作者:以太坊聯合創辦人Vitalik Buterin
編譯:比推BitpushNews Mary Liu
多年來,許多人問過我類似的問題:加密貨幣和人工智慧之間最有成效的交叉點是什麼?
這是一個合理的問題:加密貨幣和人工智慧是過去十年的兩個主流深度(軟體)技術趨勢,感覺兩者之間一定存在某種關聯。從表面上看,很容易產生協同效應:加密貨幣去中心化可以平衡人工智慧中心化,人工智慧是不透明的,加密貨幣帶來透明度,人工智慧需要數據,而區塊鏈有利於儲存和追蹤數據。
但多年來,當人們要求我更深入地挖掘並討論具體應用時,我的回答可能會讓你失望:「是的,有一些交叉,但沒有那麼多」。
在過去的三年裡,隨著現代LLM形式的更強大的人工智慧的興起,以及更強大的加密貨幣的興起,不僅以區塊鏈擴展解決方案的形式出現,而且以零知識證明(ZKP) 、FHE(2 party和N party的形式出現。) MPC,我開始看到這種變化。區塊鏈生態系統內的人工智慧確實有一些有前景的應用,或是人工智慧與密碼學的結合,但重要的是要小心人工智慧的應用方式。
一個特殊的挑戰是:在密碼學中,開源是使某些東西真正安全的唯一方法,但在人工智慧中,模型(甚至其訓練資料)的開放大大增加了其面對對抗性機器學習(Adversarial machine learning)攻擊的脆弱性。
本文將對加密+人工智慧可能交叉的不同方式進行分類,以及每個類別的前景和挑戰。
四大類
人工智慧是一個非常廣泛的概念:你可以將「人工智慧」視為一組演算法,你創建的演算法不是透過明確指定它們,而是透過「攪動」一個巨大的計算「湯」並施加某種優化壓力來讓這碗「湯」形成具有您想要的屬性的演算法。
絕對不要小看這個形容:它首先包括了創造人類的過程!但這確實意味著人工智慧演算法具有一些共同的屬性:它們完成極其強大的事情的能力,以及我們了解或理解幕後發生的事情的能力的限制。
人工智慧的分類方法有很多;為了這篇文章的目的,討論人工智慧和區塊鏈(被描述為創建「遊戲」的平台)之間的交互,我將其分類如下:
- 人工智慧作為遊戲中的玩家[最高生存能力]:人工智慧參與的機制中,激勵的最終來源來自於人類輸入的協議;
- 人工智慧作為遊戲介面[潛力巨大,但也存在風險]:人工智慧幫助用戶了解周圍的加密世界,並確保他們的行為(即簽名訊息和交易)符合他們的意圖,並且不會被欺騙或被騙;
- 人工智慧作為遊戲規則[非常小心]:區塊鏈、DAO 和直接調用人工智慧的類似機制。例如「人工智慧評審」;
- 人工智慧作為遊戲的目標[長期但有趣]:設計區塊鏈、DAO 和類似機制,目標是建立和維護可用於其他目的的人工智慧,使用加密貨幣來更好地激勵培訓或防止人工智慧洩露隱私數據或被濫用。
讓我們一一分析。
AI作為遊戲中的玩家
這實際上是一個已經存在了近十年的類別,至少自從鏈上去中心化交易所(DEX)開始廣泛使用以來。任何時候只要有交易所,就有機會透過套利賺錢,而機器人可以比人類更好地進行套利。這個用例已經存在很長時間了,即使人工智慧比我們今天的簡單得多,但最終它是一個非常真實的人工智慧+加密貨幣的交叉點。最近,我們看到MEV 套利機器人經常互相利用。任何時候你有一個涉及拍賣或交易的區塊鏈應用程序,你就會有套利機器人。
但人工智慧套利機器人只是一個更大類別的第一個例子,我預計這個類別很快就會開始包括許多其他應用程式。來認識AIOmen,這是一個以AI 為參與者的預測市場演示:
預測市場長期以來一直是認知技術的聖杯。早在2014 年,我就對使用預測市場作為治理(「futarchy」)感到興奮,並在上次選舉以及最近的選舉中廣泛使用了它們。但到目前為止,預測市場在實踐中並沒有取得太大進展,並且有一系列常見的原因:最大的參與者往往是非理性的,擁有正確知識的人不願意花時間下注,除非有很多人或者金錢、市場深度往往不夠等。
對此的一種回應是指出Polymarket或其他新的預測市場正在進行的用戶體驗改進,並希望它們能夠在先前的迭代失敗的地方取得成功。畢竟,故事是這樣的,人們願意在體育上押注數百億美元,那麼為什麼人們不投入足夠的錢押注於美國大選或LK99,讓認真的玩家開始參與其中呢?
但這論點必須面對這樣一個事實:先前的迭代未能達到這種規模水準(至少與支持者想像中的相比),因此似乎需要一些新的東西才能使預測市場取得成功。因此,另一種回應是指出預測市場生態系統的一個具體特徵,我們預計將在2020 年代看到這一點,而在2010 年代卻沒有看到: 人工智慧普遍參與的可能性。
人工智慧願意以每小時不到1 美元的價格工作,並且擁有百科全書的知識–如果這還不夠,它們甚至可以與即時網路搜尋功能整合。如果你建立一個市場,並提供50 美元的流動性補貼,人類不會關心出價,但成千上萬的人工智慧會很容易地蜂擁而至,並做出他們能做出的最佳猜測。在任何一個問題上做好工作的動機可能很小,但製造出能夠做出良好預測的人工智慧的動機可能是數以百萬計的。請注意,您甚至不需要人類來裁決大多數問題:您可以使用類似於Augur 或Kleros 的多輪爭議系統,其中人工智慧也將參與早期輪次。人類只需要在發生一系列升級並且雙方都投入了大量資金的少數情況下做出反應。
這是一個強大的原語,因為一旦可以使“預測市場”在如此微觀的規模上發揮作用,您就可以將“預測市場”原語重複用於許多其他類型的問題:
- 根據[使用條款],此社交媒體貼文是否違規?
- 股票X 的價格會發生什麼變化(例如,請參閱Numerai)
- 目前給我發訊息的這個帳號真的是伊隆馬斯克嗎?
- 在線上任務市場上提交的這項工作可以接受嗎?
- examplefinance.network上的dapp是詐騙嗎?
- 0x1b54….98c3是Casinu Inu ERC20代幣的地址嗎?
你可能會注意到,其中許多想法都朝著我所謂的「資訊防禦」的方向發展。從廣義上講,問題是:我們如何幫助用戶區分真假資訊並檢測詐騙,而不授權中央機構來決定是非,然後誰可能會濫用該地位?從微觀層面來看,答案可以是「AI」。但從宏觀層面來看,問題是:誰建構了人工智慧?人工智慧是其創造過程的反映,因此不可避免地存在偏見。因此,需要更高層次的遊戲來裁決不同人工智慧的表現,其中人工智慧可以作為玩家參與遊戲。
人工智慧的這種使用,其中人工智慧參與一種機制,在該機制中,它們最終透過收集人類輸入的鏈上機制(機率上)獲得獎勵或懲罰(或許可以稱之為去中心化的基於市場的RLHF?),我認為這確實是一種機制,值得研究。現在是更多研究這樣的用例的正確時機,因為區塊鏈擴展終於成功了,使得「微型」任何東西最終在鏈上變得可行,而這在以前是不可能的。
相關的一類應用程式正朝著高度自治的代理方向發展,使用區塊鏈來更好地合作,無論是透過支付還是透過使用智慧合約做出可信的承諾。
AI 作為遊戲的介面
我曾經提出的一個想法是,存在編寫面向用戶的軟體的市場機會,該軟體可以透過解釋和識別用戶正在瀏覽的線上世界中的危險來保護用戶的利益。 Metamask 的詐騙偵測功能就是一個已經存在的例子:
另一個例子是Rabby錢包的模擬功能,它向用戶展示他們即將簽署的交易的預期結果。
Rabby 向我解釋了簽署交易以將我的所有「比特幣」(一些隨機騙局ERC20,而不是實際的BTC)換成ETH 的後果。
這些工具有可能被人工智慧進一步改善。
人工智慧可以對正在參與哪種dapp、正在簽署的更複雜操作的後果、特定代幣是否真實(例如,不僅僅是BITCOIN一串字元、它是一種實際加密貨幣的名稱,它不是ERC20 代幣,而且其價格高於0.045 美元,現代LLM知道這一點)等等。有些專案開始朝這個方向走下去(例如LangChain錢包,它使用人工智慧作為主要介面)。我自己的觀點是,目前純粹的人工智慧介面可能風險太大,因為它增加了其他類型錯誤的風險,但人工智慧補充更傳統的介面非常有可行性。
有一個特別的風險值得一提。我將在下面的「人工智慧作為遊戲規則」部分對此進行更多討論,但一般問題是對抗性機器學習:如果用戶可以訪問開源錢包內的人工智慧助手,那麼壞人就會有也可以訪問該人工智慧助手,因此他們將有無限的機會來優化他們的騙局,以免觸發該錢包的防禦。所有現代人工智慧都在某個地方存在錯誤,並且對於訓練過程來說,即使是對模型的存取權限有限的訓練過程,要找到它們並不難。
這就是「人工智慧參與鏈上微型市場」效果更好的地方:每個單獨的人工智慧都容易遭受相同的風險,但你有意創建一個由數十人不斷迭代和改進的開放生態系統。而且,每個單獨的AI都是封閉的:系統的安全性來自於遊戲規則的開放性,而不是每個玩家的內部運作。
摘要:人工智慧可以幫助使用者用簡單的語言理解正在發生的事情,它可以充當即時導師,它可以保護使用者免受錯誤的影響,但在嘗試直接使用它來對抗惡意誤導者和詐騙者時要注意。
人工智慧作為遊戲規則
現在,我們來到了很多人都興奮的應用程序,但我認為它是風險最大的,也是我們需要最謹慎對待的地方:我所說的人工智慧是遊戲規則的一部分。這與主流政治菁英對「人工智慧法官」的興奮有關,而在區塊鏈應用中也有類似的願望。如果基於區塊鏈的智慧合約或DAO 需要做出主觀決定(僱傭工作合約中可以接受特定的工作產品嗎? Optimism Law法則這樣的自然語言在憲法中的正確解釋是什麼?),你能讓人工智能成為合約或DAO 的一部分來幫助執行這些規則嗎?
這就是對抗性機器學習將成為一項極其艱鉅的挑戰的地方。基本的兩句話論證「為什麼」如下:
如果一個在機制中扮演關鍵角色的AI模型是封閉的,你就無法驗證它的內部運作,所以它並不比中心化應用更好。如果人工智慧模型是開放的,那麼攻擊者可以在本地下載並模擬它,並設計經過高度優化的攻擊來欺騙模型,然後他們可以在即時網路上重播該模型。
對抗性機器學習範例。資料來源:researchgate.net
現在,這個部落格的常客(或加密原住民)可能已經領先於我,並思考:但是等等!我們有奇特的零知識證明和其他非常酷的密碼學形式。當然,我們可以做一些加密魔法,隱藏模型的內部工作原理,以便攻擊者無法優化攻擊,但同時證明模型正在正確執行,並且是在合理的基礎資料集!
通常,這正是我在本部落格和其他著作中所提倡的思維類型。但就人工智慧相關計算而言,主要有兩個反對意見:
- 成本可行性:在SNARK(或MPC 或…)內執行某項操作的效率比「以明文形式」執行的效率要低得多。鑑於人工智慧的運算量已經非常大,那麼在加密黑盒子內進行人工智慧在運算上是否可行?
- 黑盒對抗性機器學習攻擊:即使不了解模型的內部運作原理,也有方法可以優化針對人工智慧模型的攻擊。如果隱藏太多,那麼選擇訓練資料的人就很容易透過poisoning攻擊來破壞模型。
這兩個都是複雜的兔子洞,所以讓我們依次深入了解它們。
成本可行性
加密工具,尤其是ZK-SNARK 和MPC 等通用工具,具有很高的開銷。客戶端直接驗證以太坊區塊需要幾百毫秒,但產生ZK-SNARK 來證明此類區塊的正確性可能需要數小時。其他加密工具(例如MPC)的典型成本可能更糟。人工智慧運算已經很昂貴:最強大的法學碩士輸出單字的速度僅比人類閱讀它們的速度快一點點,更不用說訓練模型的計算成本通常高達數百萬美元。頂級模型與試圖節省更多訓練成本或參數數量的模型之間的品質差異很大。乍一看,這是一個很好的理由來懷疑整個項目,即試圖透過將人工智慧包裝在密碼學中來為其添加保證。
不過幸運的是,人工智慧是一種非常特殊的計算類型,這使得它能夠進行各種優化,而ZK-EVM 等更多「非結構化」計算類型無法從中受益。讓我們來看看人工智慧模型的基本結構:
通常,AI 模型主要由一系列矩陣乘法組成,其中散佈著每個元素的非線性運算,例如ReLU 函數( y = max(x, 0))。漸進地,矩陣乘法佔據了大部分工作:兩個N*N矩陣相乘需要O(N的2.8次方)時間,而非線性運算的數量則少得多。這對於密碼學來說確實很方便,因為許多形式的密碼學幾乎可以「免費」進行線性運算(矩陣乘法是,至少如果您加密模型而不加密模型的輸入)。
如果您是密碼學家,您可能已經聽說過同態加密中的類似現象:對加密密文執行加法非常容易,但乘法是極其困難的,直到2009 年我們才找到任何無限深度的乘法方法。
對於ZK-SNARK,等效協議是2013 年的協議,該協議在證明矩陣乘法方面的成本不到4 倍。不幸的是,非線性層的成本仍然很大,實踐中最好的實現顯示成本約為200 倍。但希望透過進一步的研究可以大大減少這種情況;請參閱Ryan Cao 的演示,了解最近基於GKR 的方法,以及我自己對GKR 主要組件如何工作的簡化解釋。
但對於許多應用程式來說,我們不僅想證明人工智慧輸出的計算正確,我們還想隱藏模型。對此有一些簡單的方法:您可以拆分模型,以便一組不同的伺服器冗餘地儲存每個層,並希望洩漏某些層的某些伺服器不會洩漏太多資料。但也存在令人驚訝的有效形式的專門多方計算。
其中一種方法的簡化圖,保持模型私有,但將輸入公開。如果我們想將模型和輸入保持私有,也是可行的,但會變得有點複雜
在這兩種情況下,故事的寓意是相同的:AI 計算的最大部分是矩陣乘法,為此可以製作非常高效的ZK-SNARK 或MPC(甚至FHE),因此將人工智慧放入加密盒子中的成本低得驚人。一般來說,非線性層是最大的瓶頸,儘管它們的尺寸較小;也許像尋找參數這樣的新技術會有所幫助。
對抗性機器學習的黑箱
現在,讓我們討論另一個大問題:即使模型的內容保密並且您只有對模型的“API 訪問權限”,您也可以進行哪些類型的攻擊。引用2016年的一篇論文:
許多機器學習模型容易受到對抗性範例的影響:專門設計的輸入會導致機器學習模型產生不正確的輸出。影響一個模型的對抗性範例通常會影響另一個模型,即使這兩個模型具有不同的架構或在不同的訓練集上進行訓練,只要兩個模型都被訓練來執行相同的任務即可。因此,攻擊者可以訓練自己的替代模型,針對替代模型製作對抗性範例,並將其轉移到受害者模型,而受害者的資訊很少。
使用黑盒存取「目標分類器」來訓練和完善您自己的本地儲存的「推斷分類器」。然後,在本地產生針對推斷分類器的最佳化攻擊。事實證明,這些攻擊通常也會針對原始目標分類器運作。
即使您對要攻擊的模型的訪問權限非常有限或無法訪問,您甚至可以只知道訓練資料來創建攻擊。截至2023 年,此類攻擊仍然是一個大問題。
為了有效遏制此類黑盒攻擊,我們需要做兩件事:
- 真正限制誰或什麼可以查詢模型以及查詢的數量。具有不受限制的API 存取權限的黑盒子並不安全;API 存取可能受到嚴格限制的黑盒子。
- 隱藏訓練數據,同時確保用於創建訓練數據的過程未損壞。
在前者上做得最多的項目可能是Worldcoin,我曾詳細分析了它的早期版本(以及其他協議) 。 Worldcoin在協議級別廣泛使用人工智慧模型,以(i)將虹膜掃描轉換為易於比較相似性的簡短“虹膜代碼”,以及(ii)驗證其掃描的物體實際上是人類。 Worldcoin所依賴的主要防禦措施是它不允許任何人簡單地調用人工智慧模型:相反,它使用可信硬體來確保該模型只接受由球體相機數位簽署的輸入。
這種方法並不能保證有效:事實證明,您可以對生物辨識人工智慧進行對抗性攻擊,這些攻擊以實體貼片或珠寶的形式出現在您的臉上:
在額頭上多戴一個東西,逃避檢測,甚至冒充別人。
但希望的是,如果你將所有防禦措施結合在一起,隱藏人工智慧模型本身,極大地限制查詢數量,並要求每個查詢以某種方式進行身份驗證,你就可以進行足夠困難的對抗性攻擊,從而確保系統的安全。
這讓我們進入第二部分:我們如何隱藏訓練資料?這就是「民主管理AI 的DAO」實際上可能有意義的地方:我們可以創建一個鏈上DAO,來管理允許誰提交訓練資料(以及資料本身需要什麼證明)、允許誰的流程。進行查詢以及查詢數量,並使用MPC 等加密技術對創建和運行AI 的整個流程進行加密,從每個用戶的訓練輸入一直到每個查詢的最終輸出。這個DAO 可以同時滿足補償人們提交資料的非常流行的目標。
需要重申的是,這個計劃是非常雄心勃勃的,並且有很多方面可以證明它是不切實際的:
- 對於這種完全黑盒架構來說,加密成本仍然可能太高,無法與傳統的封閉式方法競爭。
- 事實可能是,沒有一種好的方法可以使訓練資料提交過程去中心化並防止中毒攻擊。
- 由於參與者串通,多方計算設備可能會破壞其安全或隱私保證:畢竟,這種情況在跨鏈加密貨幣橋上已經一次又一次發生。
我沒有在本節開頭加上更大的紅色警告標籤,上面寫著「不要做人工智慧法官,那是反烏托邦」的原因之一是,我們的社會已經高度依賴不負責任的集中式人工智能法官:決定哪種類型的演算法貼文和政治觀點在社群媒體上得到提升和降低,甚至受到審查。我確實認為在現階段進一步擴大這一趨勢是一個非常糟糕的主意,但我認為區塊鏈社群對人工智慧進行更多試驗的可能性不大,這會導致情況變得更糟。
事實上,加密技術有一些非常基本的低風險方法,可以使這些現有的中心化系統變得更好,我對此非常有信心。一種簡單的技術是延遲發布的驗證人工智慧:當社群媒體網站製作基於人工智慧的貼文排名後,它可以發布一個ZK-SNARK,證明產生該排名的模型的雜湊。該網站可能會承諾在之後披露其人工智慧模型。延遲一年。一旦模型被公開,使用者可以檢查雜湊值以驗證是否發布了正確的模型,並且社群可以對模型進行測試以驗證其公平性。發布延遲將確保模型發佈時,它已經過時了。
因此,與中心化世界相比,問題不在於我們能否做得更好,而在於做得更好。然而,對於去中心化的世界,重要的是要小心: 如果有人構建了例如一個使用人工智慧預言機的預測市場或穩定幣,結果證明預言機是可攻擊的,那是一筆可能會瞬間消失的巨額資金。
AI作為遊戲的目標
如果上述用於創建可擴展的去中心化私人人工智慧(其內容是任何人都不知道的黑盒子)的技術實際上可以發揮作用,那麼這也可以用於創建具有超越區塊鏈的實用性的人工智慧. NEAR 協議團隊正在將此作為他們正在進行的工作的核心目標。
這樣做有兩個原因:
- 如果你可以透過使用區塊鏈和MPC 的某種組合來運行訓練和推理過程來創建“值得信賴的黑盒人工智慧”,那麼許多用戶擔心系統存在偏見或欺騙他們的應用程式可以從中受益。許多人表達了對我們所依賴的具有系統重要性的人工智慧進行民主治理的願望;加密和基於區塊鏈的技術可能是實現這一目標的途徑。
- 從人工智慧安全的角度來看,這將是一種創建去中心化人工智慧的技術,該人工智慧也具有自然的終止開關,並且可以限制試圖使用人工智慧進行惡意行為的查詢。
另外值得注意的是,「使用加密激勵來激勵創造更好的人工智慧」可以在不陷入使用密碼學完全加密的兔子洞的情況下完成:像BitTensor這樣的方法就屬於這一類。
結論
現在區塊鏈和人工智慧都變得越來越強大,這兩個領域的交叉領域的用例越來越多。然而,其中一些用例比其他用例更有意義且更強大。一般來說,底層機制繼續大致像以前一樣設計,但個別玩家成為人工智慧,使該機制能夠在更微觀的範圍內有效運作,是最有前景、最容易實現的。
最具挑戰性的是嘗試使用區塊鏈和加密技術來創建「單例」的應用程式:某些應用程式出於某種目的而依賴的單一去中心化可信任人工智慧。這些應用程式在功能和提高人工智慧安全性方面都有希望,避免與解決該問題的更主流方法相關的中心化風險。但潛在的假設也有可能在很多方面失效。因此,值得謹慎行事,尤其是在高價值和高風險環境中部署這些應用程式時。
我期待在所有這些領域看到更多關於人工智慧建設性用例的嘗試,這樣我們就可以看到哪些在規模上真正可行。