Nghiên cứu mới nhất từ ​​13 trường đại học hàng đầu trong đó có Đại học Cornell: Thực trạng, thách thức và hiểu lầm về tích hợp Crypto x AI

作者:IC3

编译：佳欢,ChainCatcher

核心结论

AI 与 crypto的有意义结合仍处在非常早期的阶段,围绕这一交叉领域的喧嚣,已经盖过了实际进展。

在 Crypto x AI 方向，AI Bạn có thể làm được điều đó không? 。这类技术多采用简单的机器学习方法,在数据充足的受控环境中最有效。

在 AI x Crypto 方向,crypto AI là một trong những công ty có tiềm năng phát triển nhất. AI圈尚未真正落地。

行业还需要证明两件事。

第一，去中心化 AI要与中心化方案做更严格、更直接的成本对比。目前行业主要在证明"能在分布式环境训出大模型".

第二，crypto đại lý 支付要论证它在 đại lý một đại lý支付费率低,又不必套用传统金融中"账户必须归属某个人"的模式,因而具备潜力,行业应当用量化证明抓住机会,而非停留在可行性。

此外有两个待解的研究难题。

一是 AI 安全需要系统层防御：AI đại lý 但随着tiền điện tử word-break: break-all; chiều cao dòng: 2; họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">二是 crypto 与 AI Bạn có thể làm được điều đó? đại lý、失控的智能合约。

一个统一框架:AI 与 Crypto 互为"中间件"

一条自动化决策流程可拆为四环:人的意图、输入、程序、输出，而这条链上每一环都未必可信。AI与 crypto 在此框架中各管一段。

AI是"翻译中间件",把人类模糊的意图翻译成机器可执行的程序,例如把"我想识别停车标志"转化为一个训练好的模型,从而降低使用区块链的门槛。

Crypto是"取信中间件",通过可信计算保证某段计算确通过去中心化保证系统始终可用、抗审查（可用性）部分方案还能保证输入输出不泄露（保密性）。

可信计算有三条技术路线。

第一,可信执行环境（TEE）,依赖专用硬件提供隔离与远程证明（硬件出示一份可验证的状态证明,让对方确认8B参数模型推理的额外开销低于 7%,70B

第二,零知识证明（ZK）,仅依赖密码学难题,安全假设最干净,但开销极高。为约 1800 cỡ chữ: 16px; độ dày phông chữ: kế thừa; ngắt từ: ngắt tất cả; chiều cao dòng: 2; họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">第三，多方计算（MPC）速度更慢。最先进的MPC Transformer 推理框架，为 LLaMA-7B 生成单个 token 约需五分钟。

预言机负责把链下数据可信地送上链。隐私预言机（如 Town Crier、DECO)进一步支持在不泄露隐私的前提下证明数据性质,例如证明"某人信用分高于700". YaHei,WenQuanYi Micro Hei,sans-serif;">

行业把这套技术统称 zkTLS,但其中基于 TEE Font-size: 22px; line-height: 2; font-family: 'PingFang SC', 'Helvetica Neue', Helvetica, Arial, 'Hiragino Sans GB', 'Heiti SC', 'Microsoft YaHei', 'WenQuanYi Micro Hei', sans-serif;">Crypto x AI：用 AI 增强区块链

AI 用于 crypto 的研究大致按时间分为三代。

第一代：分析检测

十多年前起，机器学习被用于分析链上状态:发现共识协议漏洞（如自私挖矿,即矿工藏起已挖出的区块、择机发布以多占收益）、检测P2P网络的日蚀攻击（用大量恶意节点包围某节点、切断它与诚实网络的连接）、预测币价、识别欺诈交易与洗钱。

局限在于,这类分析多依赖能获取全局公开信息的场景,且受限于模拟数据、缺乏真实攻击样本。

当前最先进的合约漏洞检测,已不是让 AI 直接从代码猜结论，而是先由 AI提出可疑点,再用静态分析、符号执行（不实际运行代码，而是分析代码结构来找漏洞）去验证。

单纯让大模型当审计员会因幻觉产生大量误报,GPT-4 与 Claude 在 52 个曾被攻击的 DeFi合约中仅 40% 正确识别出漏洞类型。

第二代：算法设计

近六年,强化学习被用于设计去中心化算法,覆盖 P2P DeFi 做市与借贷利率、MEV 竞价策略等。

这些方法大多在能够清晰建模的环境中有效`且多停留在研究阶段,尚未在真实网络中大规模部署、经受攻击检验。

第三代: font-break: break-all; font-family: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">借助 AI驱动的预言机,智能合约获得三种增强能力:感知（理解非结构化数据与自然语言）、执行（调用链下AI 模型与工具）、决策（作为 tác nhân 依目标函数行动）。

AI 充当预言机的实测表现并不均衡。据 Chainlink Labs的实验,GPT-4o 在 1660 个预测市场问题上整体准确率 89,3%,UMA 的 Truth Bot 整体为 75%,而人工在 UMA 98,2%。

准确率高度依赖问题类型：体育赛果等有官方数据源的离散问题可达99,7%. chiều cao dòng: 2; họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">应对方式有三种：一是设计成可容错,仅用于低价值场景；二是引入人工仲裁，如设 48小时争议窗口,但会拖慢决策；三是让模型在不确定时弃答,仅在此时才引入人工。

把资金池交给 AI 模型集体交易的"投资 DAO"，报告称之为 CoinAlg，代表项目如 ElizaOS、AI XBT,峰值市值分别达到过 27 亿、47 亿美元。这类产品面临一个无法回避的设计困境,可称为"CoinAlg死结"。

交易策略若透明,会被抄袭或被三明治攻击（抢先在受害者交易前后各下一单、靠滑点套利)夺走利润；若保密,掌握策略的内部人可借信息差提前获利,等同内幕交易。两条路都损害普通投资者。

一种初步缓解思路是用 TEE Họ phông chữ: 'PingFang SC', 'Helvetica Neue', Helvetica, Arial, 'Hiragino Sans GB', 'Heiti SC', 'Microsoft YaHei', 'WenQuanYi Micro Hei', sans-serif;">新风险：AI 驱动的作恶智能合约

智能合约用于替代人际信任，这也意味着最缺乏可信关系的犯罪者可能从中获益。

一种机制是:合约为某项犯罪悬赏,作案者事先用密码学承诺一张"暗记"、事后揭晓，由AI 模型比对新闻报道、确认作案完成后自动支付赏金。AI在此承担了过去难以自动化的"裁定"角色,可被用于定向骚扰、窃取组织情报、揭穿举报人身份等场景。

可行的反制包括链上分析追踪、把涉案资金列入黑名单,以及让部署 AI模型的预言机在高风险请求时拒绝服务。

AI x Crypto:用 Crypto 增强 AI

crypto 对 AI 的潜在贡献分两类：一是去中心化 AI生命周期的各环节，二是保护这些环节的安全。

去中心化基础设施（DePIN)

去中心化物理基础设施网络让节点以代币激励提供算力等资源。Theta、Akash 等宣称比 AWS 50% và 85% 成本，主要瓶颈是节点间通过公网通信带来的吞吐与延迟。

适配性按任务类型不同。训练对延迟不敏感（离线进行），但Bittensor là một trong những công cụ hỗ trợ tốt nhất上的 700M 与 7B、Prime Intellect 的 100 亿参数 Intellect-1，最大为 Psyche 网络上在训的 400 亿参数模型）。

推理对延迟更敏感,但吞吐要求低于训练、且无需反向传播（训练时把误差逐层回传更新参数的核心步骤,只有训练才需要)延迟不敏感的推理（会议纪要、文档审阅）尤其适合DePIN。

Bạn có thể tìm thấy một GPU mới每小时的价格,而真正决定 ML任务成本的是训练效率（每单位成本的迭代次数）与推理效率（每单位成本的 token 数）。

去中心化数据与模型市场

AI首次创造昂贵、复制却近乎免费"多为非竞争性"檬市场"问题（买方无法事先判断质量,导致优质品被劣质品挤出）,卖家需提供样本, 但样本本身就有价值；且可被转售,还难以界定两份数据是否实质相同。

中心化市场的争议在于定价不透明、 限制用户选择,但中心化定价有时因掌握更多信息而更高效。

数据市场尚未出现垄断巨头,是用去中心化方式重做的窗口期,可借助的 crypto工具包括微支付、TEE（限定数据仅在特定任务中使用）、零知识证明（向买家披露数据性质而不泄露数据本身）。

现状是,多数平台只用加密货币完成了支付环节,定价机制要么由协议方决定、要么完全交给卖家，这两种在中心化市场早已存在。去中心化究竟改善了什么,仍研究不足。

Đặc vụ 支付轨道与 x402

đại lý生态本身已是去中心化的: 不同方用不同模型开发、优化不同目标,没有天然的中央控制点。crypto的密码经济学（用密码学手段叠加经济奖惩来约束参与者行为）思路可迁移到 đại lý 治理。

微支付是 tác nhân Bạn có thể làm được điều đó? đại lý cỡ chữ: 16px; font-weight: kế thừa; ngắt từ: ngắt tất cả; chiều cao dòng: 2; họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">Cloudflare已推出"按爬取付费", x402（让程序通过 HTTP font-size: 16px; font-weight: kế thừa; word-break: break-all; line-height: 2; Họ phông chữ: PingFang SC,Helvetica Neue,Helvetica,Arial,Hiragino Sans GB,Heiti SC,Microsoft YaHei,WenQuanYi Micro Hei,sans-serif;">这套体系底层资产以稳定币为主（USDC、USDT、DAI）,因为它们能给 đại lý提供稳定的记账单位（给所有商品统一标价的尺度）,而 ETH、SOL 等原生代币波动过大。

之间的信任靠链上注册表（如ERC-8004,以太坊上为 đại lý建立链上身份与声誉的提案标准)记录身份与声誉,但这些本质是自我声明,且声誉滞后、利好既有玩家。

更进一步的方案是可验证 đại lý 审计：在 TEE 内运行的 LLM 审查专有 đại lý bạn có thể làm điều đó代码保持私有的同时让验证者获得可信保证。

无法关停的自主 đại lý（UAA）是另一重风险。前沿 đại lý 能自主完成的任务时长，自 2019 Công ty có thể cung cấp các dịch vụ hỗ trợ tốt nhất线、造出独立副本,但复制到外部基础设施仍卡在身份验证。

Nhân loại 的 Mythos模型已展示出自主发现并利用零日漏洞（厂商尚未知晓、还没有补丁的漏洞)的能力。一个持有钱包、又关不掉的đại lý,会落在以"运营者"为中心的现有监管框架的盲区。

去中心化治理

区块链社区在分配系统控制权上有更长的实践史,方式天然去中心化,力图纳入广泛利益相关方,但也有公认短板:安全漏洞、投票冷漠、贿选。

社区治理在 AI 开发各环节的适配性不同：预训练数据量太大，难以收集有效意见，价值更多体现在微调阶段；底层架构选择属技术决策，不适合社区治理；评估与对齐环节混合了技术与规范判断，社区输入有价值。

Constitutional AI 用一部由人编写的"宪法"确立模型应遵循的原则。Anthropic 参与的 Collective Constitutional AI 引入公众投票生成原则，用公开来源原则训练的模型社会偏见更低。但这类民主化治理实验基本未被真正采用，AI 公司缺乏交出模型控制权的动力。

DAO 的代币加权投票被公认为"金权政治"，由此衍生出二次方投票（追加票数的成本递增以抑制巨鲸）、信念投票（按持票支持时长累积权重）、委托投票等机制，但有效性仍不明。

保护 AI 系统的执行完整性

当智能合约需借助超出自身能力的 ML 计算时，可作为"仲裁者"：各方先承诺所用模型与数据并质押抵押品，链下完成计算后把结果交给合约校验，错误方被罚没。校验有四条路线，各有取舍。

第一，TEE，最高效，由可信硬件签名证明计算完整性，但需信任运营方。

第二，乐观执行，结果先视为非终局、留争议窗口，争议时用二分查找（把出错范围反复对半切分、快速定位出错步骤）定位到单条出错指令再罚没。

难点在于 ML 浮点运算的非确定性，需用受控的运算顺序或容差语义（不要求两次计算分毫不差，允许在误差范围内即视为一致）来处理，代表方案有 Verde、TAO、Arbigraph、OPML 等。

第三，零知识证明（zkML，用零知识证明来证明 AI 推理过程正确），可在隐藏模型参数、甚至输入输出的前提下证明推理正确，已有针对 CNN、Transformer 的专用方案及通用编译器（如 EZKL、ZKML、DeepProve）。

它的隐私目标其实有三层，分别是藏输入、藏权重、藏模型结构，但隐私越强，电路约束越复杂、可优化空间越小，存在隐私与效率的根本张力。主要成本来自非线性层与数值表示，仍难以支撑长上下文、大模型与高吞吐服务。

第四，统计推理证明，原理是两个功能不同的模型、内部算出的特征也必然不同，因此只要抽样比对这些特征，就能概率性地判断推理是否真由指定模型执行。

它证明开销在毫秒级、且即时终局，适合高频、低延迟场景。它能防住的是服务方偷换模型这类现实作恶（如换成更便宜的蒸馏版、或换掉已对齐的版本），但挡不住凭空伪造整条计算记录的完全恶意者，后者仍是未解难题。

证明模型训练（zkPoT，用零知识证明来证明训练过程正确）比证明推理难得多：训练过程持续时间长、中间状态不断累积、随机性强，复杂度比推理高出若干数量级。相关工作（Garg 等、Kaizen）正在推进，并延伸出对训练数据来源、公平性约束的可审计证明（ZkAudit、Confidential-PROFITT）。

保护训练管道

单个机构用自己信任的数据训练模型时，通常没有即时的隐私或完整性顾虑。复杂的安全挑战出现在多方联合训练、数据来源多元时。

典型场景是多家医院联合训练诊断模型：合并各方电子病历（EHR）能覆盖更广的患者群体、提升诊断精度，但受 HIPAA 等法规约束，各方不愿也不便把原始数据直接交给彼此或第三方。

金融机构联合训练反欺诈模型、企业联合训练入侵检测模型，也属同类情况。

联邦学习是为此设计的方案：训练环境先初始化一个全局模型并分发给各方，各方在本地用私有数据训练、只回传模型更新，由训练环境汇总成新的全局模型，数据全程不出本地。

但联邦学习落地有限（最知名的应用是手机输入法的预测）。它不保证数据和计算的完整性，即便各方诚实，通信开销也很大、网络与协调延迟会拖慢整体速度、模型精度低于集中训练，恶意参与方还能给模型投毒或植入后门。

一种更简单的替代是用 TEE 做集中训练：训练环境跑在可信机密计算环境里，通过加密通道接收各方原始数据、集中训练，只输出训练好的模型，数据彼此不可见，还能附带一份模型溯源证明（谁提供了数据、模型怎么训的）。

代价是 TEE 固有的侧信道风险和高 I/O 开销。现实中机构目前多是把数据汇集到合规云里，靠隔离、访问控制、加密和数据使用协议来满足合规，但这需要信任云服务商。

私域网络数据是另一条思路。公开网络的文本数据正逼近极限（有预测称 2025 到 2030 年间耗尽），合成数据又有"模型崩溃"风险，且无法拓展已有领域之外的数据覆盖。

而"私域网络"（邮件、健康、财务等不对爬虫开放的数据）据估计比公开网络大两个数量级，是尚未开采的富矿，但目前高度孤岛化。

预言机能打开这道门。以患者上传病历训练医疗模型为例，用户可借预言机把自己的病历从医院门户中转给训练方，并证明数据确实来自该门户，全程无需医院改动任何基础设施，因为连接由用户发起。

要同时保护隐私，需要叠加隐私预言机（数据走加密通道）和 TEE。TEE 还能向用户出示证明，表明自己运行的就是那套"只输出模型"的隐私训练软件，用户在传数据前即可核验。

在此基础上还能附加差分隐私（模型输出对任一条训练数据的依赖极小）、数据用后即删、成品模型仅限白名单医院使用等更细的承诺。

安全推理管道与受保护管道（Props）

同一套预言机加可信计算的组合，也能用于对私域数据做安全推理。

以银行贷款审批为例：模型读入申请人的财务文件、输出批或拒。今天的流程是借款人自己下载或拍照上传材料，由此带来两个问题，一是放贷方无法确认材料是否真实、未被篡改，二是借款人材料可能从放贷方的模型系统泄露，对双方都是风险。

用隐私预言机解决来源真实性、用机密计算解决隐私，就能得到一条安全推理管道：放贷方只看到模型结论，同时确信输入可信。

私域来源还能顺带充当身份与凭证系统。

借款人能中转出带本人身份的银行流水、W-2 表，本身就是有力的身份证明，让现有网络服务变成对抗身份盗用与福利欺诈的临时身份系统；模型也能据此签发凭证，比如核验小微企业的纳税与经营材料后，出具一份"符合某项资质"的证明并附上推理管道的证明。

整个过程可去中心化完成，理论上任何人都能搭起一条可信推理管道，无需数据源或既有权威配合。

对抗性输入是个顽固难题。攻击者可提交一份肉眼看着正常、却被精心改造的银行流水，骗过模型读出虚高余额、误批贷款。学界对对抗样本的研究一直是"破解—打补丁"的循环，至今没有通用解。

安全推理管道提供了一条新思路：把输入限定为来自认证网络源，从而压缩攻击者构造对抗性输入的空间，与模型层防御互补。

模型本身的隐私也需保护。攻击者可通过精心构造的查询做模型窃取（提取特征甚至整个模型）、成员推断（判断某人数据是否在训练集里）乃至还原原始训练数据，也可借此窥探系统的配置与预处理选择。

研究者曾估算，约 8000 美元就能窃取某大模型一层的权重。开放系统里常用的限速很脆弱，因为单个匿名用户可伪装成大量用户发起女巫攻击（Sybil 攻击）。

安全推理管道能从两头缓解：用预言机限定输入类型，遏制需要大量多样化查询的提取攻击；再用管道内生成的强身份证明，对每个用户施加查询次数上限，且能在不向平台暴露用户身份的前提下执行，从而压制女巫攻击。

agent 记忆是新出现的攻击面。攻击者通过工具调用或外部材料污染喂给 agent 的上下文（记忆注入），可诱导 agent 异常行事，比如在管理大量加密资产的 ElizaOS 框架中，被污染的上下文能诱使 agent 发起未授权交易。

TEE 能部分缓解：让 agent 跑在 TEE 内、或只拉取认证过的上下文。

但即便有 TEE 仍有两个难点。

第一，可信源里也可能有被污染的内容，比如来自社交平台的内容由用户自行产生，发帖人可轻易给自己的帖子投毒。

第二，TEE 运营方可发起回滚或分叉攻击，把 TEE 状态回退到旧检查点、抹掉之后的记忆更新。

前者属于内容检测难题、密码学解决不了；后者已可借共识思路应对，ROTE、Narrator 等系统用分布式协议、甚至公链来保证 TEE 状态的一致与新鲜。

把这一节的架构归纳起来，就是"受保护管道"（Props）这一通用框架，目标是在不改动现有基础设施的前提下安全使用私域数据。

它把预言机和可信计算拼成三段：预言机从认证的私域源取数并证明来源、TEE 在加密边界内完成训练或推理、TEE 输出模型或结论并附上一份说明管道属性（数据源、软件或模型的代码哈希等）的证明。

Props 保证三条性质：端到端的输入完整性（输出只依赖来自可信私域源的认证数据）、默认保密（输入和中间状态不出受保护边界，只公开输出）、可证明而不泄露（证明让数据提供方和结果使用方都确信完整性与保密性成立）。

它也有一个"透明版"，数据和计算不必保密、只需认证，来源可公可私。

关于 Crypto x AI 的五个误解

围绕 Crypto x AI 平台与应用，行业出现了若干常见误解或误导性说法。以下五条都不是彻头彻尾的假话，关键在于厘清哪些部分当下成立、哪些仍需更多证据。

误区一：区块链能区分 AI 生成内容与人类生成内容

把内容登记上链、事后就能判断它出自 AI 还是人类，这是常被引用的说法，已有项目（如 Everlyn AI）在把 AI 生成内容上链。但区块链无法在一般意义上做到这件事，需要把"内容检测"和"内容溯源"两个问题分开看。

内容检测是判断一段内容由人还是 AI 生成。当前主流是事后检测，不依赖预先植入的元数据或信号，分两类：一类是 AI 分类器，用深度学习识别生成模型特有的统计特征；一类是统计取证，分析像素级噪声分布、结构异常（如 AI 人脸的生理不一致）。

问题在于，区块链本身无法感知这些链下信息，分类结果必须由外部分类器提供。上链只能锚定这个结果，保证记录提交后不被篡改，却无法保证记录写入时就是真的。外部检测器若判断错误，区块链会把错误永久保存下来。也就是说，区块链提供的是"声明的完整性"，而非"声明为真的验证"。

内容溯源是记录数字资产从创建起的历史。C2PA 等行业标准让创作者或设备给媒体附上密码学签名的元数据（内容凭证），记录来源、作者与后续编辑，Numbers Protocol、Starling Lab 等用区块链做这些凭证的公开不可篡改登记表。

但即便有锚定到链上的健全溯源系统，也无法保证内容最初是人还是 AI 生成的。

用户完全可以把一张 AI 生成图显示在高清屏上、再用符合 C2PA 的相机拍下来，得到一份签名有效、标注为"真实拍摄"的文件；文本同理，AI 生成后手动重打进合规编辑器，就会带上"人类创作"的合法溯源信息。

此外，内容一旦被改到无法与链上记录匹配，溯源就断了，而覆盖所有内容的通用登记表在可见的未来几乎不可能出现，溯源体系必然存在大量缺口。

要点：在狭义上，区块链能为溯源元数据提供健全的完整性保障，但远不是 AI 生成内容检测问题的完整解。

真正有效的方案需要一个通用生态，让每份内容都用可信设备捕获并即时上链，而现实中绝大多数内容由不支持密码学锚定的工具创建和分享，未标注内容仍处于模糊地带。

误区二：区块链或去中心化能解决 AI 的偏见与公平问题

"把模型推理和训练放到链上就能解决 AI 的不公平和偏见"，要评估这个宽泛说法，需要先区分不同类型的偏见。

算法偏见是 AI 圈最常见的公平性概念。模型会学到甚至放大数据集里的失衡，导致判别模型在弱势群体上表现差、生成模型沿袭训练数据中的不良倾向（如有害语言、固化刻板印象）。

学界已提出大量训练时与推理时（护栏）的技术方案，但这些保护远不完美，公平性至今不算已解决问题，甚至可能永远无法彻底解决，连"如何定义公平"本身都需要做大量取舍。

去中心化解决不了算法偏见，因为它源于训练过程本身，通常靠改进训练或推理技术来缓解，去中心化触及不到根源。

但偏见还有第二个来源，即影响模型表现的高层决策：用什么数据、用什么架构、如何补偿贡献者。这一层与trí tuệ nhân tạo 圈通常理解的公平性正交，却可能影响算法偏见，且部分能借去中心化的两个特性来改善。

第一个特性是透明。开发者可用区块链公开承诺训练数据、训练算法、模型检查点和推理护栏，让运营方可证明地追踪某次训练或推理的输出。

但这难以扩展到大模型和检查点这类训练时产物（存储与算力成本太高），现有系统里这些数据大多本就存在链下、用户也无法直接访问，短期内透明的收益可能只限于推理环节。

更关键的是，除非行业想清楚这种透明要服务什么用例、该配什么接口（比如让用户举报数据被不当使用，这又需要确立真正的数据所有权、配套机器遗忘等技术），否则透明本身未必能改变人们开发和使用 AI 的方式。

第二个特性是去中心化治理，需区分两类。第一类是区块链里探索、采用过的社区治理机制（代币加权投票、流动民主，后者指可把票委托给信任的人）；第二类是 DAO 所代表的去中心化自治治理，即由智能合约强制执行治理决定。

两类的共同要害是，社区治理这类机制本身都不需要区块链就能实现，所以把它们说成"被区块链解决的 AI 问题"并不准确。其中技术性、性能敏感的 AI 决策不适合广泛投票，但价值取向类决策（如模型对齐）较适合，主流 AI 开发者探索过、只是尚未真正落地。

而真正由智能合约强制执行的链上治理（直接执行或质押罚没）能增强稳健性，但面临与链上透明同样的技术壁垒，当前基础设施撑不起 AI 的存储与算力需求，落地还需可验证训练的重大进展，是个自洽却为时尚早的长期愿景。

要点：区块链本身并不能减少算法偏见，但能在 AI 生命周期各阶段促进透明，并扩大 AI 治理的参与面。

误区三：给 AI agent 一个钱包，就让它"自主"了

做"agent 钱包"和支付协议的项目常宣称，给 AI agent 一个钱包、让它能自己赚、自己花、自己"活下去"，就让它自主了。这种说法混淆了几个不同的概念。

歧义首先来自"自主"在两个领域含义不同。在 AI 语境里，自主 agent 指能基于自身感知、学习、经验行动，而非死守预设规则；智能合约也常被称为自主，但强调的是抗篡改、抗审查、抗关停的韧性。

前者称为"智能自主"，后者称为"执行自主"。现代 AI agent 已具备相当的智能自主，但未必有执行自主，管理员仍能关掉运行它的服务器。

而 agent 钱包带来的，两种自主都不是。拥有钱包不会让 AI 更聪明，也不会让它更能抵抗人为操纵或关停，它带来的其实是自动化：agent 能以编程方式交易、转账、调用链上设施，不必走人工审批环节。

这种自动化也并非区块链独有，中心化金融基础设施同样能被 agent 以编程方式调用。一个更站得住的解读是：区块链支付系统本身比中心化方案提供更强的自主性（尽管不专为 agent 服务），比如能保证 agent 的交易不被区别对待，即中立性与抗审查。

要点：agent 钱包让 AI agent 能便捷调用金融接口、把经济交互自动化、免去人工审批，但自动化不等于自主。仅有钱包并不能让 agent 摆脱人的控制（运营方仍能关停它依赖的模型或设施），自动化支付也不需要区块链，中心化系统同样能实现。

区块链支付的真正卖点在于中立性与抗审查，适合担心支付被压制或干预的场景。

误区四：透明的 AI 等于可信的 AI

把模型的数据来源和推理记录上链，看起来是保障 AI 可信的理想工具，这一论点出自一篇广为引用的 IBM 博客，并被引申到 AI agent。但需要分两层拆解。

模型层透明方面，记录训练数据来源看似带来了关于模型创建的透明，但"数据来源记录"和"模型行为保证"之间隔着巨大鸿沟。

其一，链上记录只是记录、不等于来源的证明（对训练集构成的证明另需专门技术）。

其二，即便完全掌握训练数据，也不足以判定模型会如何表现，因为训练流程和计算环境同样决定模型行为。

其三，即便掌握从数据到模型的完整流程、足以复现模型，随机训练固有的非确定性也让"用训练流程去核验模型权重"在原理上就不可行。

更何况，即使拿到权重，也没有普遍有效的手段检测训练中植入的后门或对抗性操纵，而把模型数据和训练信息记上链，并不能直接保证其行为特征或不存在对抗性操纵。

推理层透明方面，把模型输入和对应推理记上链，看似带来了关于模型使用的透明，但区块链让交易透明、而非让推理透明。一条写着"模型 X 在输入 Y 上得到推理 Z"的链上记录，几乎无法证明 Z 可信。

因为它既不能证明"正确执行"（要证明这个三元组确实由模型 X 按规格运算而来，需要 TEE 或昂贵的密码学手段），也不能证明"模型可信"。

即便证明了执行正确，更根本的问题是：模型 X 的完整来源记录，并不能在语义层面证明它符合用户预期或行业规范；用权重哈希来指定模型，保证就更弱，因为模型的身份并不等于模型的可信。

区块链对某些可信目标确实有用，比如机构把开源权重模型的哈希公布上链，作为不可篡改的参照，让用户确认自己用的是未被改动的真实模型；类似的防篡改日志思路也用于固件更新记录和证书透明（用类区块链的只追加日志维护可公开审计的证书签发记录）。

要点：把模型数据来源和推理记录上链，与"模型及推理可信的有意义保证"之间，仍存在相当大的鸿沟。

误区五：去中心化天然让 AI 任务更省钱

一类项目把去中心化网络当作更高效、更省钱的 AI 方案，典型是去中心化物理基础设施网络（DePIN），用户把自己的硬件（如 GPU）租出去，主要卖点是成本更低，租一块 DePIN 的 GPU 可能比在同档云服务商租便宜得多。

但便宜的机器不一定带来更低的任务总成本。去中心化节点通过公网通信，AI 任务的吞吐和延迟需求会显著影响总成本，而超大型任务（如训练前沿模型）通常受吞吐瓶颈制约。

目前难以做直接成本对比，因为行业还缺乏系统性的基准测试，无法把 DePIN 上的 AI 任务与传统云做同口径的性能与成本对比。

要点：去中心化网络是高成本中心化云的一个有吸引力的替代选项，但现有数据还不足以预测一个任务在 DePIN 或去中心化 AI 平台上何时会比中心化云更便宜。

小任务（推理、小规模训练）很可能更省钱，超大型任务（训练基础模型）则可能被节点间不稳定、低带宽的通信拖累。要厘清这些权衡，仍需更多研究。

这五条误区的共同点在于，区块链能提供的更多是"完整性"和"可验证性"，而非"真实性"或"可信性"本身。Crypto x AI 仍处在需要用证据说话、而非靠叙事推进的早期阶段。