作者:Vitalik;翻譯:喜來順財經(jīng)xiaozou
多年來,有很多人問過我一個類似的問題,那就是我認為加密和人工智能之間最具成效的交集在哪里?這個問題很好:加密和人工智能可以說是上個十年里最主要的兩個深度(軟件)技術(shù)趨勢,二者之間一定存在著某種聯(lián)系。我們很容易發(fā)現(xiàn)表面上的協(xié)同效應(yīng):加密去中心化可以平衡人工智能的中心化問題,人工智能是不透明的,加密則帶來了透明度,人工智能需要數(shù)據(jù),而區(qū)塊鏈非常適合存儲和跟蹤數(shù)據(jù)。但多年來,當人們要我進行深入研究并聊聊具體的應(yīng)用程序時,我的回答總會讓他們失望:“確實,是有一些深度的東西,但不是很多”。
過去三年里,隨著現(xiàn)代LLM(機器學(xué)習(xí)模型)形式的更強大的人工智能的興起,以及更強大的加密貨幣——不僅是區(qū)塊鏈擴展解決方案形式,還有ZKP、FHE、(雙方和n方)MPC形式——的興起,我開始看到了變化。在區(qū)塊鏈生態(tài)系統(tǒng)中確實存在一些前景光明的人工智能應(yīng)用,或是人工智能與密碼學(xué)相結(jié)合的應(yīng)用,重要的是要關(guān)注人工智能的應(yīng)用方式。其中一個具體的問題就是:在密碼學(xué)里,開源是確保某些東西真正安全的唯一途徑,但在人工智能領(lǐng)域,開源模型(甚至連訓(xùn)練數(shù)據(jù)也是開源的)卻大大加劇了它面對對抗性機器學(xué)習(xí)攻擊的脆弱性。本文將介紹加密與人工智能之間可能存在的各類交集及其前景和挑戰(zhàn)。
人工智能是一個非常寬泛的概念:你可以把“人工智能”想象成一組算法,而非具體的設(shè)定,就像是通過攪拌一大鍋神奇的計算的湯汁,并施加某種優(yōu)化壓力,來讓這鍋湯提供給你帶有你想要的屬性的算法。這種描述絕對不應(yīng)該被看輕:它就是我們?nèi)祟愖畛跽Q生的過程!人工智能算法確有一些共同的特性:它們的做事能力非常強大,而與此同時,我們窺探幕后真相的能力也非常有限。
人工智能的分類方式有很多。本文主要討論人工智能和區(qū)塊鏈(被描述為創(chuàng)建“游戲”的平臺)之間的交集,所以我將人工智能在此進行如下分類:
游戲玩家類AI(最易存活):AI所參與的機制中,激勵的最終來源出自協(xié)議的人類輸入。
游戲界面類AI(潛力巨大,但也存在風(fēng)險):AI幫助用戶理解他們身邊的加密世界,并確保他們的行為(如:簽署消息和交易)與他們的意圖相符,他們不會被欺騙。
游戲規(guī)則類AI(如履薄冰):區(qū)塊鏈、DAO和其他類似機制直接調(diào)用AI。例如“AI法官”。
游戲目標類AI(長期但有趣):設(shè)計區(qū)塊鏈、DAO和其他類似機制,目的是構(gòu)建和維護一個可用于其他目的的AI,使用加密bits來更好地激勵訓(xùn)練或防止AI泄露隱私數(shù)據(jù)或被濫用。
游戲玩家類AI實際上是一個已經(jīng)存在了近十年的類別,尤其是自從鏈上去中心化交易所(DEX)開始被廣泛使用以來。只要涉及到交易,就會有套利賺錢的機會,而機器人在套利方面比人類更具優(yōu)勢。這個用例已經(jīng)存在很久了,雖然使用的AI比現(xiàn)今的AI簡單的多,但它最終成為了人工智能與加密貨一個真正的交叉領(lǐng)域。最近我們經(jīng)常看到MEV套利機器人相互競爭。無論什么時候,只要區(qū)塊鏈應(yīng)用程序涉及到拍賣或交易,都會出現(xiàn)套利機器人。
然而,AI套利機器人僅僅是其所在的更大范疇里的第一個例子,我預(yù)計很快還會包含很多其他應(yīng)用。
長期以來,預(yù)測市場一直是認知技術(shù)的圣杯;早在2014年,我就對使用預(yù)測市場作為治理輸入非常興奮,上次大選和最近的選舉就廣泛使用了預(yù)測市場。但到目前為止,預(yù)測市場在實踐中并沒有太大的發(fā)展,常見的原因有很多:最大的參與者往往是非理性的,明智的人往往不愿花費時間下注,除非涉及到大量資金,還有市場的流動性很淺,等等。
對此有一種回應(yīng)指向了Polymarket或其他新興預(yù)測市場正在進行的用戶體驗改進,并希望它們能夠在之前失敗的地方獲取成功。畢竟,故事都是這樣發(fā)展的,人們愿意在體育賽事上押注數(shù)百億美元,那么為什么不把足夠的錢押注在美國大選或LK99上,這樣一來,那些大玩家也就會有入場意愿了。但這一點必須面對這樣一個事實,那就是既然之前都未能達到這種規(guī)模(至少與其支持者的夢想相比),因此似乎需要一些新的東西才能讓使預(yù)測市場成功。所以,另一種不同的回應(yīng)指向了預(yù)測市場生態(tài)系統(tǒng)的一個具體特征,也就是我們可以在21世紀20年代看到上個年代看不到的東西:人工智能無所不在的可能性。
人工智能愿意以每小時不到1美元的價格工作,并且擁有百科全書般的知識——如果這還不夠,它們甚至還可以與實時網(wǎng)絡(luò)搜索功能相結(jié)合。如果你做市,并提供50美元的流動性補貼,人類可能不太在意,不會去競標,但成千上萬的人工智能會迅速行動,并盡其所能做出最好的預(yù)測。在一個問題表現(xiàn)出色的激勵可能很小,但讓人工智能做出廣泛的正確預(yù)測的激勵卻很巨大。請注意,你甚至不需要人類來對大多數(shù)問題實行裁決:你可以使用類似于Augur或Kleros的多輪爭議系統(tǒng),其中人工智能也將參與較早的輪次。人類只需要在非常少數(shù)情況下做出反應(yīng),也就是當進行一系列雙方投入都很大的升級的時候。
這是一個強大的原語,因為一旦“預(yù)測市場”可以進行如此微觀規(guī)模的工作,你就可以在許多其他類問題上重復(fù)使用“預(yù)測市場”原語:
根據(jù)[用戶使用條款],這個社交媒體帖子是否可以發(fā)布?
股票X的價格會發(fā)生什么變化?
現(xiàn)在正發(fā)消息給我的這個賬號真的是埃隆·馬斯克嗎?
這個在在線任務(wù)市場提效的工作合格嗎?
這個網(wǎng)址是https://examplefinance.network的dapp是個騙局嗎?
0x1b54....98c3真的是“Casinu?Inu”?ERC20代幣的地址嗎?
你可能會注意到,這些想法很多都是朝著我所說的“信息防御”的方向發(fā)展的。從廣義上講,問題是:我們?nèi)绾螏椭脩魠^(qū)分真實和虛假信息,檢測詐騙,而不是授權(quán)一個中心化權(quán)威機構(gòu)來決定孰是孰非,因為中心化權(quán)威可能會濫用自己的權(quán)利。在微觀層面上,答案可以是“人工智能”。但在宏觀層面上,要面臨的問題是:誰來建設(shè)人工智能?人工智能是其創(chuàng)建過程的反映,是無法避免偏見的。所以,我們需要一個更高層的游戲去評判各種AI的表現(xiàn),讓AI能夠作為玩家參與到游戲中。
人工智能的這種使用,即人工智能參與某種機制,并最終會被一個匯集人類輸入的鏈上機制(稱之為基于市場的去中心化RLHF如何?)獎勵或懲罰,我認為這是一個真正值得研究的方向。現(xiàn)在是時候更多地研究這樣的用例了,因為區(qū)塊鏈擴展終于成功了,讓任何“小”、“微”事物終于在鏈上可行,而這些在之前通常是不可行的。
一個相關(guān)的應(yīng)用類別就是高度自主的使用區(qū)塊鏈實現(xiàn)更優(yōu)合作的智能體,不管是通過支付還是通過使用智能合約來做出可信承諾。
我曾在自己的文章中提出的一個想法是,編寫面向用戶的軟件是有市場機會的,這種軟件可以通過解釋和識別用戶正在瀏覽的線上世界中的危險來保障用戶的利益。一個業(yè)已存在的例子就是Metamask的欺詐檢測功能:
另一個例子就是Rabby錢包的模擬功能,它向用戶展示他們即將簽署的交易的預(yù)期結(jié)果。
這些工具可能會被人工智能大大強化。人工智能可以提供一個更豐富的人類友好的解釋,說明你正在參與什么樣的dapp,你正在簽署的復(fù)雜操作的后果,特定的代幣是否真實(例如,BITCOIN不僅僅是一串字符,它還是一種真正的加密貨幣的名稱,它不是ERC20代幣,其價格遠遠高于0.045美元,LLM會知道這一點),等等。有些項目開始朝著這個方向發(fā)展(例如LangChain錢包使用AI作為主界面)。我個人的觀點是,純AI界面目前可能風(fēng)險太大,因為它會增加發(fā)生其他類型錯誤的風(fēng)險,但用AI來補足偏向傳統(tǒng)的界面是極其可行的。
值得一提的還有一個特定風(fēng)險。我將在下面的“游戲規(guī)則類AI”部分內(nèi)容中詳細討論這個問題,但一般性的問題是對抗性機器學(xué)習(xí):如果用戶可以訪問開源錢包中的AI助手,那么不良人員也可以訪問該AI助手,因此他們將有無限的機會優(yōu)化他們的騙局,避免觸發(fā)錢包防御。所有現(xiàn)代AI都有bug,這對于訓(xùn)練過程來說發(fā)現(xiàn)bug并不難,即使只有有限的模型訪問權(quán)限。
這就是“人工智能參與鏈上微市場”更能施展的地方:所有AI能都容易遭受相同的風(fēng)險,但你有意創(chuàng)建一個開放的生態(tài)系統(tǒng),由數(shù)十人不斷進行迭代和改進。此外,每個單獨的AI都是閉環(huán)的:系統(tǒng)的安全性來自游戲規(guī)則的開放性,而不是每個玩家的內(nèi)部操作。
小結(jié):人工智能可以用簡單的語言幫助用戶理解正在發(fā)生的事情,它可以作為實時導(dǎo)師,它可以保護用戶免受錯誤的負面影響,但如果想要直接使用人工智能來對付惡意散布虛假信息者和騙子時,一定要小心。
現(xiàn)在,我們談到了讓很多人都很興奮的應(yīng)用,但我認為這是最危險的地方,我們需要小心行事:我稱之為“人工智能成為游戲規(guī)則的一部分”。這與主流政治精英對“AI法官”的興奮相關(guān),在區(qū)塊鏈應(yīng)用程序中也有類似的愿望。如果基于區(qū)塊鏈的智能合約或DAO需要做出主觀決策(例如:某個特定的工作產(chǎn)品是否在雇傭合同范圍內(nèi)?),你是否可以讓人工智能成為合約或DAO的一部分,以幫助執(zhí)行這些規(guī)則?
這就是為什么說對抗性機器學(xué)習(xí)將成為一個極其艱巨的挑戰(zhàn)。基本的兩句話論證如下:
如果在機制中扮演關(guān)鍵角色的AI模型是閉環(huán)的,則無法驗證其內(nèi)部工作原理,所以它并不比中心化應(yīng)用程序更好。如果AI模型是開源的,那么攻擊者可以下載并在本地模擬它,并設(shè)計大量優(yōu)化的攻擊來欺騙模型,然后在實時網(wǎng)絡(luò)上重播。
現(xiàn)在,有些讀者(或加密原住民)可能已經(jīng)走在我前面了,并且在想:等等!我們有了不起的零知識證明和其他非常酷的密碼學(xué)手段。當然,我們可以施一些加密魔法,隱藏模型的內(nèi)部工作原理,這樣攻擊者就無法優(yōu)化攻擊,而與此同時證明模型正在被正確執(zhí)行,并且是在合理的底層數(shù)據(jù)集上使用合理的訓(xùn)練過程構(gòu)建的!
通常,這正是我在其他文章中所提倡的思維方式。但對AI相關(guān)計算而言,還有兩個主要的反對意見:
加密開銷:在SNARK(或MPC……)內(nèi)部執(zhí)行某些操作的效率要比透明化執(zhí)行低得多。考慮到人工智能已經(jīng)是非常密集的計算,在加密黑盒中進行人工智能計算可行嗎?
黑盒對抗性機器學(xué)習(xí)攻擊:即使不了解模型的內(nèi)部工作原理,也有辦法優(yōu)化針對AI模型的攻擊。如果你隱藏得太多,你就有可能讓選擇訓(xùn)練數(shù)據(jù)的人很容易用有毒攻擊來破壞模型。
二者都是復(fù)雜的兔子洞,所以讓我們來依次探查。
加密工具,特別是像ZK-SNARKs和MPC這樣的通用工具,開銷很高。客戶端直接驗證一個以太坊區(qū)塊需要幾百毫秒,但生成一個ZK-SNARK來證明這樣一個區(qū)塊的正確性卻可能需要幾個小時。其他加密工具(如MPC)的通常開銷可能更大。人工智能計算已經(jīng)相當昂貴:最強大的LLM輸出單個單詞的速度只比人類閱讀單詞的速度快一點點,更不用說訓(xùn)練這些模型常常需要數(shù)百萬美元的計算成本。頂級模型和試圖節(jié)省更多訓(xùn)練成本或參量數(shù)的模型之間的質(zhì)量差異很大。乍一看,這是一個很好的質(zhì)疑理由,懷疑整個項目試圖通過將AI包裹在密碼學(xué)中來強化保障。
幸運的是,人工智能是一種結(jié)構(gòu)非常具體的計算類型,這使得它能夠適應(yīng)各種優(yōu)化,而像ZK-EVM這樣的“非結(jié)構(gòu)化”計算類型卻無法從這些優(yōu)化中受益。讓我們來看看人工智能模型的基本結(jié)構(gòu):
通常,AI模型主要由一系列矩陣乘法組成,其中穿插著各元素的非線性運算,如ReLU函數(shù)(y?=?max(x,?0))。矩陣乘法占據(jù)了工作的大部分:將兩個N*N矩陣相乘需要時間,而非線性運算的數(shù)量要少得多。這對于密碼學(xué)來說非常方便,因為很多形式的密碼學(xué)都幾乎可以“免費”地進行線性運算(矩陣乘法是線性運算,如果你只加密模型而不加密它的輸入的話)。
如果你是一位密碼學(xué)家,那么你可能已經(jīng)聽說過同態(tài)加密中的類似現(xiàn)象:在加密的密文上執(zhí)行加法非常簡單,但執(zhí)行乘法卻非常困難,直到2009年我們才找到方法來進行無限深度的乘法運算。
對于ZK-SNARKs來說,與此相當?shù)?013年的協(xié)議,證明矩陣乘法的開銷不到4倍。遺憾的是,非線性層的開銷最終仍然很大,實踐中最好的實現(xiàn)顯示開銷在200倍左右。但有希望通過進一步的研究,大大減少這方面的開銷。
但針對很多應(yīng)用程序,我們不僅想證明人工智能輸出是計算正確的,我們還想隱藏模型。有一些簡單的方式可以實現(xiàn)這一點:你可以拆分模型,由一組不同的服務(wù)器冗余存儲各層,希望泄漏某些層數(shù)據(jù)的某些服務(wù)器不會泄漏太多數(shù)據(jù)。但還有一些特別有效的多方計算方式。
在這兩種情況下,故事的精神是相同的:AI計算的最重要部分是矩陣乘法,因此可以創(chuàng)建非常高效的ZK-SNARKs或MPC(甚至FHE),所以將AI置入加密盒子的總開銷非常低。一般來說,非線性層是最大的瓶頸,盡管它們的規(guī)模較小;也許像Lookup?Arguments這樣的新技術(shù)會有所幫助。
現(xiàn)在,讓我們來討論另一個重大問題:如果模型的內(nèi)容是私有的,并且你只有對模型的“API訪問”權(quán)限,你可以進行哪類攻擊?這里讓我來引用2016年的一篇文章:
許多機器學(xué)習(xí)模型很容易受到對抗性示例的影響:專門設(shè)計的輸入會導(dǎo)致機器學(xué)習(xí)模型產(chǎn)生錯誤輸出。能夠影響一個模型的對抗性示例通常會影響另一個模型,即使兩個模型的架構(gòu)不同或在不同的訓(xùn)練集上進行訓(xùn)練,只要兩個模型都被訓(xùn)練來執(zhí)行相同的任務(wù)就可能受影響。因此,攻擊者可能會訓(xùn)練自己的替代模型,打磨針對替代模型的對抗性示例,然后將它們用到受害模型中,幾乎無需了解受害模型信息。
有可能,你甚至可以創(chuàng)建只知道訓(xùn)練數(shù)據(jù)的攻擊,就算你對試圖攻擊的模型的訪問權(quán)限非常有限或沒有任何訪問權(quán)限也沒關(guān)系。截止到2023年,這類攻擊仍然是一個大問題。
為了有效地減少這類黑盒攻擊,我們需要做兩件事:
真正限制誰可以查詢模型以及查詢多少內(nèi)容。具有不受限制的API訪問權(quán)限的黑盒是不安全的;具有非常有限的API訪問權(quán)限的黑盒可能是安全的。
隱藏訓(xùn)練數(shù)據(jù),同時確保用于創(chuàng)建訓(xùn)練數(shù)據(jù)的過程不會被破壞。
在第一件事上做得最多的項目可能是Worldcoin。Worldcoin在協(xié)議層面廣泛使用人工智能模型,以將虹膜掃描轉(zhuǎn)換為易于比較相似性的簡短“虹膜代碼”,以及驗證它所掃描的對象實際上是一個人。Worldcoin所依賴的主要防御措施是,它不允許任何人輕易調(diào)用人工智能模型,而是使用可信硬件來確保模型只接受由orb相機進行數(shù)字簽名的輸入。
這種方法并不一定奏效:事實證明,你可以對生物識別人工智能進行對抗性攻擊,形式是你可以戴在臉上的物理貼片或珠寶:
但希望就是,如果你把所有的防御結(jié)合在一起,隱藏人工智能模型本身,極大地限制查詢量,并要求每個查詢進行某種方式的身份驗證,你就可以讓攻擊變得足夠困難,系統(tǒng)就可以是安全的了。
這就將我們帶到了下一件事:我們?nèi)绾坞[藏訓(xùn)練數(shù)據(jù)?這可能就是“民主治理AI?DAOs”的用武之地:我們可以創(chuàng)建一個鏈上DAO,治理決定如下過程:允許誰提交訓(xùn)練數(shù)據(jù)(需要哪些數(shù)據(jù)相關(guān)證明)、允許誰查詢、查詢多少內(nèi)容、以及使用像MPC等加密技術(shù)加密整個AI創(chuàng)建和運行管道(從每個用戶的訓(xùn)練輸入到每個查詢的最終輸出)。該DAO還可以同時對提交數(shù)據(jù)的人進行補償。
需要重申的是,這一計劃雄心勃勃,從很多方面來看可能不切實際:
對于這種全黑盒架構(gòu)來說,加密開銷可能仍然太高,無法與傳統(tǒng)的封閉式的“信任我”的做法相競爭。
結(jié)果可能是,沒有一種好的方法可以使訓(xùn)練數(shù)據(jù)提交過程去中心化并預(yù)防有毒攻擊。
由于參與者串通,多方計算工具的安全或隱私保障可能受損:畢竟,加密貨幣跨鏈橋一次又一次地出現(xiàn)過這種情況。
我之所以沒有在這部分一開始就貼上更大的紅色警告標簽,告訴你“不要做AI法官,這是反烏托邦的”,其中一個原因就是,我們的社會已經(jīng)高度依賴于不負責(zé)任的中心化AI法官:例如,決定社交媒體上哪些帖子和政治觀點會浮出水面或被淹沒(甚至被審查)的那些算法。我確實認為在這個階段進一步擴大這一趨勢是一個非常糟糕的想法,但我不并認為區(qū)塊鏈社區(qū)更多地進行人工智能實驗會使情況變得更糟。
事實上,加密技術(shù)有一些非常低風(fēng)險的基本方法可以使這些現(xiàn)有中心化系統(tǒng)變得更好,我對此非常有信心。有一種簡單的技術(shù)通過延遲發(fā)布來驗證人工智能:當社交媒體網(wǎng)站基于人工智能對帖子進行排名時,它可以發(fā)布一個ZK-SNARK來證明生成該排名的模型的哈希值。該網(wǎng)站可能會承諾在一年后公布其人工智能模型。一旦模型公布,用戶就可以檢查哈希值來驗證是否發(fā)布了正確模型,社區(qū)可以對模型運行測試來驗證其公平性。發(fā)布延遲將確保當模型公開時,它已經(jīng)過時了。
因此,與中心化世界相比,問題不在于我們是否能做得更好,而是能好多少。然而,對于去中心化世界而言,重要的是要小心謹慎:如果有人構(gòu)建一個使用人工智能預(yù)言機的預(yù)測市場或穩(wěn)定幣,而結(jié)果證明這個預(yù)言機是可被攻擊的,那么一筆巨大的資金可能會在瞬間消失。
如果上述技術(shù)用于創(chuàng)建可擴展的去中心化私有AI,其內(nèi)容是任何人都不知道的黑盒子,可用于實際運行,那么這也可以用于創(chuàng)建具有超越區(qū)塊鏈效用的AI。NEAR協(xié)議團隊正將此作為他們正在進行的工作的核心目標。
這樣做有兩點原因:
如果你可以通過運行使用區(qū)塊鏈和MPC的訓(xùn)練和推理過程來創(chuàng)建“值得信賴的黑箱AI”,那么許多擔(dān)心系統(tǒng)有失偏頗或欺騙自己的應(yīng)用程序都可以從中受益。很多人表達了對我們將依賴的具有系統(tǒng)重要性的AI民主治理的期待;加密和基于區(qū)塊鏈的技術(shù)可能是實現(xiàn)這一目標的途徑。
從人工智能安全角度來看,這將是一種創(chuàng)建去中心化人工智能的技術(shù),它也有一個自然的終止開關(guān),可以限制那些試圖使用人工智能進行惡意行為的查詢。
同樣值得注意的是,“使用加密激勵措施來激勵創(chuàng)造更好的AI”可以在不使用密碼學(xué)進行完全加密的情況下完成:BitTensor等做法就屬于這一類。
區(qū)塊鏈和人工智能都變得越來越強大,在這兩個領(lǐng)域的交叉領(lǐng)域正出現(xiàn)越來越多的用例。然而,其中一些用例相比于其他用例要更有意義,也更強大。通常情況下,當?shù)讓訖C制繼續(xù)如以前一樣設(shè)計得很粗糙,但個體玩家卻變成了AI,允許機制在更微觀的尺度上有效運行時,用例往往是最有前景的,也是最容易做對的。
嘗試使用區(qū)塊鏈和加密技術(shù)創(chuàng)建“單一實例”的應(yīng)用程序?qū)⒚媾R最大的挑戰(zhàn),即創(chuàng)建某些應(yīng)用程序?qū)⒁蕾囍畬崿F(xiàn)某一目標的單個去中心化的可信AI。這些應(yīng)用程序在功能和提高人工智能安全性方面都是前景光明的,避免了與更加主流的做法相關(guān)的中心化風(fēng)險。但在很多方面,底層假設(shè)也可能失敗;所以,需要謹慎行事,特別是在高價值和高風(fēng)險環(huán)境中部署這些應(yīng)用程序時。
我期待在所有這些交叉領(lǐng)域看到更多人工智能建設(shè)性用例的嘗試,這樣我們就可以知道哪些用例是真正可行的。
喜來順財經(jīng)
