以太坊共同創辦人V神最新文章中,對於Crypto+AI可能的交叉方式進行了分類並探討了每個分類的前景和挑戰。這篇文章由Foresight News整理、編譯及撰稿,以下是文章內容:
多年以來,很多人問我這樣一個問題:“加密貨幣和AI之間最富有成效的交叉點在哪裡?”這是一個合理的問題,因為加密貨幣和AI是過去十年中兩個主要的深度技術趨勢,兩者之間必定存在某種聯絡。
從表面上看,很容易找到兩者的協同作用:加密貨幣的去中心化可以平衡AI的中心化,AI是不透明的,而加密貨幣可以帶來透明度;AI需要資料,而區塊鏈擅長儲存和追蹤資料。
但多年來,當大家要求我深入探討具體應用時,我的回答一直比較令人失望:“是的,確實有一些值得探討的應用,但並不多”。
在過去的三年裡,隨著現代LLM等更強大的AI技術的興起,以及不僅僅是區塊鏈擴容解決方案,還有零知識證明、全同態加密等更強大加密貨幣技術的興起,我開始看到了這種變化。
在區塊鏈生態系統內,或者將AI與密碼學結合起來,確實存在一些有前景的AI應用,儘管在應用AI時需要小心謹慎。
一個特殊的挑戰是:在密碼學中,開源是使某些東西真正安全的唯一方法,但在AI中,開放的模型大大增加了其對抗性機器學習攻擊的脆弱性。這篇文章將對Crypto+AI可能交叉的不同方式進行分類,並探討每個分類的前景和挑戰。
AI作為遊戲參與者
在這種機制中,AI參與其中並從人類輸入的協議中獲得激勵。這是一個最有可行性的應用,例如AI套利機器人在去中心化交易所中的應用。
AI作為遊戲介面
AI可以幫助用戶理解加密世界並確保他們的行為符合其意圖,以避免被欺騙或受騙。
AI作為遊戲規則
區塊鏈、DAO等機制可以直接調用AI,例如“AI法官”。在這方面,我們需要非常謹慎,因為AI的應用可能面臨對抗性機器學習的挑戰。
AI作為遊戲目標
設計區塊鏈、DAO等機制的目標是構建和維護一個可以用於其他目的的AI,使用加密技術來激勵訓練或防止AI洩漏私人資料或被濫用。
這些是不同的方式,可以將Crypto和AI結合起來。現在是深入研究這些應用的合適時機,因為區塊鏈的可擴展性已經取得成功,使得以前無法在鏈上實現的“微觀”事物現在成為可能。
AI可以幫助使用者理解發生的事情,充當即時導師,保護使用者免受錯誤的影響,但在面對惡意誤導者和詐騙者時需要謹慎。同時,將AI作為遊戲規則的一部分需要非常謹慎,因為對抗性機器學習是一個極具挑戰性的問題。我們需要找到平衡點,使AI在機制中發揮作用,並通過開放的遊戲規則來確保系統的安全性。
這些交叉點提供了令人興奮的機會,但我們必須謹慎行事。我們需要更深入地研究這些應用,並確保在實踐中能夠實現它們的潛力。如果一個在機制中起關鍵作用的AI模型是封閉的,你就無法驗證它的內部運作,所以它並不比中心化應用更好。
如果AI模型是開放的,那麼攻擊者可以在本地下載並模擬它,並設計經過高度優化的攻擊來欺騙模型,然後他們可以在即時網路上重放該模型。
對抗性機器學習範例。來源:researchgate.net
現在,經常閱讀本部落格(或者是加密原生居民)的讀者可能已經領會到了我的意思,並開始思考。但請稍等。
我們擁有先進的零知識證明和其他非常酷的密碼學形式。我們肯定可以進行一些加密魔法,隱藏模型的內部運作,以便攻擊者無法優化攻擊,同時證明模型正在正確執行,並且是通過一個合理的訓練過程在合理的基礎資料集上構建的。
通常情況下,這正是我在這個部落格和其他文章中提倡的思維方式。但是在涉及AI計算的情況下,存在兩個主要的異議:
密碼學開銷:在SNARK(或MPC等)中執行某項任務比明文執行效率低得多。考慮到AI本身已經具有很高的計算需求,是否在密碼學黑盒中執行AI計算在計算上是否可行?
黑盒對抗性機器學習攻擊:即使不瞭解模型的內部工作原理,也有方法對AI模型進行攻擊優化。如果隱藏得過於嚴密,你可能會使選擇訓練資料的人更容易通過中毒攻擊來損害模型的完整性。
這兩個都是複雜的兔子洞,需要逐個進行深入探討。
密碼學工具,尤其是ZK-SNARK和MPC等通用工具,開銷很高。客戶端直接驗證以太坊區塊需要幾百毫秒,但生成ZK-SNARK來證明此類區塊的正確性可能需要數小時。其他加密工具(例如MPC)的開銷可能更大。
AI計算本身已經非常昂貴:最強大的語言模型輸出單詞的速度只比人類閱讀速度稍快一些,更不用說訓練這些模型通常需要數百萬美元的計算成本。頂級模型與試圖在訓練成本或引數數量上更加節省的模型之間的品質差異很大。乍一看,這是懷疑將AI包裹在密碼學中以新增保證的整個專案的一個很好的理由。
不過幸運的是,AI是一種非常特殊的計算型別,這使得它能夠進行各種優化,而ZK-EVM等更多「非結構化」計算型別無法從中受益。讓我們來看看AI模型的基本結構:
通常,AI模型主要由一系列矩陣乘法組成,其中散佈著每個元素的非線性運算,例如ReLU函式(y = max(x, 0))。漸近地,矩陣乘法佔據了大部分工作。這對於密碼學來說確實很方便,因為許多密碼學形式可以幾乎「免費」地進行線性操作(至少在加密模型而不是輸入時進行矩陣乘法運算)。
如果您是密碼學家,可能已經聽說過同態加密中的類似現象:對加密密文執行加法非常容易,但乘法卻非常困難,直到2009年我們才找到了一種無限深度的方法來進行乘法操作。
對於ZK-SNARK,類似於2013年的協議,該協議在證明矩陣乘法方面的開銷不到4倍。不幸的是,非線性層的開銷仍然很大,實踐中最好的實現顯示開銷約為200倍。
但是,通過進一步的研究,有希望大大減少這種開銷。可以參考Ryan Cao的演示,其中介紹了一種基於GKR的最新方法,以及我自己對GKR主要組成部分的簡化解釋。
但對於許多應用程式來說,我們不僅想證明AI輸出計算正確,還想隱藏模型。對此有一些簡單的方法:您可以拆分模型,以便一組不同的伺服器冗餘地儲存每個層,並希望洩漏某些層的某些伺服器不會洩漏太多資料。但也有一些令人驚訝的專門多方計算。
在這兩種情況下,故事的寓意是相同的:AI計算的主要部分是矩陣乘法,而針對矩陣乘法可以設計非常高效的ZK-SNARKs、MPCs(甚至是FHE),因此將AI放入密碼學框架中的總開銷出乎意料地很低。通常情況下,非線性層是最大的瓶頸,儘管它們的大小較小。也許像查詢引數(lookup)等新技術可以提供幫助。
現在,讓我們來討論另一個重要問題:即使模型的內容保持私密,你只能通過「API訪問」模型,你仍然可以進行的攻擊型別。引用一篇2016年的論文:
因此,攻擊者可以訓練自己的替代模型,針對替代模型製作對抗性示例,並將其轉移到受害者模型,而有關受害者的資訊很少。
潛在地,即使你對要攻擊的模型的訪問非常有限或沒有訪問許可權,你甚至可以僅僅通過訓練資料來建立攻擊。截至2023年,這類攻擊仍然是一個重大問題。
為了有效遏制此類黑盒攻擊,我們需要做兩件事:
真正限制誰或什麼可以查詢模型以及查詢的數量。具有無限制API訪問許可權的黑盒是不安全的;具有非常受限的API訪問許可權的黑盒可能是安全的。
隱藏訓練資料的同時,確保訓練資料建立過程的不被損壞是一個重要目標。
就前者而言,在這方面做得最多的專案可能是Worldcoin,我在這裡詳細分析了它的早期版本(以及其他協議)。Worldcoin在協議級別廣泛使用AI模型,以(i)將虹膜掃描轉換為易於比較相似性的簡短「虹膜程式碼」,以及(ii)驗證其掃描的物體實際上是人類。
Worldcoin所依賴的主要防禦措施是,不允許任何人簡單地呼叫AI模型:相反,它使用可信硬體來確保該模型只接受由orb相機數位簽名的輸入。
這種方法並不保證有效:事實證明,你可以通過物理貼片或佩戴在臉上的珠寶等方式對生物特徵識別AI進行對抗性攻擊。
在額頭上戴上額外的東西,可以規避檢測甚至冒充別人。資料來源:https://arxiv.org/pdf/2109.09320.pdf
但是我們的希望是,如果將所有防禦措施綜合起來,包括隱藏AI模型本身、嚴格限制查詢數量,並要求每個查詢以某種方式進行身份驗證,那麼對抗性攻擊就會變得非常困難,從而使系統更加安全。
這就引出了第二個問題:我們如何隱藏訓練資料?
這就是「由DAO民主管理AI」實際上可能有意義的地方:我們可以建立一個鏈上的DAO,來管理允許誰提交訓練資料(以及對資料本身所需的陳述),誰可以進行查詢以及查詢的數量,並使用諸如MPC的密碼學技術來加密從每個個體使用者的訓練輸入到每個查詢的最終輸出的整個AI建立和執行流程。這個DAO可以同時滿足廣受歡迎的目標,即對提交資料的人進行補償。
需要重申的是,這個計劃是非常雄心勃勃的,並且有很多方面可以證明它是不切實際的:
對於這種完全黑盒架構來說,加密開銷仍然可能太高,無法與傳統的封閉式「trust me」方法競爭。
事實可能是,沒有一種好的方法可以使訓練資料提交過程去中心化並防止中毒攻擊。
由於參與者串通,多方計算裝置可能會破壞其安全或隱私保證:畢竟,這種情況在跨鏈橋上一再發生過。
我沒有在本節開頭警告「不要做AI法官,那是反烏托邦」的原因之一是,我們的社會已經高度依賴於不可問責的集中式AI法官:決定哪種型別的演算法帖子和政治觀點在社交媒體上得到提升和降低,甚至受到審查。
我確實認為,在當前階段進一步擴大這一趨勢是一個相當糟糕的想法,但我並不認為區塊鏈社群對AI進行更多的實驗會是使情況變得更糟糕的主要原因。
實際上,加密技術有一些非常基本且低風險的方式可以改進甚至是現有的集中式系統,我對此非常有信心。其中一種簡單的技術是延遲釋出的驗證AI:當社交媒體網站使用基於AI的帖子排名時,它可以釋出一個ZK-SNARK,證明生成該排名的模型的hash值。該網站可以承諾在一定延遲後(例如一年)公開其AI模型。
一旦模型被公開,使用者可以檢查hash值以驗證是否釋出了正確的模型,並且社群可以對模型進行測試以驗證其公平性。釋出延遲將確保模型釋出時,它已經過時了。
因此,與中心化世界相比,問題不在於我們是否能夠做得更好,而在於我們能夠做到多好。然而,對於去中心化的世界來說,需要謹慎行事:如果有人構建了一個使用AI預言機的預測市場或穩定幣,然後有人發現預言機是可以攻擊的,那將有一大筆資金可能會在瞬間消失。
如果上述用於建立可擴展的去中心化私人AI(其內容是不為任何人所知的黑盒)的技術實際上可以發揮作用,那麼這也可以用於建立具有超越區塊鏈的實用性的AI。NEAR協議團隊正在將此作為他們正在進行的工作的核心目標。
這樣做有兩個原因:
如果通過使用區塊鏈和多方計算的某種組合來執行訓練和推斷過程,可以建立「可信任的黑盒AI」,那麼許多使用者擔心繫統存在偏見或欺騙的應用程式可以從中受益。許多人表達了對我們所依賴的AI進行民主治理的願望;密碼學和基於區塊鏈的技術可能是實現這一目標的途徑。
從AI安全的角度來看,這將是一種建立去中心化AI的技術,同時具有自然的緊急停止開關,並且可以限制試圖使用AI進行惡意行為的查詢。
值得注意的是,「使用加密激勵來鼓勵製作更好的AI」可以在不完全陷入使用密碼學完全加密的兔子洞的情況下實現:像BitTensor這樣的方法就屬於這個類別。
隨著區塊鏈和AI的不斷髮展,兩者交叉領域的應用案例也正在增加,其中一些用用例更具意義和更具健壯性。
總體而言,那些底層機制基本保持設計不變,但個體參與者變成了AI的應用案例,在更微觀的層面上有效地執行的機制,是最具有即時前景和最容易實現的。
最具挑戰性的是那些試圖使用區塊鏈和密碼學技術建立「單例」(singleton)的應用程式:某些應用程式出於某種目的而依賴的單個去中心化可信AI。
這些應用程式在功能性和改善AI安全性方面都具有潛力,同時避免中心化風險。
但底層假設也有可能在很多方面失效。因此,尤其是在高價值和高風險環境中部署這些應用程式時需要謹慎行事。
我期待在所有這些領域看到更多有建設性的AI應用案例的嘗試,這樣我們就可以看到哪些用例在規模上真正可行。
