作者:Vitalik Buterin,来自 Vitalik Buterin 博客
特别感谢 Worldcoin 和 Modulus Labs 团队、Xinyuan Sun、Martin Koeppelmann 和 Illia Polosukhin 的反馈和讨论。
多年来,很多人问过我类似的问题:什么是 十字路口 我认为加密货币和人工智能之间哪个最有成果?这是一个合理的问题:加密货币和人工智能是过去十年的两个主要深度(软件)技术趋势,而且感觉就像存在 必须 两者之间存在某种联系。在表面氛围层面上很容易产生协同效应:加密货币去中心化可以 平衡人工智能中心化,人工智能是不透明的,加密货币带来透明度,人工智能需要数据,而区块链有利于存储和跟踪数据。但多年来,当人们要求我更深入地挖掘并讨论具体应用时,我的回答令人失望:“是的,有一些东西,但没有那么多”。
在过去三年中,随着更强大的人工智能以现代形式出现 法学硕士,以及更强大的加密货币的兴起,其形式不仅是区块链扩展解决方案,而且还包括 ZKP, FHE,(两方和N方) MPC,我开始看到这种变化。区块链生态系统中确实存在一些有前景的人工智能应用,或者 人工智能与密码学相结合,尽管重要的是要注意人工智能的应用方式。一个特殊的挑战是:在密码学中,开源是使某些东西真正安全的唯一方法,但在人工智能中,模型(甚至是其训练数据)是开放的 大大增加 它的脆弱性 对抗机器学习 攻击。这篇文章将对加密+人工智能可能交叉的不同方式进行分类,以及每个类别的前景和挑战。
四大类
人工智能是一个非常广泛的概念:你可以将“人工智能”视为一组算法,你创建的算法不是通过明确指定它们,而是通过搅拌一个巨大的计算汤并施加某种优化压力来推动汤走向生成具有您想要的属性的算法。这个描述绝对不应该被轻视:它 包括 此 过程 这 创建 首先是我们人类!但这确实意味着人工智能算法具有一些共同的属性:它们完成极其强大的事情的能力,以及我们了解或理解幕后发生的事情的能力的限制。
人工智能的分类方法有很多种;出于这篇文章的目的,它讨论了人工智能和区块链之间的交互(被描述为一个平台) 创造“游戏”),我将其分类如下:
- AI 作为游戏玩家[最高生存能力]: 人工智能参与的机制中,激励的最终来源来自于人类输入的协议。
- 人工智能作为游戏的界面[潜力巨大,但也存在风险]: 人工智能帮助用户了解周围的加密世界,并确保他们的行为(即签名消息和交易)符合他们的意图,并且他们不会被欺骗或欺骗。
- 人工智能作为游戏规则[非常小心]: 区块链、DAO 和直接调用人工智能的类似机制。想想例如。 “人工智能法官”
- 人工智能作为游戏的目标[长期但有趣]: 设计区块链、DAO 和类似机制,目的是构建和维护可用于其他目的的人工智能,使用加密比特更好地激励培训或防止人工智能泄露隐私数据或被滥用。
让我们一一回顾一下。
AI 作为游戏玩家
这实际上是一个已经存在了近十年的类别,至少从那时起 链上去中心化交易所(DEX) 开始看到显着的用途。任何时候只要有交易所,就有机会通过套利赚钱,而机器人可以比人类更好地进行套利。这个用例已经存在很长时间了,即使人工智能比我们今天的简单得多,但最终它是一个非常真实的人工智能+加密货币的交叉点。最近,我们看到了 MEV 套利机器人 经常互相利用。任何时候你有一个涉及拍卖或交易的区块链应用程序,你就会有套利机器人。
但人工智能套利机器人只是一个更大类别的第一个例子,我预计这个类别很快就会开始包括许多其他应用程序。来认识一下 AIOmen, 人工智能作为参与者的预测市场演示:
对此的一种回应是指出正在进行的用户体验改进 多元市场 或其他新的预测市场,并希望它们能够在之前的迭代失败的地方取得成功。毕竟,故事是这样的,人们愿意下注 体育投入数百亿,那么为什么人们不投入足够的钱来押注美国大选或 LK99 对于认真的玩家来说开始有意义吗?但这个论点必须面对这样一个事实:之前的迭代 已可以选用 未能达到这种规模水平(至少与他们的支持者的梦想相比),所以看起来你需要 新鲜玩意 使预测市场取得成功。因此,另一种回应是指出预测市场生态系统的一个具体特征,我们预计将在 2020 年代看到这一点,而在 2010 年代却没有看到: 人工智能普遍参与的可能性.
人工智能愿意以每小时不到 1 美元的价格工作,并且拥有百科全书的知识 - 如果这还不够,它们甚至可以与实时网络搜索功能集成。如果你建立一个市场,并提供 50 美元的流动性补贴,人类不会关心出价,但成千上万的人工智能会很容易地蜂拥而至,并做出他们能做出的最佳猜测。在任何一个问题上做好工作的动力可能很小,但制造出做出良好预测的人工智能的动力却很大 一般来说 可能有数百万。请注意,有可能, 你甚至不需要人类来裁决大多数问题:您可以使用类似于的多轮争议系统 吉兆 或 Kleros,其中人工智能也将参与早期回合。人类只需要在发生一系列升级并且双方都投入了大量资金的少数情况下做出反应。
这是一个强大的原语,因为一旦可以使“预测市场”在如此微观的规模上发挥作用,您就可以将“预测市场”原语重用于许多其他类型的问题:
- 根据[使用条款],此社交媒体帖子是否可以接受?
- 股票 X 的价格会发生什么变化(例如,参见 Numerai)
- 目前给我发消息的这个账户真的是埃隆·马斯克吗?
- 在在线任务市场上提交的这项工作可以接受吗?
- https://examplefinance.network 上的 dapp 是骗局吗?
- Is
0x1b54....98c3实际上是“Casinu Inu”ERC20 代币的地址?
你可能会注意到,其中很多想法都朝着我所说的“信息防御“ 在 。从广义上讲,问题是:我们如何帮助用户区分真假信息并检测诈骗,而不授权中央机构来决定是非,然后谁可能会滥用该地位?从微观层面来看,答案可能是“人工智能”。但从宏观层面来看,问题是:谁构建了人工智能?人工智能是其创造过程的反映,因此不可避免地存在偏见。 因此,需要一种更高级别的游戏来裁决不同人工智能的表现,其中人工智能可以作为玩家参与游戏.
人工智能的这种使用,其中人工智能参与一种机制,在该机制中,它们最终通过收集人类输入的链上机制获得奖励或惩罚(概率上)(称之为基于去中心化市场的机制) 左高频?),我认为确实值得研究。现在是更多地研究这样的用例的正确时机,因为区块链扩展终于成功了,使得“微型”任何东西最终在链上变得可行,而这在以前是不可能的。
相关类别的应用程序正朝着高度自治代理的方向发展 使用区块链更好地合作,无论是通过支付还是通过使用智能合约做出可信的承诺。
AI 作为游戏的界面
我在我的书中提出的一个想法 著作关于 的想法是,存在编写面向用户的软件的市场机会,该软件可以通过解释和识别用户正在浏览的在线世界中的危险来保护用户的利益。 Metamask 的诈骗检测功能就是一个已经存在的例子:
这些工具有可能被人工智能增强。人工智能可以对您正在参与的 dapp 类型、您正在签名的更复杂操作的后果、特定代币是否真实(例如, BITCOIN 不仅仅是一串字符,它是实际加密货币的名称,它不是 ERC20 代币,而且价格高于 0.045 美元,现代法学硕士会知道这一点),等等。有些项目开始朝这个方向发展(例如 浪链钱包,它使用人工智能作为 小学 界面)。我个人的观点是,目前纯粹的人工智能界面可能风险太大,因为它会增加以下风险: other 错误种类,但人工智能补充更传统的界面变得非常可行。
有一个特别的风险值得一提。我将在下面的“人工智能作为游戏规则”部分详细讨论这一点,但是 一般问题是对抗性机器学习:如果用户可以访问开源钱包内的人工智能助手,那么坏人也可以访问该人工智能助手,因此他们将有无限的机会优化他们的骗局,以免触发钱包的防御。所有现代人工智能都在某个地方存在错误,并且对于训练过程来说并不是太难,即使是只有一个 对模型的访问受到限制,找到他们。
这就是“人工智能参与链上微型市场”效果更好的地方:每个单独的人工智能都容易遭受相同的风险,但你有意创建一个由数十人不断迭代和改进的开放生态系统。此外,每个单独的AI都是封闭的:系统的安全性来自于规则的开放性。 游戏,而不是每个的内部运作 播放机.
概要: 人工智能可以帮助用户用简单的语言理解正在发生的事情,它可以充当实时导师,它可以保护用户免受错误的影响,但在尝试直接使用它来对抗恶意误导者和诈骗者时要注意。
人工智能作为游戏规则
现在,我们来到了很多人都兴奋的应用程序,但我认为它是风险最大的,也是我们需要最谨慎对待的地方:我所说的人工智能是游戏规则的一部分。这与主流政治精英对“人工智能法官”的兴奋有关(例如,参见 本文 在“世界政府峰会”网站上),区块链应用中也有类似的愿望。如果基于区块链的智能合约或 DAO 需要做出主观决定(例如,特定工作产品在雇佣合同中是否可以接受?哪种是对乐观主义等自然语言宪法的正确解释? 连锁法则?),你能让人工智能成为合约或 DAO 的一部分来帮助执行这些规则吗?
这是哪里 对抗机器学习 这将是一个极其艰巨的挑战。基本的两句话论证“为什么”如下:
如果一个在机制中起关键作用的AI模型是封闭的,你就无法验证它的内部运作,所以它并不比中心化应用更好。如果人工智能模型是开放的,那么攻击者可以在本地下载并模拟它,并设计经过高度优化的攻击来欺骗模型,然后他们可以在实时网络上重放该模型。
现在,这个博客的常客(或加密世界的居民)可能已经领先于我,并思考:但是等等!我们有奇特的零知识证明和其他非常酷的密码学形式。当然,我们可以做一些加密魔法,隐藏模型的内部工作原理,以便攻击者无法优化攻击,但同时 证明 该模型正在正确执行,并且是在一组合理的基础数据上使用合理的训练过程构建的!
通常情况下,这是 究竟 我在这个博客和其他著作中都提倡这种思维方式。但就人工智能相关计算而言,主要有两个反对意见:
- 加密开销:在 SNARK(或 MPC 或……)内做某事比“在明确的情况下”做事效率要低得多。鉴于人工智能的计算量已经非常大,那么在加密黑匣子内进行人工智能在计算上是否可行?
- 黑盒对抗性机器学习攻击:有一些方法可以优化针对人工智能模型的攻击 即使了解不多 关于模型的内部运作。如果你隐藏 太多,您可能会冒着让选择训练数据的人很容易破坏模型的风险 中毒 攻击.
这两个都是复杂的兔子洞,所以让我们依次深入了解它们。
加密开销
加密工具,尤其是 ZK-SNARK 和 MPC 等通用工具,具有很高的开销。客户端直接验证以太坊区块需要几百毫秒,但生成 ZK-SNARK 来证明此类区块的正确性可能需要数小时。其他加密工具(例如 MPC)的典型开销可能更糟。人工智能计算已经很昂贵了:最强大的法学硕士输出单个单词的速度仅比人类阅读它们的速度快一点点,更不用说通常数百万美元的计算成本了。 训练 模型。顶级型号和试图节省更多费用的型号之间的质量差异 培训费用 or 参数个数 很大。乍一看,这是一个很好的理由来怀疑整个项目,即试图通过将人工智能包装在密码学中来为其添加保证。
幸运的是, 人工智能是一个 非常具体的类型 计算,这使得它适合各种优化 像 ZK-EVM 这样的更多“非结构化”计算类型无法从中受益。让我们来看看人工智能模型的基本结构:
y = max(x, 0))。渐近地,矩阵乘法占据了大部分工作:将两个相乘 N*N 矩阵 需要 �(�2.8) 时间,而非线性运算的数量要少得多。 这对于密码学来说确实很方便,因为许多形式的密码学都可以进行线性运算(矩阵乘法是这样的,至少如果你加密模型而不加密模型的输入的话)几乎“免费”.
如果您是密码学家,您可能已经听说过类似的现象 同态加密: 表演 增加 加密密文确实很容易,但是 乘法 非常困难,直到 2009 年我们才找到任何无限深度的方法。
对于 ZK-SNARK,等价的是 类似 2013 年的协议,这显示了 小于 4 倍 证明矩阵乘法的开销。不幸的是,非线性层的开销仍然很大,实践中最好的实现显示开销约为 200 倍。但希望通过进一步的研究可以大大减少这种情况;看 Ryan Cao 的演讲 最近基于 GKR 的方法以及我自己的方法 GKR 主要组件如何工作的简化解释.
但对于许多应用程序,我们不仅仅想要 证明 人工智能输出计算正确,我们还想 隐藏模型。对此有一些简单的方法:您可以拆分模型,以便一组不同的服务器冗余地存储每个层,并希望泄漏某些层的某些服务器不会泄漏太多数据。但也有一些令人惊讶的有效形式 专门的多方计算.
在这两种情况下,故事的寓意是相同的: 人工智能计算的最大部分是矩阵乘法,为此可以使 非常有效率 ZK-SNARK 或 MPC(甚至 FHE),因此将 AI 放入加密盒中的总开销低得惊人。一般来说,非线性层是最大的瓶颈,尽管它们的尺寸较小;也许更新的技术,例如 查找参数 可以提供帮助。
黑盒对抗性机器学习
现在,让我们讨论另一个大问题:您可以进行的攻击类型 即使 模型的内容是保密的,您只有对该模型的“API 访问权限”。引用一个 来自2016的论文:
许多机器学习模型容易受到对抗性示例的影响:专门设计的输入会导致机器学习模型产生不正确的输出。 影响一个模型的对抗性示例通常会影响另一个模型,即使这两个模型具有不同的架构或在不同的训练集上进行训练,只要两个模型都经过训练以执行相同的任务。因此,攻击者可以训练自己的替代模型,针对替代模型制作对抗性示例,并将其转移到受害者模型,而有关受害者的信息很少。
您甚至可以在知道的情况下发起攻击 只是训练数据,即使您对要攻击的模型的访问权限非常有限或无权。截至 2023 年,此类攻击仍然是一个大问题。
为了有效遏制此类黑盒攻击,我们需要做两件事:
- 真 限制谁或什么可以查询模型 多少钱。具有不受限制的 API 访问权限的黑匣子并不安全; API 访问可能受到严格限制的黑匣子。
- 隐藏训练数据,同时保持信心 用于创建训练数据的过程没有损坏。
在前者上做得最多的项目可能是 Worldcoin,我详细分析了其中的早期版本(以及其他协议) 相关信息。世界币在协议级别广泛使用人工智能模型,以(i)将虹膜扫描转换为易于比较相似性的简短“虹膜代码”,以及(ii)验证其扫描的物体实际上是人类。世界币所依赖的主要防御是 它不会让任何人简单地调用人工智能模型:相反,它使用可信硬件来确保模型只接受由球体相机数字签名的输入.
这种方法并不能保证有效:事实证明,您可以对生物识别人工智能进行对抗性攻击,其形式为 您可以戴在脸上的物理贴片或珠宝:
但希望的是,如果你 将所有防御结合在一起,隐藏人工智能模型本身,极大地限制查询数量,并要求每个查询都以某种方式进行身份验证,您可以进行足够困难的对抗性攻击,从而保证系统的安全。
这让我们进入第二部分:我们如何隐藏训练数据?这是哪里 “民主治理人工智能的 DAO”可能确实有意义:我们可以创建一个链上 DAO 来管理谁可以提交训练数据(以及数据本身需要什么证明)、谁可以进行查询以及查询数量的流程,并使用 MPC 等加密技术对创建和运行人工智能的整个管道进行加密,从每个用户的训练输入一直到每个查询的最终输出。这个 DAO 可以同时满足补偿人们提交数据的非常流行的目标。
- 加密开销仍然可能过高 让这种完全黑盒的架构能够与传统的封闭式“相信我”方法竞争。
- 事实可能是这样 没有好的方法可以使训练数据提交过程去中心化 和 保护 防止中毒攻击。
- 多方计算小工具可能会崩溃 他们的安全或隐私保证 参与者串通:毕竟,这种情况已经发生在跨链加密货币桥上 再次 和 再次.
我没有在本节开头加上更大的红色警告标签,上面写着“不要做人工智能法官,那是反乌托邦”的原因之一是,我们的社会已经高度依赖于不负责任的集中式人工智能法官:决定哪种类型的算法帖子和政治观点在社交媒体上得到提升和降低,甚至受到审查。我确实认为扩大这种趋势 进一步 在现阶段这是一个很糟糕的主意,但我认为可能性不大 区块链社区更多地尝试人工智能 将是导致情况变得更糟的因素。
事实上,加密技术有一些非常基本的低风险方法可以使这些现有的中心化系统变得更好,我对此非常有信心。一种简单的技术是 经过验证的 AI 延迟发布:当社交媒体网站对帖子进行基于 AI 的排名时,它可以发布 ZK-SNARK,证明生成该排名的模型的哈希值。该网站可能会承诺在之后披露其人工智能模型。延迟一年。一旦模型被公开,用户可以检查哈希值以验证是否发布了正确的模型,并且社区可以对模型进行测试以验证其公平性。发布延迟将确保模型发布时,它已经过时了。
所以相比于 集中 世界,问题不是 if 我们可以做得更好,但是 多少钱。 对于 去中心化世界然而,重要的是要小心: 如果有人建造例如。使用人工智能预言机的预测市场或稳定币,结果发现预言机是可攻击的,那是一笔可能会瞬间消失的巨额资金.
AI作为游戏的目标
如果上述用于创建可扩展的去中心化私人人工智能(其内容是任何人都不知道的黑匣子)的技术实际上可以发挥作用,那么这也可以用于创建具有超越区块链的实用性的人工智能。 NEAR 协议团队正在将其打造成 他们正在进行的工作的核心目标.
这样做有两个原因:
- 如果你 能够 制作 ”值得信赖的黑盒人工智能通过使用区块链和 MPC 的某种组合来运行训练和推理过程,许多用户担心系统存在偏见或欺骗他们的应用程序可以从中受益。很多人都表达了愿望 民主治理 具有系统重要性的人工智能 我们将依赖;基于加密和区块链的技术可能是实现这一目标的途径。
- 从一个 人工智能安全 从角度来看,这将是一种创建去中心化人工智能的技术,该人工智能也具有自然的终止开关,并且可以限制试图使用人工智能进行恶意行为的查询。
还值得注意的是,“使用加密货币激励措施来激励创造更好的人工智能”可以在不陷入使用密码学完全加密的兔子洞的情况下完成:诸如此类的方法 位张量 属于这一类。
结论
现在区块链和人工智能都变得越来越强大,这两个领域的交叉领域的用例越来越多。然而,其中一些用例比其他用例更有意义并且更强大。一般来说,底层机制继续大致像以前一样设计,但个别的用例 球员 成为人工智能,允许该机制在更微观的范围内有效运行,是最有前景、最容易实现的。
最具挑战性的是尝试使用区块链和加密技术来创建“单例”的应用程序:某些应用程序出于某种目的而依赖的单个去中心化可信人工智能。这些应用程序在功能和提高人工智能安全性方面都有希望,避免与解决该问题的更主流方法相关的中心化风险。但潜在的假设也有可能在很多方面失效。因此,值得谨慎行事,尤其是在高价值和高风险环境中部署这些应用程序时。
我期待在所有这些领域看到更多关于人工智能建设性用例的尝试,这样我们就可以看到哪些在规模上真正可行。
作者: Vitalik Buterin
