以太下一期的關鍵是什麼
作者 :維塔利克·布特林
其他召集人
感謝平井洋一、賈斯汀·德雷克、納迪姆·神户西和亞歷克斯·希克斯的回應和評論。
最近幾個月來, 新的編程范式在台風前方的研发圈子和計算领域的其他許多角落迅速流行: 編碼直接用非常低等的語言(例如EVM字節、編譯語言)或Lean寫成。
如果操作得當, 不但可以出口極為有效的密碼, 平井洋一稱此為"軟體發展的最终形式"。
這篇文章將試圖揭開理由, 探究軟體正式化能做什麼。
什么是形式化
形式化是指以可以自動檢查的方式制作出數學定理的憑證. 我們看看菲波納奇系列的基本定理: 三分之一的數字是偶数,其余的都是奇数。
1 2 3 5 8 13 21 34 55 89 144 233 377 610 987 1597 2584...
一個簡單的證明方法就是數學總和。
第一件事是基本的。 設定 F1 = F2 = 1, F3 = 2. 從觀察看來,我們看到這個聲明("Fi in even when it's multiple of 3 or odd")是在 x = 3。
后面是摘要。 假設聲明是在3k+3之前建立, 也就是我們已經知道F3k+1, F3k+2和F3k+3的奇點是奇點、奇點、偶點。 我們可以計算下一套三個數字的奇點:
F3k+4 = F3k+2 + F3k+3 = 奇 + 偶 = 奇 F3k+5 = F3k+3 + F3k+4 = 偶 + 奇 = 奇 = 奇
因此我們得知聲明是在3k+3前設置的,导致聲明是在3k+6前設置的. 我們可以一遍又一遍地推斷 以此來確保規則對整數是有效的。
這理由足以讓人信服 但如果你想證明 更複雜的百倍 而且你非常確定你沒有犯錯呢? 你可以給電腦一個令人信服的證據。
以下是它是如何呈現的:
===>===
這是同樣的推理 但用利恩來表示 利恩是常用于寫作和驗證數學憑證的程式語言。
這似乎與上面提供的「人類」證據不同, 原因很好: 觀察電腦(以「電腦」為傳統意義)。
在以上憑證中,您不強調 fib(3k+4) = fib(3k+3) + fib(3k+2) 的實際,而是fib(3k+3) + fib(3k+2) 是一个奇數,而利恩的極大策略叫做moga,自動將它與它对于 fib(3k+4) 的定義知識结合起来。
在更複雜的證明中, 有時你必須在每一步中指定數學定律允許你采取目前的一步, 有時會使用像Prod.mk.inj(prod。
但另一方面,你可以在一步內擴大一個巨大的多形表情,只需要用單行形的表情來解釋它,如"omega"或"ring"。
這種直覺和複雜的解釋, 在很大程度上解釋了為什麼球場仍然很小, 由於人工智能的快速發展。
當數學憑證開始保護密碼時
電腦可以驗證數學定理 所以我們終於可以確定 關于質數的 瘋狂新結論是什麼。
也許我們可以找出 希望新一對ABC的猜測是否正確
那又怎樣
有很多可能的答案。 但對我很重要的答案之一 就是確認電腦程序的正确性 尤其是那些做加密或安全工作的人。
畢竟電腦程式是數學物件 所以是數學定理 證明了電腦程式的運作方式。
例如, 如果您要證明 Signal 這樣的加密軟體真的安全 。 您可以在此上下文中寫下「 安全」 的數學意義 。
在高層, 您必須證明, 假設某些編碼假設是有效的, 在現實中,很多不同的安全屬性至关重要。
原來真的有團隊想想辦法! 他們的一個安全理論看起來是這樣的:
CVE 洞數隨時下降
數十年來
- 類型系統
- 內存安全語言
- 改善軟體建構(包括沙盒、權限控制
- 更好的測試方法
- 安全和不安全的編碼模式的知識系統仍然很丰富
- 已預備和审定的數據庫數量增加
由人工智能協助的正规化不应被视为全新的模式。
形式化不是普遍的。 但當目標比達成簡單得多時, 我們將需要部署在ITA的下一個主要軌道:量子防控簽章、STARK、共识算法和ZK-EVM。
STARK是一個非常複雜的軟體. 但是它所達到的核心安全屬性很容易理解和正式化:如果你看到Hashi H的證據, 輸入 x 和輸出 y 指向 P, 要么 (一) STARK 中使用的Hashi算法被打破, 要么 (二) P(x) = y。
因此我們有Arklib專案, 它正在試圖建立一個完全正式的STARK实现(參見 VCV-io, 它提供了基本的計算器計算基础设施, 可以用于正式驗證其他各种加密協議, 其中許多都依赖于STARK) 。
更宏大的是 evm-asm : 一個全面建立 EVM 的計畫。
這裡的安全性質並不那么簡單:基本目的是證明它們相当于Lean所準備的另一個EVM。
我們可能會得到十個EVM, 所有這些都可以被證明是平等的, 它們碰巧包含著相同的致命缺陷, 讓攻擊者能從他們無法接觸的地址中排出所有的ETH。
但有些EVM今天 可能會有這種缺陷 當我們經歷痛苦的教訓時。
其他两个重要方面是:
- 拜占庭人誤以為是共识 也很難將所有想要的安全屬性正式化, 所以我們在利恩的協議中 已經達成并證明了。
- Smart Contract Programme 語言 : 參見 Vyper and Verity中的形式化。
在這些情況下, 正式化證書的一大附加價值, 在于它真的是端到端。 通常最糟糕的bug是互動性bug, 它位于兩個獨立的子系統的交汇處 。
人類要從頭到尾推斷整個系統太難了 然而,自動檢查規則系統可以做到。
效率表格认证
讓我們看看埃夫姆 -阿斯姆。 這是EVM的意識 由RISC-V編譯的EVM直接完成。
真正的價格是真實的。
這是 ADD 代碼 :
=============== =======================================================================================================================================================================
RISC- V 選取是因為正在建構的 ZK- EVM 憑證通常會憑證 RISC- V , 並為 TAIFENG 客戶端編譯為 RISC- V 。 所以如果你能直接用 RISC-V 寫作的EVM 意識到 它應該是你們能做的最快的。
RISC-V也可以在普通電腦中非常高效地模拟(市場上也有RISC-V型手提電腦)。
當然,為了真正達到尾聲, 您必須正式認證RISC- V 实现本身( 或是憑證的計算器), 但別擔心, 它已經存在 。
這是我們50年前做的 從此我們放棄了這項習慣。
高端語言會損及效率, 但作為交換。
我們有機會「回到未來」。
具体地說,我們可以讓人工智能制作出編譯碼,然后拿出正式的憑證,以確認編譯碼有所要求的屬性。
至少,要求的屬性可以簡單地等同那些被优化以提高可讀性且用人類友好語言寫成的屬性。
我們不再需要一個單一的代碼物件來平衡可讀性和效率,而是要有兩個不同的物件:一個(編譯成就)只优化效率,考虑到它被執行的特定環境的需要;另一個(安全聲明,或高级語言成就)优化可讀性,然後我們通过數學證明兩者之间的等效性。
使用者可以 (自動) 驗證一次, 從此他們只需運行快速版本 。
此方法非常有力,平井洋一因此稱其為"軟體發展的最终形式"。
形式化不是万能藥
在加密與電腦科學方面, 傳統與形式化本身相仿:批評形式化的傳統(或更廣泛地說。
文献中充斥着實際例子. 我們先用手寫的證據證明早期的簡單加密
1979年,Rabin提出了一個加密的功能,在某种意义上是安全的,即它具有主观性的安全属性。
Riverst指出, 在Rabin提出他的加密程式后不久, 令人諷刺的是, 給予它附加安全性的角色, 如果它面對另一個叫做「選舉秘密」的攻擊者。
也就是假設攻擊者能用某種方式欺騙愛麗絲破解自己選擇的秘密。
Menezes和Koblitz随后提供了更多例子。 通常的規模是, 使加密協議更加「被證實」。
現在,讓我們回到機器的可查證和代碼。 這是2011年正式"C"編譯器的一个例子文件:
我們發現的第二個 CompCert 問題在兩個錯誤中產生了以下代碼:stwu r1, -44432(r1)這裡正在分配一大堆 PowerPC 。
問題是有16點的野外流離已蔓延 CompCert 的 PPC 語法並未對寬度立下直接限制, 假設編譯器會捕捉超出範圍的數值 。
2022年就有一次文件:
在 CompCert-KVX 中, 提交的 e2618b31 恢复了一個錯誤 : "nand" 命令會被印成 "and" ; "nand" 只在稀有模式 ~ (a & mp; b) 中使用 。 此錯誤是通过隨機產生的流程發現的 。
以下為Nadim Kobeissi對Crystal中正式軟體泄露的描述:
在2025年11月, Filippo Valsorda 獨立報導了 libcrux-ml-dsa v0.0.3 不同公用金鑰及不同平台上的簽名。
此錯誤存在于 vxarq u64 的内部套件函數中, 套件可以執行 XAR 操作, 用 SHA-3 取代 Keccak- f 。 備份機理傳送不正確的參數到移動操作中,並损坏了ARM64平台上的SHA-3摘要,而硬件SHA-3並沒有支持。
這是類型 I 失敗: 內部函數被標記, 而整個 NEON 後端並未完整證明運行安全或正確 。
和:
libcrux- psq 函式庫會達到後來量子預分享金鑰協議 。 在解密方法中, AES- GCM 128 解密路徑使用. unwrap () 而不是傳播錯誤 。 格式錯誤的文字可以降下行程 。
以上四個問題
- 只驗證了部分密碼(因為太難驗證其他密碼)。
- 作者忘了需要證明關鍵屬性的案例。
Nadim的文章中包含了形式化失敗模型的分類;他也给出了其他类型的失敗模式(例如,另一大案例是"形式化规范本身是錯誤的,或者證明中包含被构建的系統默默接受的假說)。
最后,我們可以研究軟體和硬件邊界的正规化失敗。 一個共同的問題是 檢查副連結攻擊的能力。
即使你有完美的安全加密來保護你的訊息, 你仍然不安全, 如果人們在幾米外可以捕捉到電訊波动。
分析差力文章這些科技的範例。
差分功率分析是常见的副頻道攻擊類型. 出處:維基百科
已試圖證明抗爭者的安全。 但是任何這樣的證據 都需要一個攻擊者的數學模型 讓你能用它來證明安全。
有時會使用「d偵測模型」: 我們假設攻擊者可以搜尋電路的地點有已知限制。 然而,一些渗漏形式未被此模型捕捉。
正如這篇文章所指出, 一個常见的問題是过渡性漏水: 如果你能觀察到一個信號。
這篇文章分類了其他形式的漏水。
數十年來, 我們現在比以往更能防備這些問題。 但即使是今天,它也不完美。
總而言之 有線索 形式化是有力的。
但任何銷售條款讓形式化聽起來像是給你"證明正确"。
大多數人認為,"對"意指:"物件的行為符合使用者對開發者意向的理解"。
而"安全"的意涵也类似于:"有些事情并不违背使用者的期望,做一些不利于使用者的事情"。
在兩種情形中,正确性和安全性都由數學物件和人類意向或期望的比對而來。
人類的本意和期望 也是理論上的數學物件 畢竟 人類的大腦是宇宙的一部分 遵循物理定律。
但它們是非常複雜的數學物件 電腦和我們都看不懂。
就所有实际目的和意向而言,它們都是黑匣子;我們只知道我們的意图和期望,因為我們每個人都有多年的經驗來觀察自己的想法和推測他人的想法。
因為我們不能在電腦中插入原始的人類意图。
所以"證明正确"和"證明安全" 并不能證明我們人類所理解的"正确"和"安全" 除非我們能完全仿真人類的大腦 我們什麼都做不了。
那它干什么用的?
我更希望把試驗套件、類型系統和形式化看成不同的方式。
它們都是為了用不同的方式調整我們的意图, 然後自動檢查這些不同標準的兼容性。
以 Python 代碼為例:
安全程式是用很多不同的方式表達您的意向, 然后自動檢查這些表情是否相容 。
形式化讓您可以更進一步延伸此方法. 讓憑證正式化, 您可以用幾乎無限制的冗余量來規定你的用意, 程序只有完全兼容才能被驗證 。
你可以調整一個 高度优化和極低效的... ...但很容易被人類讀取... ...並檢查它們是否匹配。 你可以要求你的10個朋友提供一份他們認為你應該有的數學屬性清單,然后檢查是否全部通過。
如果不是, 請檢查程式是否錯誤, 或是數學屬性是否錯誤 。 你可以用人工智能做這些事。
我該怎麼開始
實際上,你不會自己做 因為大多數人無法理解如何寫這些模糊的詞, 你能告訴我這個密碼是什么意思嗎
=============================================================================================================================================================================================================================================================== -/ 私定理 le (ds 1 dsd = ddddd2 = ddddd1) > ; (hAcc: a b) > (hLE: > b) : ds1 ds2 : (hist.)
(如果您想知道的話, 這是 SPHINCS 簽署變體對特定安全語言的很多次關聯 。
具体說來, 除非有Hashi碰撞, 訊息的簽署至少要高于Hashi梯度上其他訊息的簽署, 因此包含無法從其他簽署中計算的信息
您不必手動寫入密碼與證明 。 你只需要人工智能為你寫程式(不管是直接用利恩寫作,還是用速度寫),并證明此过程中任何想要的屬性。
這項任務的一個优点就是它本身是自我證明的,所以你不需要監督它,你只是讓人工智能管理它數小時而已。
最糟糕的結果是它無處轉移(或如我的leanstral之前所做的事。
最後你唯一需要檢查的就是 它證明了聲明符合你的要求。
在SPHINCS的簽署變體中, 這是最後的聲明:
< 代碼型=font- size: 繼承; fint- family: PingFang SC, Helvetica, Arial, Hiragino Sans GB, Heiti SC, e-mail, WenQuan Yi Micro Hei, sans-serif; > 那裡的作品完全Digits incomparable { dig1 dig2: List Nat}{wl1 lll1}Nat2} (www: < whl < whl) (l1: dg1-dl & dlb1-dg)(hren2: dg=lg)(hnd1, ddg1)(h2, wdg2)(dh1-dh) (dh1-dg) 這其實是幾乎無法讀取的:
如果從一個 hash 摘要( dig1) 產生的數字不等于從另一個 hash 摘要( dig2) 產生的數字
因此,以下两项:
- 所有數字, dig1 < =dig2
- 所有數字, dig2 < =dig1
新增檢查和後產生的「 wotsFullDigits 」 中, 也如此 。 换言之,在dig1的擴張中,一些地方的數字將不可避免地更高,而在另一些地方,在dig2的擴張中,數字將不可避免地更高。
我發現Claude和Deepseek 4 Pro 都有资格使用大型語言模型寫作憑證。 Leansstral是一個小型開源量模型。
它有119B參數,每個符號激活6B,你可以在當地操作它,雖然很慢(在我的筆記本上約15tok/sec). 根據基准測試, Leansstral有更大的通用型號:
根據我目前的個人經驗,它比Deepseek 4 Pro稍差,但仍有效。
形式化不能解決我們所有的問題。
我們必須轉而使用信任密碼, 包括面對強大的人工智能對手。
由人工智能啟動的正规化。
人工智能與形式化都是互為补充的技術。
ZK-SNARKs給了你隱私和可伸縮性。
人工智能使你有能力以精確性為代价產生大量密碼,而形式化又使你恢復精確性(實際上比以前更高)。
假設人工智能會產生大量極速的密碼,而蟲子數量會增加。
事實上, 在某些情况下, 容忍蟲子增加是正確的取舍: 如果蟲子溫和, 即使是存在的軟體也比沒有它更好 。
軟體將分別為「不安全的邊緣」。
不安全的邊緣會在沙盒中運作。
安全核心能管理一切 包括你的个人資料、錢等等。 但如果不安全的邊緣有一部分崩塌了 安全的核心還是可以保護你的。
關于安全核心 我們不能讓蟲子的存在蔓延 我們將采取激進的行動來維持安全核心的小型。
相反,我們已經投入了人工智能的所有其他功能,來完成使安全核心更加安全的任务,以便它能承受我們在高度數位化的社會裡所赋予它的巨大信任負擔。
操作系統內部核心(或至少部分)將是如此安全的核心。
以太院將是另一個。
希望至少對于所有非性能密集的計算。
關于物联网的系統將是第四個。
至少這些安全核心裡, 舊格言「bug」不可避免。
但是如果你愿意把你的資產和數據 交到預備不足的軟體上 可能會不小心把它們吞進黑洞里 當然你有這種自由。
