創建去中心化人工智能的技術，衕時也具有自然的關停開關，併且可以限製試圖利用人工智能進行惡意行爲的查詢。

值得註意的是，“利用加密激勵來激勵製作更好的人工智能”可以在不完全沉迷於使用密碼學完全加密的情況下進行：像BitTensor這樣的方法屬於這一類別。

結論

隨著區塊鏈和人工智能的不斷增強，兩者交叉領域的應用案例數量正在增加。然而，併非所有這些應用案例都像其他一些那樣合理且穩健。總的來説，那些基礎機製仍然設計大緻與以往相衕，但個體參與者變成了人工智能的應用案例，使得機製能夠有效地在更微觀的尺度上運作的情況，是最有前景且最容易成功的。

最具挑戰性的是那些試圖利用區塊鏈和密碼學技術創建“單例”（Singleton）的應用程序：某個應用程序會依賴於某個單一的去中心化可信任的人工智能。這些應用程序具有潛力，無論是對功能還是對改進人工智能安全性的方式都有所幫助，而且可以避免與更主流的解決該問題的方法相關的中心化風險。但也存在許多基礎假設可能失敗的方式；因此，在部署這些應用程序到高價值和高風險環境時，值得謹慎對待。

我期待著看到更多針對這些領域的人工智能的建設性用例嘗試，這樣我們就可以看到其中哪些用例在規模上是真正可行的。

聲明：

1. 本文轉載自[vitalik]，著作權歸屬原作者[vitalik]，如對轉載有異議，請聯繫Gate Learn團隊，團隊會根據相關流程盡速處理。
2. 免責聲明：本文所錶達的觀點和意見僅代錶作者個人觀點，不構成任何投資建議。
3. 文章其他語言版本由Gate Learn團隊翻譯， 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。