Cripto x AI 狀態、挑戰與誤解

作者 :IC3 :

其他召集人

核心结论

AI與加密的有意义的整合仍處於很早的阶段。

在Crypto x AI的指向下,AI能夠分析並探測現有交易、事件和協議的關鍵性, 這種技術常使用簡單的機器學習方法。

在 AI x Cripto 方向上, 加密工具提供了 AI 行程的保护和治理新途径。 例如零知識憑證、可信計算等工具, 在主流AI裡並沒有真正落地。

業務需要證明兩件事。

第一, 目前業務主要證明「大型型號可以在分布式環境中訓練」。

第二, 加密付款旨在表明它真正有用, 但該產業應該用量性證據抓住機會, 而不是保持活力。

也有兩項研究挑戰需要解決。

首先,AI安全需要系統層防守:AI圈通常會處理模型層防控的安全问题,並設計圍繞輸入-输出語法的圍欄,但這將不再足夠,因為代理的自主性增加,可以直接到达底部基礎,而加密器可核查的執行和認證程序會补充模型層所沒有的系統層防控功能。

其次, 加密與AI的结合會產生新的威脅與攻擊向量, 例如無法阻止的自動動脈。

聯合框架:AI與Crypto為"介于中間"

一個自動的決定流程可以分為四個圈:人類意圖、輸入、程序、輸出, AI與加密是此框架的一部分。

AI是「翻譯中間」, 將人性模糊的意向化為機動程式, 例如將「我想認出泊車標誌」轉為經過訓練的模型。

Crypto是「crypto-mail」的介面, 可信計算可以確保某種計算方式如願, 結果不會被篡改(完整性)。

有三條技術路線可以進行可信的計算。

首先,可信實施環境(TEE),它依靠专用的硬件來提供孤立和遠距實驗(硬件會產生可核查的狀態憑證,使另一方可以確認芯片是真實的且未被篡改). 8B參數模型的附加成本低于7%,70B模型基于英國威達的秘密計算,幾乎沒有耗竭. 價格是信任硬件制造商。

第二, 零知識憑證(ZK)完全依靠加密的拼圖, 估計有1800萬個參數的小型建模證據 需要1分鐘左右 數個數量級比前線大模型少。

第三, 多重計算( MPC) 可以讓多方一起計算, 而不交出原始資料, 速度更慢 。 MPC Transformer推理框架為LLAMA-7B製造單個代碼。

預測器负责提供鏈索下可靠的資料。 隱私預言(如Town Crier, DECO)在不透露隱私性的情况下。

工業將科技稱為zkTLS。

Crypto x AI: 用AI加強區塊鏈

人工智能的加密研究大概有三代人。

第一代:分析测试

從十幾年前起, 機器學習就被用来分析連鎖狀態: 探測共识協定中的漏洞(例如自私的礦工採取已挖出的區塊。

這項分析主要依靠全球公共資訊。

目前最先进的合約漏洞探測無法讓AI直接從密碼中猜測,而是先用AI來辨認疑犯,再用靜态分析,符號執行等方法加以驗證(其實不是執行密碼,而是分析密碼结构以找出漏洞)。

GPT-4和Claude在先前被攻擊的52份DeFi合同中。

第二代:算法設計

包括P2P網絡擴張、共识協定參數與角色選擇、分數、市場利率與貸款利率。

這些方法大多是有效的。

第三代:与现实世界的互动

透過人工智能的預言, 智慧合同獲得了三类增強:知覺(理解無結構的數據與自然語言)。

AI的先知表现不一。 根據Chainlink Labs, GPT-4o在1660年預期的市場發表中總的精度是89.3%, 在UMA的Ruth Bot上總的精度是75%, 在UMA Optimistic Programator上總的精度是98.2%(默认答案是真實的。

精確度高度依據問題的類型:與官方資料來源(如運動遊戲)相關的問題可達99.7%。

答案有三種方式:第一,設計錯誤而只設計低價情景;第二,引入人工仲裁,如48小時的爭議視窗,慢了决策;第三,讓模型在不确定時被拋棄,只有在那時才被拋棄。

這項計畫代表了伊麗莎白(IlizabethOS)和AI XBT(AI XBT)等計畫, 這些產品面临不可避免的設計困境。

如果策略透明, 它可以被三文治复制或取走( 在受害者交易前及交易後防止下一個, 兩條道路都傷害了普通的投資者。

最初的缓解想法是使用 TEE 套件並隨機化交易, 讓內線更難預測 。

新風險:AI導致的惡意情報合同

這也意味著最不可信關係的兇手可能從中得益。

其中一個機理是合同是犯罪獎勵, 作案人向「秘書」保證要事先密碼, 愛爾蘭國際機構(AI)擔任「判決」的角色。

包括追蹤的連結分析、黑名單、使用AI模型的預測者在高风险要求中拒絕服務。

AI x 加密: 用加密來強化AI

加密對AI的潜在贡献可分为兩類:AI生命周期的正義化和保护這些連結。

集中基础设施

提供資源, 塞塔、阿卡什等人聲稱。

适应性因工作类型而异。 訓練對延遲(离線)不敏感, 但跨地同步通訊卻是個瓶颈。

引論對延遲更敏感, 但摄入要求比訓練要低, 也不需要反向傳播(訓練時逐層傳送錯誤的核心階段。

關鍵的缺口是, 而ML任務的真正成本是訓練效率(每單位成本的迭代數)和推理效率(每單位成本的代碼數)。

集中數據和模型市場

AI資料與普通商品的特性不同。 這是一項數位商品, 首次製作成本很高, 但幾乎是免费的; 大多是非競爭性(一項資料可以同时使用而不損失); 質量難於提前判斷。

中央集團市場的爭議是定价不透明。

數據市場尚未被獨占, 且由正版化的視窗期間重新設計, 使用微支付、TEE(只限特定任務的數據)。

價格机制或是由協議各方決定, 或完全交給銷售商, 在集中化方面仍然缺乏研究。

代理追蹤與 x402

生态學本身被分散:不同的模型被用來發展,优化不同的目的,並沒有自然的中心控制點. crypto的代碼經濟學哲學(它用經濟獎勵和獎勵的組合。

微型支付是經濟的關鍵。 在網路歷史中, 微信支付屡次失敗, 使用者只需制定策略, 就能讓微型支付第一次通過。

Claudflare 引入了「 crawling Pay 」, x 402( 通过 HTTP 直接完成鏈上小付款的開啟程序) 等 。

以穩定的货币(USDC, USDT, DAI)為主, 因為它們提供一個穩定的帳號單位( 所有商品的通用價格)。

代理商之间的信任依赖于一系列的登記表(例如ERC-804,在代理商的連結上建立身份和名譽的提議標準)來記錄身份和名聲,但這些基本上都是自我宣佈,有晚期的名聲,對已成名的玩家有利。

另外一個選擇是驗證代理審查:TEE內的LLM審查有排他性代理碼, 輸出名譽評分。

不可阻止的自主代理( UAA) 是另一種風險 。 自2019年起,每7個月完成一倍。 研究顯示,該型號在當地可以打破自我复制的紅色線, 建立獨立的复制品。

Anthropic的Mythos模型展示了自主辨識和利用零天漏洞的能力(一個尚未為制造商所知的漏洞, 無法關閉的錢包代理商 落入以「操作者」為核心的管制框架的盲區。

集中治理

區域鏈路社群對分配系統的控制歷史更長。

社群治理在 AI 發展成份上各有不同: 訓練前的數據太大, 無法收集有效的觀點, 價值在微調期間更明顯; 底层的结构性選擇是技術決定。

依據創用CC授權使用 Anthropic參與引入公共投票原理, 但這種民主管理實驗基本沒有實施。

DAO的貨幣加权投票被認同為「金權政治」。

保障AI的完整实施

當智能合約被超過能力的 ML 計算時, 可能會成為「仲裁者」: 4條路線被查實了 有了取舍。

首先, 效率最高的 TEE 由可信的硬件簽章來驗證, 以計算完整性, 只要操作員可信的話 。

第二, 樂觀的實施, 結果被視為非決議性的爭議視窗。

困難在于 ML 浮點數運算的不确定性, 需要按照運算的控制順序或不動詞的意義來處理(這不要求兩種計算按相同的順序分割。

第三,知识的零證明(zkML, 由零知識支持, 為AI推理流程提供理由)可以通过隱藏模型參數, 或甚至輸入輸出。

它有三層隱私目標:隱密的輸入、隱密的重量和模型結構, 但隱私越多, 主要成本由非線性層面和價值推算。

第四,統計推理證明了原理是一種具有兩種不同功能的模型,而內計的特性必然不同,因此只要采样與這些特征相比,就可以以概率判断推理是否真正由指定模型完成。

證明它用在毫秒內, 它能防止一些不正常的現實, 例如服務商改變模型(例如改用更便宜的蒸馏版本, 或是取代已經對齊的版本), 但是它不能阻止整個計算記錄的完全惡意。

模式訓練的證據(zkPot,由零知識證明)比推理的證據要難得多:它會持續很長,在中間积累,是高度隨機的,是數個数量級比推理更複雜. 相關工作(Garg等人、Kaizen)正在進展。

保障培训管道

當各單位使用自己信任的數據訓練模型, 許多聯合訓練與數據來源。

通常的情況是多家醫院的聯合訓練診斷模型:各方的電子醫療記錄(EHR)的組合可以涵盖更多病人。

金融機構共同訓練反舞弊模式。

聯邦學習是為此目的設計的計畫: 訓練環境旨在啟動全球模擬。

但聯邦學習有限, 它不能保障數據與計算的完整性, 即使各方是誠實的, 通訊成本高, 網路與協調延遲了总体速度。

更簡單的選擇是用TEE集中訓練:訓練環境在可信、保密的計算環境中運行。

成本是TEE內在的副連結風險和高I/O支出。 實際上大多數機構正在將資料集成到一個遵守雲中。

私人網路資料是另一個想法。 網路的文字數據已接近限值(預計在2025年至2030年將耗盡), 合成數據有「模型崩塌」的危險。

而「私人」網路(信件、健康、金融等, 不向爬行动物開放), 估計比開放的網路要大兩種。

預言打開了這扇門 在病人上傳醫療記錄的醫療模擬中, 使用者可以使用預覽機, 將他們的醫療記錄從醫院入口轉至教練, 並證明這些資料確實來自入口。

為了保護隱私, 必須取代隱私預測器( 使用加密通道的資料) 和 TEE 。 TEE也可以讓使用者知道它運用「输出模型」的私密訓練軟體。

數據將立即刪除, 完成的模型將只限於白單醫院。

安全管道和防腐管道(方案)

同一套預言加上可信的計算,也可以用于私人資料的安全推理。

以銀行貸款批准為例:模式讀取申请人的金融文件、出口批准或拒絕。 今天的過程涉及借款人下載或照片上傳材料本身, 這引出了兩個問題: 出借人無法確認材料是否真實且未變更; 借款人可能從出借人的模型系統中漏出。

使用私密預測機來解析來源的真實性, 以及保密計算以解析私密性, 可以提供安全推理的管道: 出贷人只看到模型發現。

私人來源也可以作為身份證和文件系統。

借款人轉移銀行流的能力, W-2 表格, 擁有自己的身份, 本身是身份的有力證實, 讓現有的網路服務成為防止身份盜竊與福利舞弊的临时身份系統。

整個过程可以集中,從理論上說,任何人都可以建立可信的推理線,而不需要資料來源或既定的權力。

反對的輸入是固執的挑戰 攻擊者可以呈交一個看起來很正常,但會精心調整的銀行, 相對的樣本由學界研究。

安全推理管道提供了新想法:限制對認證網路源的輸入, 从而減少攻擊者建構對峙輸入的空間。

模型本身的隱私需要保護. 攻擊者可以通过精心建構的查詢(提取特性甚至整個模擬),成員外推法(以确定某人的數據是否在訓練集中),甚至還原原始訓練數據,來建模系統的設定與處理前選擇。

研究者估計大概有8000美元 可以偷取一個大模型層的重量 在開放系統中常用的速度限制很脆弱。

安全推理管道可以從兩端放鬆:限制輸入型態, 以阻遏需要使用預後機进行大量多元查詢的抽取攻擊; 使用管道內產生的強固認證。

特工記憶力是攻擊的一面 攻擊者用工具或外部材料污染來供應代理商的環境(emory infirming)會引發代理商行為不正常, 例如在管理大量加密資產的ElizabethOS(ElizabethOS)體內。

TEE 可以 部分 減輕 : 讓 ATE 內置 ATGent , 或者只拉 已驗證的上下文 。

但即使有TEE 也有兩個困難。

例如使用者本身製造的社交平台內容, 發件人很容易毒害文章。

第二, TEE 操作員可以發動回滚或分叉攻擊, 將 TEE 狀態反轉到舊的檢查站, 更新後抹去內存 。

前者是內容測試的問題, 由程式碼解答; 后者可以协商一致解決, ROTE, Narrator等系統使用分布式協議, 甚至公開連鎖。

本節的結構被概括為「Props」通用框架。

它將一個預測器和一個可信的計算器放在了三段:預測器取自授證的私人領域來源的數字並證明來源,TEE在加密的邊界內完成訓練或推理,TEE輸出模型或結論,并附上描述管道屬性(數據來源、模擬軟體或代碼,HASHI等)的憑證。

Props确保了三种特性:端到端的輸入完整性(输出只依靠可信私人來源的認證資料),默认的保密性(輸入和中間狀態沒有受保護的邊界,只有公共輸出),可能的不披露性(證明資料提供者和結果使用者都相信完整性和保密性)。

亦有「透明」版本。

關於 Crystal x AI 的五種誤會

Cripto x AI平台與應用程式, 以下五篇文章並非详尽不實。

錯誤一: 區塊鏈可以分別 AI 產生的內容與人類產生的內容

內容的登記是相關的, 已經有項目(如Everlyn AI)連結了AI的內容。 需要與內容測試與內容可追溯性問題分開看待。

內容測試決定內容是由人產生,還是由AI產生。 目前的主流是事后測試, 它不依靠植入前的中繼資料或信號, 分兩類:AI分类法。

問題在于區塊的鏈子本身無法感知這些鏈子下的信息, 鏈子只能按住這項結果, 如果外部偵測器计算錯誤, 區塊鏈會永久保持錯誤 。 也就是說,區塊的鏈子提供了"宣言的完整性"而不是"宣言是真實的"。

內容可追溯性是記錄數位資產的歷史。 C2PA 等工業標準讓創意者或裝置在媒體上附加密碼簽章的中繼資料(content 凭单)。

也無法保證內容原本是由人類或AI產生的。

使用者完全能在高級螢幕上拍攝AI世代影像,然后使用符合C2PA的相機,并取得有效的簽章和標記為"真照片"的文件;文字相同,AI被建立並手動重新登入遵守編輯器,与"人類創造"的合法追蹤器。

此外,一旦內容修改到不匹配鏈式紀錄的水平,可追溯性就會被打破,而涵盖所有元素的通用登記表在可预见的未來幾乎無法制作出,在可追溯性系統中存在重大漏洞。

元素:在狭义上, 區塊鏈可以為痕量源元数据提供健全的完整性保障, 但遠非完全解決AI產生內容測試的問題。

一個真正有效的程序需要一個世界性生态學, 每個內容都用可信的裝置捕捉, 并立即被鎖定起來, 而現實中绝大多数內容都是由不支持密碼主題的工具建立和共享的。

錯誤二:區塊鏈或正統化會解決AI的偏見與公平問題

「加强模型推理與訓練。

算法偏差是AI圈子中最常见的公平概念. 模式學習、甚至放大數據集的不平衡。

但這些保護措施遠非完美, 公平仍不是問題, 甚至可能永遠不會一勞永逸地解決, 即使是「如何定義公平」本身。

非中心化不治算法偏見, 因為它源于訓練流程本身。

但有第二種偏見源, 即影響模型性能的高階决策: 哪些數據, 這層與AI圈中通常理解的公理有正面的關係。

第一个特点是透明度。 開發者可以使用區塊鏈來公開承諾訓練資料、訓練算法、模型檢查點和推理列。

現有系統的數據大多在連結中, 使用者無法直接取得, 透明度在短期内的效益可能仅限于推理。

透明本身可能改變不了人們發展及使用AI的方式, 除非工業清楚知道這項透明將要服務什麼。

第二种特征是分散治理,需要区分两类。 第一個包括被探索及使用的群體治理机制(卡网加权投票、流动民主。

共同點是社群治理机制本身不需要區塊鏈, 以價值為导向的決定(例如模式調整)更適合, 主流的AI開發者已探索。

由智慧合約真正實施的治理鏈(直接實施或承諾充公)可以提升強大性。

元素:區塊鏈本身并不能減少算法偏見。

錯誤三:給AI antent一個錢包,讓它"自由"

製作「代理錢包」與支付協議的計畫, 聲明混淆了几种不同的概念。

此區別首先出自於"自治"在兩個領域裡有不同的含义. 依據意識、學習、經驗、而不是預定的規矩, 自主性被定义为有能力行動。

前者称为"智慧自治",后者称为"行政自治". 現代AI委員會擁有相当大的智慧自主性。

和Angent的錢包 帶來, 兩者都不是自成一体的。 擁有錢包并不能讓AI更聰明, 也不能讓它更耐人操控或關閉。

中央集團金融基建也可以由個人編程。 更強烈的解釋是區塊鏈支付系統本身提供更大的自主性(但并不只是代理服務)。

指點: Angent的錢包讓AI angent輕易存取金融介面, 單靠錢包不能解除人體控制(操作員仍然可以關閉它所依赖的模型或設備)。

區塊鏈付款真正的賣點是中立和抵制審查。

錯誤四:透明AI是可信的AI

將模型的數據來源和推理放在鏈子上似乎是保障AI可信度的理想工具, 但是它需要分兩層拆解。

在模型層透明度方面,記錄訓練資料來源似乎給模型建立帶來了透明度,但"記錄資料來源"和"保證模型行為"之间存在着巨大的差距。

也並不等于來源(展示訓練套件的构成需要更多專家)。

第二, 即使訓練數據完全可用, 也不足以決定模型將如何運作。

第三,即使從數據到模型的完整流程足以复制模型,隨機訓練中固有的不确定性使得"驗證模型重量的訓練流程"不可行。

也無法直接保證他們行為的特質或沒有對戰操控。

在推理層透明度方面,模型的連結和相应的推理似乎在模型的使用上帶來了透明度,但區塊的連結使得交易而不是推理有了透明度. 一個「模組X」被收錄在輸入Y的鏈子上。

因為這也不能證明"正确處決"。

更根本的問題是, X型號的完整來源記錄並未提供符合使用者期望或業務標準的語义證據。

區塊鏈實際上對一些可信目的很有用, 例如該機構使用Hashi出版的開源權重模型作為不可移除的參考, 讓使用者可以確認他們正在使用未變更的真實模型; 相似的反虛假紀錄思维也被用于更新實體片段的紀錄和憑證透明度( 僅使用區塊鏈的附加紀錄來維持可以公開審核的憑證的發行紀錄) 。

關鍵點 : 模型數據源與推理的連結與「模型與推理相關的確性」。

錯誤五:去中央救出AI任務錢

某類項目使用更高效、更合算的人工智能網路, 通常是實體基建網絡(DePIN)的合理化。

但低廉的機器不一定會降低任務的总成本。 透過公共網絡以集中節點、AI任務吞吐量及延遲需求。

目前直接成本比較很困難。

指點: 認可化網路是高成本集中化云的迷人替代方案。

小型工作(定線、小型訓練)可能更貴, 而超大型工作(訓練基本模型)可能因節點之間不穩定的低頻寬通訊而受阻。 需要做更多的研究,以澄清這些取舍。

這五種錯誤的共同分母是,區塊的鏈子提供了比"真實性"或"可信度"本身更多的"完整性"和"可核查性". Crypto x AI仍然在早期。