作者:以太坊联合创始人Vitalik Buterin
编译:比推BitpushNews Mary Liu
多年来,许多人问过我类似的问题:加密货币和人工智能之间最富有成效的交叉点是什么?
这是一个合理的问题:加密货币和人工智能是过去十年的两个主流深度(软件)技术趋势,感觉两者之间一定存在某种联系。从表面上看,很容易产生协同效应:加密货币去中心化可以平衡人工智能中心化,人工智能是不透明的,加密货币带来透明度,人工智能需要数据,而区块链有利于存储和跟踪数据。
但多年来,当人们要求我更深入地挖掘并讨论具体应用时,我的回答可能会让你失望:“是的,有一些交叉,但没有那么多”。
在过去的三年里,随着现代LLM形式的更强大的人工智能的兴起,以及更强大的加密货币的兴起,不仅以区块链扩展解决方案的形式出现,而且以零知识证明(ZKP) 、FHE(2 party和 N party的形式出现。) MPC,我开始看到这种变化。区块链生态系统内的人工智能确实有一些有前景的应用,或者人工智能与密码学的结合,但重要的是要小心人工智能的应用方式。
一个特殊的挑战是:在密码学中,开源是使某些东西真正安全的唯一方法,但在人工智能中,模型(甚至其训练数据)的开放大大增加了其面对对抗性机器学习(Adversarial machine learning)攻击的脆弱性。
本文将对加密+人工智能可能交叉的不同方式进行分类,以及每个类别的前景和挑战。
四大类
人工智能是一个非常广泛的概念:你可以将“人工智能”视为一组算法,你创建的算法不是通过明确指定它们,而是通过“搅动”一个巨大的计算“汤”并施加某种优化压力来让这碗“汤”形成具有您想要的属性的算法。
绝对不要小看这个形容:它首先包括了创造人类的过程!但这确实意味着人工智能算法具有一些共同的属性:它们完成极其强大的事情的能力,以及我们了解或理解幕后发生的事情的能力的限制。
人工智能的分类方法有很多种;为了这篇文章的目的,讨论人工智能和区块链(被描述为创建“游戏”的平台)之间的交互,我将其分类如下:
- 人工智能作为游戏中的玩家[最高生存能力]:人工智能参与的机制中,激励的最终来源来自于人类输入的协议;
- 人工智能作为游戏界面[潜力巨大,但也存在风险]:人工智能帮助用户了解周围的加密世界,并确保他们的行为(即签名消息和交易)符合他们的意图,并且不会被欺骗或被骗;
- 人工智能作为游戏规则[非常小心]: 区块链、DAO 和直接调用人工智能的类似机制。例如“人工智能评委”;
- 人工智能作为游戏的目标[长期但有趣]:设计区块链、DAO 和类似机制,目标是构建和维护可用于其他目的的人工智能,使用加密货币来更好地激励培训或防止人工智能泄露隐私数据或被滥用。
让我们一一分析。
AI作为游戏中的玩家
这实际上是一个已经存在了近十年的类别,至少自从链上去中心化交易所(DEX)开始得到广泛使用以来。任何时候只要有交易所,就有机会通过套利赚钱,而机器人可以比人类更好地进行套利。这个用例已经存在很长时间了,即使人工智能比我们今天的简单得多,但最终它是一个非常真实的人工智能+加密货币的交叉点。最近,我们看到 MEV 套利机器人经常互相利用。任何时候你有一个涉及拍卖或交易的区块链应用程序,你就会有套利机器人。
但人工智能套利机器人只是一个更大类别的第一个例子,我预计这个类别很快就会开始包括许多其他应用程序。来认识一下 AIOmen,这是一个以 AI 为参与者的预测市场演示:
预测市场长期以来一直是认知技术的圣杯。早在 2014 年,我就对使用预测市场作为治理(“futarchy”)感到兴奋,并在上次选举以及最近的选举中广泛使用了它们。但到目前为止,预测市场在实践中并没有取得太大进展,并且有一系列常见的原因:最大的参与者往往是非理性的,拥有正确知识的人不愿意花时间下注,除非有很多人或者金钱、市场深度往往不够等等。
对此的一种回应是指出Polymarket或其他新的预测市场正在进行的用户体验改进,并希望它们能够在之前的迭代失败的地方取得成功。毕竟,故事是这样的,人们愿意在体育上押注数百亿美元,那么为什么人们不投入足够的钱押注于美国大选或LK99,让认真的玩家开始参与进来呢?
但这一论点必须面对这样一个事实:之前的迭代未能达到这种规模水平(至少与支持者想象中的相比),因此似乎需要一些新的东西才能使预测市场取得成功。因此,另一种回应是指出预测市场生态系统的一个具体特征,我们预计将在 2020 年代看到这一点,而在 2010 年代却没有看到: 人工智能普遍参与的可能性。
人工智能愿意以每小时不到 1 美元的价格工作,并且拥有百科全书的知识 –如果这还不够,它们甚至可以与实时网络搜索功能集成。如果你建立一个市场,并提供 50 美元的流动性补贴,人类不会关心出价,但成千上万的人工智能会很容易地蜂拥而至,并做出他们能做出的最佳猜测。在任何一个问题上做好工作的动机可能很小,但制造出能够做出良好预测的人工智能的动机可能是数以百万计的。请注意,您甚至不需要人类来裁决大多数问题:您可以使用类似于Augur 或 Kleros 的多轮争议系统,其中人工智能也将参与早期轮次。人类只需要在发生一系列升级并且双方都投入了大量资金的少数情况下做出反应。
这是一个强大的原语,因为一旦可以使“预测市场”在如此微观的规模上发挥作用,您就可以将“预测市场”原语重复用于许多其他类型的问题:
- 根据[使用条款],此社交媒体帖子是否违规?
- 股票 X 的价格会发生什么变化(例如,参见Numerai)
- 目前给我发消息的这个账户真的是埃隆·马斯克吗?
- 在在线任务市场上提交的这项工作可以接受吗?
- examplefinance.network上的dapp是骗局吗?
- 0x1b54….98c3是Casinu Inu ERC20代币的地址吗?
你可能会注意到,其中很多想法都朝着我所谓的“信息防御”的方向发展。从广义上讲,问题是:我们如何帮助用户区分真假信息并检测诈骗,而不授权中央机构来决定是非,然后谁可能会滥用该地位?从微观层面来看,答案可以是“AI”。但从宏观层面来看,问题是:谁构建了人工智能?人工智能是其创造过程的反映,因此不可避免地存在偏见。因此,需要一种更高级别的游戏来裁决不同人工智能的表现,其中人工智能可以作为玩家参与游戏。
人工智能的这种使用,其中人工智能参与一种机制,在该机制中,它们最终通过收集人类输入的链上机制(概率上)获得奖励或惩罚(或许可以称之为去中心化的基于市场的RLHF?),我认为这确实是一种机制,值得研究。现在是更多地研究这样的用例的正确时机,因为区块链扩展终于成功了,使得“微型”任何东西最终在链上变得可行,而这在以前是不可能的。
相关的一类应用程序正朝着高度自治的代理方向发展,使用区块链来更好地合作,无论是通过支付还是通过使用智能合约做出可信的承诺。
AI 作为游戏的界面
我曾经提出的一个想法是,存在编写面向用户的软件的市场机会,该软件可以通过解释和识别用户正在浏览的在线世界中的危险来保护用户的利益。Metamask 的诈骗检测功能就是一个已经存在的例子:
另一个例子是Rabby钱包的模拟功能,它向用户展示他们即将签署的交易的预期结果。
Rabby 向我解释了签署交易以将我的所有“比特币”(一些随机骗局 ERC20,而不是实际的 BTC)换成 ETH 的后果。
这些工具有可能被人工智能进一步改善。
人工智能可以对正在参与哪种 dapp、正在签名的更复杂操作的后果、特定代币是否真实(例如,不仅仅是BITCOIN一串字符、它是一种实际加密货币的名称,它不是 ERC20 代币,而且其价格高于 0.045 美元,现代LLM知道这一点)等等。有些项目开始朝这个方向走下去(例如 LangChain钱包,它使用人工智能作为主要界面)。我自己的观点是,目前纯粹的人工智能界面可能风险太大,因为它增加了其他类型错误的风险,但人工智能补充更传统的界面非常有可行性。
有一个特别的风险值得一提。我将在下面的“人工智能作为游戏规则”部分对此进行更多讨论,但一般问题是对抗性机器学习:如果用户可以访问开源钱包内的人工智能助手,那么坏人就会有也可以访问该人工智能助手,因此他们将有无限的机会优化他们的骗局,以免触发该钱包的防御。所有现代人工智能都在某个地方存在错误,并且对于训练过程来说,即使是对模型的访问权限有限的训练过程,要找到它们并不难。
这就是“人工智能参与链上微型市场”效果更好的地方:每个单独的人工智能都容易遭受相同的风险,但你有意创建一个由数十人不断迭代和改进的开放生态系统。而且,每个单独的AI都是封闭的:系统的安全性来自于游戏规则的开放性,而不是每个玩家的内部运作。
摘要:人工智能可以帮助用户用简单的语言理解正在发生的事情,它可以充当实时导师,它可以保护用户免受错误的影响,但在尝试直接使用它来对抗恶意误导者和诈骗者时要注意。
人工智能作为游戏规则
现在,我们来到了很多人都兴奋的应用程序,但我认为它是风险最大的,也是我们需要最谨慎对待的地方:我所说的人工智能是游戏规则的一部分。这与主流政治精英对“人工智能法官”的兴奋有关,而在区块链应用中也有类似的愿望。如果基于区块链的智能合约或 DAO 需要做出主观决定(雇佣工作合同中可以接受特定的工作产品吗? Optimism Law法则这样的自然语言在宪法中的正确解释是什么?),你能让人工智能成为合约或 DAO 的一部分来帮助执行这些规则吗?
这就是对抗性机器学习将成为一项极其艰巨的挑战的地方。基本的两句话论证“为什么”如下:
如果一个在机制中起关键作用的AI模型是封闭的,你就无法验证它的内部运作,所以它并不比中心化应用更好。如果人工智能模型是开放的,那么攻击者可以在本地下载并模拟它,并设计经过高度优化的攻击来欺骗模型,然后他们可以在实时网络上重放该模型。
对抗性机器学习示例。资料来源:researchgate.net
现在,这个博客的常客(或加密原住民)可能已经领先于我,并思考:但是等等!我们有奇特的零知识证明和其他非常酷的密码学形式。当然,我们可以做一些加密魔法,隐藏模型的内部工作原理,以便攻击者无法优化攻击,但同时证明模型正在正确执行,并且是在合理的基础数据集!
通常,这正是我在本博客和其他著作中所提倡的思维类型。但就人工智能相关计算而言,主要有两个反对意见:
- 成本可行性:在 SNARK(或 MPC 或…)内执行某项操作的效率比“以明文形式”执行的效率要低得多。鉴于人工智能的计算量已经非常大,那么在加密黑匣子内进行人工智能在计算上是否可行?
- 黑盒对抗性机器学习攻击:即使不了解模型的内部工作原理,也有方法可以优化针对人工智能模型的攻击。如果隐藏得太多,那么选择训练数据的人就很容易通过poisoning攻击来破坏模型。
这两个都是复杂的兔子洞,所以让我们依次深入了解它们。
成本可行性
加密工具,尤其是 ZK-SNARK 和 MPC 等通用工具,具有很高的开销。客户端直接验证以太坊区块需要几百毫秒,但生成 ZK-SNARK 来证明此类区块的正确性可能需要数小时。其他加密工具(例如 MPC)的典型成本可能更糟。人工智能计算已经很昂贵:最强大的法学硕士输出单个单词的速度仅比人类阅读它们的速度快一点点,更不用说训练模型的计算成本通常高达数百万美元。顶级模型与试图节省更多训练成本或参数数量的模型之间的质量差异很大。乍一看,这是一个很好的理由来怀疑整个项目,即试图通过将人工智能包装在密码学中来为其添加保证。
不过幸运的是,人工智能是一种非常特殊的计算类型,这使得它能够进行各种优化,而 ZK-EVM 等更多“非结构化”计算类型无法从中受益。让我们来看看人工智能模型的基本结构:
通常,AI 模型主要由一系列矩阵乘法组成,其中散布着每个元素的非线性运算,例如ReLU 函数 ( y = max(x, 0))。渐进地,矩阵乘法占据了大部分工作:两个 N*N矩阵相乘需要O(N的2.8次方)时间,而非线性操作的数量要少得多。这对于密码学来说确实很方便,因为许多形式的密码学几乎可以“免费”进行线性运算(矩阵乘法是,至少如果您加密模型而不加密模型的输入)。
如果您是密码学家,您可能已经听说过同态加密中的类似现象:对加密密文执行加法非常容易,但乘法是极其困难的,直到 2009 年我们才找到任何无限深度的乘法方法。
对于 ZK-SNARK,等效协议是2013 年的协议,该协议在证明矩阵乘法方面的成本不到 4 倍。不幸的是,非线性层的成本仍然很大,实践中最好的实现显示成本约为 200 倍。但希望通过进一步的研究可以大大减少这种情况;请参阅Ryan Cao 的演示,了解最近基于 GKR 的方法,以及我自己对 GKR 主要组件如何工作的简化解释。
但对于许多应用程序来说,我们不仅仅想证明人工智能输出的计算正确,我们还想隐藏模型。对此有一些简单的方法:您可以拆分模型,以便一组不同的服务器冗余地存储每个层,并希望泄漏某些层的某些服务器不会泄漏太多数据。但也存在令人惊讶的有效形式的专门多方计算。
其中一种方法的简化图,保持模型私有,但将输入公开。如果我们想将模型和输入保持私有,也是可行的,但会变得有点复杂
在这两种情况下,故事的寓意是相同的:AI 计算的最大部分是矩阵乘法,为此可以制作非常高效的ZK-SNARK 或 MPC(甚至 FHE),因此将人工智能放入加密盒子中的成本低得惊人。一般来说,非线性层是最大的瓶颈,尽管它们的尺寸较小;也许像查找参数这样的新技术会有所帮助。
对抗性机器学习的黑箱
现在,让我们讨论另一个大问题:即使模型的内容保密并且您只有对模型的“API 访问权限”,您也可以进行哪些类型的攻击。引用2016年的一篇论文:
许多机器学习模型容易受到对抗性示例的影响:专门设计的输入会导致机器学习模型产生不正确的输出。影响一个模型的对抗性示例通常会影响另一个模型,即使这两个模型具有不同的架构或在不同的训练集上进行训练,只要两个模型都被训练来执行相同的任务即可。因此,攻击者可以训练自己的替代模型,针对替代模型制作对抗性示例,并将其转移到受害者模型,而有关受害者的信息很少。
使用黑盒访问“目标分类器”来训练和完善您自己的本地存储的“推断分类器”。然后,在本地生成针对推断分类器的优化攻击。事实证明,这些攻击通常也会针对原始目标分类器起作用。
即使您对要攻击的模型的访问权限非常有限或无法访问,您甚至可以只知道训练数据来创建攻击。截至 2023 年,此类攻击仍然是一个大问题。
为了有效遏制此类黑盒攻击,我们需要做两件事:
- 真正限制谁或什么可以查询模型以及查询的数量。具有不受限制的 API 访问权限的黑匣子并不安全;API 访问可能受到严格限制的黑匣子。
- 隐藏训练数据,同时保证用于创建训练数据的过程未损坏。
在前者上做得最多的项目可能是Worldcoin,我曾详细分析了它的早期版本(以及其他协议) 。Worldcoin在协议级别广泛使用人工智能模型,以(i)将虹膜扫描转换为易于比较相似性的简短“虹膜代码”,以及(ii)验证其扫描的物体实际上是人类。Worldcoin所依赖的主要防御措施是它不允许任何人简单地调用人工智能模型:相反,它使用可信硬件来确保该模型只接受由球体相机数字签名的输入。
这种方法并不能保证有效:事实证明,您可以对生物识别人工智能进行对抗性攻击,这些攻击以物理贴片或珠宝的形式出现在您的脸上:
在额头上多戴一个东西,逃避检测,甚至冒充别人。
但希望的是,如果你将所有防御措施结合在一起,隐藏人工智能模型本身,极大地限制查询数量,并要求每个查询以某种方式进行身份验证,你就可以进行足够困难的对抗性攻击,从而保证系统的安全。
这让我们进入第二部分:我们如何隐藏训练数据?这就是“民主管理 AI 的 DAO”实际上可能有意义的地方:我们可以创建一个链上 DAO,来管理允许谁提交训练数据(以及数据本身需要什么证明)、允许谁的流程。进行查询以及查询数量,并使用 MPC 等加密技术对创建和运行 AI 的整个流程进行加密,从每个用户的训练输入一直到每个查询的最终输出。这个 DAO 可以同时满足补偿人们提交数据的非常流行的目标。
需要重申的是,这个计划是非常雄心勃勃的,并且有很多方面可以证明它是不切实际的:
- 对于这种完全黑盒架构来说,加密成本仍然可能太高,无法与传统的封闭式方法竞争。
- 事实可能是,没有一种好的方法可以使训练数据提交过程去中心化并防止中毒攻击。
- 由于参与者串通,多方计算设备可能会破坏其安全或隐私保证:毕竟,这种情况在跨链加密货币桥上已经一次又一次发生。
我没有在本节开头加上更大的红色警告标签,上面写着“不要做人工智能法官,那是反乌托邦”的原因之一是,我们的社会已经高度依赖于不负责任的集中式人工智能法官:决定哪种类型的算法帖子和政治观点在社交媒体上得到提升和降低,甚至受到审查。我确实认为在现阶段进一步扩大这一趋势是一个非常糟糕的主意,但我认为区块链社区对人工智能进行更多试验的可能性不大,这会导致情况变得更糟。
事实上,加密技术有一些非常基本的低风险方法,可以使这些现有的中心化系统变得更好,我对此非常有信心。一种简单的技术是延迟发布的验证人工智能:当社交媒体网站制作基于人工智能的帖子排名后,它可以发布一个 ZK-SNARK,证明生成该排名的模型的哈希值。该网站可能会承诺在之后披露其人工智能模型。延迟一年。一旦模型被公开,用户可以检查哈希值以验证是否发布了正确的模型,并且社区可以对模型进行测试以验证其公平性。发布延迟将确保模型发布时,它已经过时了。
因此,与中心化世界相比,问题不在于我们能否做得更好,而在于做得更好多少。然而,对于去中心化的世界,重要的是要小心: 如果有人构建了例如一个使用人工智能预言机的预测市场或稳定币,结果证明预言机是可攻击的,那是一笔可能会瞬间消失的巨额资金。
AI作为游戏的目标
如果上述用于创建可扩展的去中心化私人人工智能(其内容是任何人都不知道的黑匣子)的技术实际上可以发挥作用,那么这也可以用于创建具有超越区块链的实用性的人工智能。NEAR 协议团队正在将此作为他们正在进行的工作的核心目标。
这样做有两个原因:
- 如果你可以通过使用区块链和 MPC 的某种组合来运行训练和推理过程来创建“值得信赖的黑盒人工智能”,那么许多用户担心系统存在偏见或欺骗他们的应用程序可以从中受益。许多人表达了对我们所依赖的具有系统重要性的人工智能进行民主治理的愿望;加密和基于区块链的技术可能是实现这一目标的途径。
- 从人工智能安全的角度来看,这将是一种创建去中心化人工智能的技术,该人工智能也具有自然的终止开关,并且可以限制试图使用人工智能进行恶意行为的查询。
还值得注意的是,“使用加密激励来激励创造更好的人工智能”可以在不陷入使用密码学完全加密的兔子洞的情况下完成:像BitTensor这样的方法就属于这一类。
结论
现在区块链和人工智能都变得越来越强大,这两个领域的交叉领域的用例越来越多。然而,其中一些用例比其他用例更有意义并且更强大。一般来说,底层机制继续大致像以前一样设计,但个体玩家成为人工智能,使该机制能够在更微观的范围内有效运作,是最有前景、最容易实现的。
最具挑战性的是尝试使用区块链和加密技术来创建“单例”的应用程序:某些应用程序出于某种目的而依赖的单个去中心化可信人工智能。这些应用程序在功能和提高人工智能安全性方面都有希望,避免与解决该问题的更主流方法相关的中心化风险。但潜在的假设也有可能在很多方面失效。因此,值得谨慎行事,尤其是在高价值和高风险环境中部署这些应用程序时。
我期待在所有这些领域看到更多关于人工智能建设性用例的尝试,这样我们就可以看到哪些在规模上真正可行。