A promessa e os desafios dos aplicativos de criptografia + IA

Avançado2/8/2024, 4:58:49 AM
Este artigo explora a interseção entre criptomoeda e inteligência artificial, inclusive como as criptomoedas descentralizadas equilibram a inteligência artificial centralizada. A IA pode ajudar a identificar informações falsas e comportamento fraudulento, mas é preciso tomar cuidado para evitar abuso de poder. A IA também pode fazer parte das interfaces e regras do jogo, mas os desafios da aprendizagem de máquina adversária devem ser observados.

Agradecimentos especiais às equipes da Worldcoin e da Modulus Labs, Xinyuan Sun, Martin Koeppelmann e Illia Polosukhin pelos comentários e discussões.

Ao longo dos anos, muitas pessoas me fizeram uma pergunta semelhante: quais são as interseções entre criptografia e IA que considero mais frutíferas? É uma pergunta razoável: criptografia e IA são as duas principais tendências de tecnologia profunda (de software) da última década, e parece que deve haver algum tipo de conexão entre as duas. É fácil criar sinergias em um nível de vibração superficial: a descentralização da criptografia pode equilibrar a centralização da IA, a IA é opaca e a criptografia traz transparência, a IA precisa de dados e os blockchains são bons para armazenar e rastrear dados. Mas, ao longo dos anos, quando as pessoas me pediam para ir um pouco mais fundo e falar sobre aplicações específicas, minha resposta era decepcionante: "Sim, há algumas coisas, mas não muito".

Nos últimos três anos, com o surgimento de uma IA muito mais poderosa na forma de LLMs modernos e o surgimento de criptomoedas muito mais poderosas na forma não apenas de soluções de escalonamento de blockchain, mas também de ZKPs, FHE, MPC(bipartidário e nipartidário), estou começando a ver essa mudança. Há, de fato, algumas aplicações promissoras de IA dentro dos ecossistemas de blockchain, ou IA em conjunto com criptografia, embora seja importante ter cuidado com a forma como a IA é aplicada. Um desafio específico é: na criptografia, o código aberto é a única maneira de tornar algo realmente seguro, mas na IA, um modelo (ou mesmo seus dados de treinamento) aberto aumenta muito sua vulnerabilidade a ataques adversários de aprendizado de máquina. Esta postagem analisará uma classificação das diferentes formas de interseção entre criptografia e IA, bem como as perspectivas e os desafios de cada categoria.

Um resumo de alto nível das interseções entre criptografia e IA de uma publicação do blog da uETH. Mas o que é necessário para realmente realizar qualquer uma dessas sinergias em uma aplicação concreta?

As quatro categorias principais

A IA é um conceito muito amplo: pode-se pensar em "IA" como sendo o conjunto de algoritmos que o senhor cria não especificando-os explicitamente, mas sim mexendo em uma grande sopa computacional e colocando algum tipo de pressão de otimização que empurra a sopa para produzir algoritmos com as propriedades que o senhor deseja. Essa descrição definitivamente não deve ser vista com desdém: ela inclui o processo que nos criou como seres humanos em primeiro lugar! Mas isso significa que os algoritmos de IA têm algumas propriedades em comum: sua capacidade de fazer coisas extremamente poderosas, juntamente com limites em nossa capacidade de saber ou entender o que está acontecendo nos bastidores.

Há muitas maneiras de categorizar a IA; para os fins desta postagem, que fala sobre interações entre IA e blockchains (que foram descritas como uma plataforma para <a href="https://medium.com/@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8"> criar "jogos"), vou categorizá-la da seguinte forma:

  • IA como um jogador em um jogo [maior viabilidade]: IAs que participam de mecanismos em que a fonte final dos incentivos vem de um protocolo com informações humanas.
  • IA como uma interface para o jogo [alto potencial, mas com riscos]: As IAs ajudam os usuários a entender o mundo criptográfico ao seu redor e a garantir que seu comportamento (ou seja, o comportamento de um usuário) seja o mais adequado possível. mensagens e transações assinadas) corresponde às suas intenções e eles não são enganados ou burlados.
  • IA como as regras do jogo [com muito cuidado]: blockchains, DAOs e mecanismos semelhantes que invocam diretamente as IAs. Pense, por exemplo. "Juízes de IA"
  • IA como objetivo do jogo [prazo mais longo, mas intrigante]: projetar blockchains, DAOs e mecanismos semelhantes com o objetivo de construir e manter uma IA que possa ser usada para outros fins, usando os bits de criptografia para incentivar melhor o treinamento ou para evitar que a IA vaze dados privados ou seja mal utilizada.

Vamos examiná-las uma a uma.

IA como um jogador em um jogo

Na verdade, essa é uma categoria que existe há quase uma década, pelo menos desde que as trocas descentralizadas na cadeia (DEXes) começaram a ter um uso significativo. Sempre que há uma troca, há uma oportunidade de ganhar dinheiro por meio de arbitragem, e os bots podem fazer arbitragem muito melhor do que os humanos. Esse caso de uso existe há muito tempo, mesmo com IAs muito mais simples do que as que temos hoje, mas, em última análise, é uma interseção muito real de IA + criptografia. Mais recentemente, vimos bots de arbitragem de MEV explorando uns aos outros com frequência. Sempre que o senhor tiver um aplicativo de blockchain que envolva leilões ou negociações, terá bots de arbitragem.

Mas os bots de arbitragem de IA são apenas o primeiro exemplo de uma categoria muito maior, que espero que em breve comece a incluir muitos outros aplicativos. Conheça o AIOmen, uma demonstração de um mercado de previsões em que as IAs são participantes:

Os mercados de previsão têm sido o Santo Graal da tecnologia epistêmica há muito tempo; eu estava entusiasmado com o uso de mercados de previsão como um insumo para a governança ("futarquia") em 2014, e brinquei bastante com eles na última eleição e mais recentemente. Mas, até o momento, os mercados de previsão não decolaram muito na prática, e há uma série de razões comumente apontadas para isso: os maiores participantes costumam ser irracionais, as pessoas com o conhecimento certo não estão dispostas a dedicar tempo e apostar, a menos que haja muito dinheiro envolvido, os mercados costumam ser escassos etc.

Uma resposta a isso é apontar para os aprimoramentos contínuos de UX no Polymarket ou em outros novos mercados de previsão e esperar que eles tenham sucesso onde as iterações anteriores falharam. Afinal de contas, diz a história, as pessoas estão dispostas a apostar dezenas de bilhões em esportes, então por que as pessoas não jogariam dinheiro suficiente apostando nas eleições dos EUA ou no LK99 para que comece a fazer sentido para os jogadores sérios começarem a entrar? Mas esse argumento precisa lidar com o fato de que, bem, as iterações anteriores não conseguiram chegar a esse nível de escala (pelo menos em comparação com os sonhos de seus proponentes) e, portanto, parece que o senhor precisa de algo novo para que os mercados de previsão tenham sucesso. Portanto, uma resposta diferente é apontar para uma característica específica dos ecossistemas do mercado de previsão que podemos esperar ver na década de 2020 e que não vimos na década de 2010: a possibilidade de participação onipresente das IAs.

As IAs estão dispostas a trabalhar por menos de US$ 1 por hora e têm o conhecimento de uma enciclopédia - e, se isso não for suficiente, elas podem até ser integradas à capacidade de pesquisa na Web em tempo real. Se o senhor criar um mercado e oferecer um subsídio de liquidez de US$ 50, os seres humanos não se importarão o suficiente para fazer lances, mas milhares de IAs se aglomerarão facilmente sobre a questão e farão a melhor estimativa possível. O incentivo para fazer um bom trabalho em uma única pergunta pode ser pequeno, mas o incentivo para criar uma IA que faça boas previsões em geral pode ser da ordem de milhões. Observe que, potencialmente, o senhor nem precisa de humanos para julgar a maioria das questões: pode usar um sistema de disputa de várias rodadas semelhante ao Augur ou Kleros, em que as IAs também participariam das rodadas anteriores. Os seres humanos só precisariam responder nos poucos casos em que houvesse uma série de escaladas e grandes quantias de dinheiro tivessem sido comprometidas por ambos os lados.

Essa é uma primitiva poderosa, porque, uma vez que um "mercado de previsão" possa funcionar em uma escala microscópica, o senhor pode reutilizar a primitiva do "mercado de previsão" para muitos outros tipos de perguntas:

  • Essa publicação em mídia social é aceitável de acordo com [termos de uso]?
  • O que acontecerá com o preço da ação X (por exemplo, o preço da ação X)? ver Numerai)
  • Essa conta que está me enviando mensagens é realmente Elon Musk?
  • O envio desse trabalho em um mercado de tarefas on-line é aceitável?
  • O dapp em https://examplefinance.network é uma fraude?
  • Is 0x1b54....98c3 o endereço do token ERC20 "Casinu Inu"?

O senhor pode notar que muitas dessas ideias vão na direção do que chamei de "defesa de informações" em meus escritos sobre "d/acc". Em termos gerais, a pergunta é: como ajudamos os usuários a distinguir informações verdadeiras e falsas e a detectar fraudes, sem dar poder a uma autoridade centralizada para decidir o certo e o errado, que pode abusar dessa posição? Em um nível micro, a resposta pode ser "IA". Mas, em um nível macro, a questão é: quem constrói a IA? A IA é um reflexo do processo que a criou e, por isso, não pode evitar a existência de vieses. Portanto, é necessário um jogo de nível superior que avalie o desempenho das diferentes IAs, no qual as IAs possam participar como jogadores do jogo.

Esse uso de IA, em que as IAs participam de um mecanismo em que, em última instância, são recompensadas ou penalizadas (probabilisticamente) por um mecanismo na cadeia que reúne informações de seres humanos (chamamos isso de RLHF descentralizada baseada no mercado?), é algo que eu acho que realmente vale a pena analisar. Agora é o momento certo para analisar mais casos de uso como esse, porque o escalonamento da cadeia de blocos está finalmente sendo bem-sucedido, tornando "micro" qualquer coisa finalmente viável na cadeia, o que antes não era possível.

Uma categoria relacionada de aplicativos vai na direção de agentes altamente autônomos que usam blockchains para cooperar melhor, seja por meio de pagamentos ou do uso de contratos inteligentes para assumir compromissos confiáveis.

A IA como uma interface para o jogo

Uma ideia que mencionei em meus escritos é a ideia de que há uma oportunidade de mercado para escrever um software voltado para o usuário que proteja os interesses dos usuários interpretando e identificando perigos no mundo on-line em que o usuário está navegando. Um exemplo já existente disso é o recurso de detecção de fraudes do Metamask:

Outro exemplo é o recurso de simulação da carteira Rabby, que mostra ao usuário as consequências esperadas da transação que ele está prestes a assinar.

Rabby me explicando as consequências de assinar uma transação para trocar todo o meu "BITCOIN" (o ticker de um memecoin ERC20 cujo nome completo aparentemente é "HarryPotterObamaSonic10Inu") por ETH.

Edição 2024.02.02: uma versão anterior desta postagem se referia a esse token como uma fraude que tentava se passar por bitcoin. Não é; é uma memecoin. Peço desculpas pela confusão.

Potencialmente, esses tipos de ferramentas poderiam ser superalimentados com IA. A IA poderia dar uma explicação muito mais rica e amigável ao ser humano sobre o tipo de dapp do qual o usuário está participando, as consequências de operações mais complicadas que o usuário está assinando, se um determinado token é genuíno ou não (por exemplo, o token de um usuário é genuíno). BITCOIN não é apenas uma sequência de caracteres, é normalmente o nome de uma grande criptomoeda, que não é um token ERC20 e que tem um preço muito maior do que US$ 0,045, e um LLM moderno saberia disso), e assim por diante. Há projetos que estão começando a ir totalmente nessa direção (por exemplo, a carteira LangChain, que usa IA como interface principal). Minha opinião é que as interfaces de IA pura provavelmente são muito arriscadas no momento, pois aumentam o risco de outros tipos de erros, mas a IA que complementa uma interface mais convencional está se tornando muito viável.

Há um risco específico que vale a pena mencionar. Falarei mais sobre isso na seção "IA como regras do jogo" abaixo, mas a questão geral é o aprendizado de máquina adversário: se um usuário tiver acesso a um assistente de IA dentro de uma carteira de código aberto, os bandidos também terão acesso a esse assistente de IA e, portanto, terão oportunidade ilimitada de otimizar seus golpes para não acionar as defesas da carteira. Todas as IAs modernas têm bugs em algum lugar, e não é muito difícil para um processo de treinamento, mesmo um com acesso limitado ao modelo, encontrá-los.

É nesse ponto que "IAs participando de micromercados na cadeia" funciona melhor: cada IA individual é vulnerável aos mesmos riscos, mas o senhor está criando intencionalmente um ecossistema aberto de dezenas de pessoas que as iteram e melhoram constantemente. Além disso, cada IA individual é fechada: a segurança do sistema vem da abertura das regras do jogo, não do funcionamento interno de cada jogador.

Resumo: a IA pode ajudar os usuários a entender o que está acontecendo em linguagem simples, pode servir como um tutor em tempo real, pode proteger os usuários contra erros, mas é preciso ter cuidado ao tentar usá-la diretamente contra desinformantes e golpistas mal-intencionados.

IA como as regras do jogo

Agora, chegamos ao aplicativo com o qual muitas pessoas estão empolgadas, mas que, na minha opinião, é o mais arriscado e onde precisamos agir com mais cuidado: o que chamo de IAs fazendo parte das regras do jogo. Isso está ligado à empolgação entre as elites políticas tradicionais sobre os "juízes de IA" (por exemplo, o senhor pode ter uma ideia do que é a IA? veja este artigo no site da "Cúpula Mundial do Governo"), e há análogos desses desejos nos aplicativos de blockchain. Se um contrato inteligente baseado em blockchain ou um DAO precisar tomar uma decisão subjetiva (por exemplo, um determinado produto de trabalho é aceitável em um contrato de trabalho por encomenda? Qual é a interpretação correta de uma constituição de linguagem natural como a Lei do Otimismo das Cadeias?), o senhor poderia fazer com que uma IA simplesmente fizesse parte do contrato ou DAO para ajudar a aplicar essas regras?

É nesse ponto que o aprendizado de máquina contraditório será um desafio extremamente difícil. O argumento básico de duas frases é o seguinte:

Se um modelo de IA que desempenha um papel fundamental em um mecanismo estiver fechado, o senhor não poderá verificar seu funcionamento interno e, portanto, ele não será melhor do que um aplicativo centralizado. Se o modelo de IA estiver aberto, um invasor poderá fazer o download e simulá-lo localmente e projetar ataques altamente otimizados para enganar o modelo, que poderão ser reproduzidos na rede ativa.

Exemplo de aprendizado de máquina adversarial. Fonte: researchgate.net

Agora, os leitores frequentes deste blog (ou os habitantes do criptoverso) já devem estar se adiantando e pensando: mas espere! Temos provas sofisticadas de conhecimento zero e outras formas muito legais de criptografia. Certamente podemos fazer alguma mágica criptográfica e ocultar o funcionamento interno do modelo para que os invasores não possam otimizar os ataques, mas, ao mesmo tempo, provar que o modelo está sendo executado corretamente e foi construído usando um processo de treinamento razoável em um conjunto razoável de dados subjacentes!

Normalmente, esse é exatamente o tipo de pensamento que defendo neste blog e em meus outros escritos. Mas, no caso da computação relacionada à IA, há duas grandes objeções:

  1. Sobrecarga criptográfica: é muito menos eficiente fazer algo dentro de um SNARK (ou MPC ou...) do que fazê-lo "às claras". Considerando que a IA já é muito intensiva em termos de computação, será que fazer IA dentro de caixas pretas criptográficas é viável do ponto de vista computacional?
  2. Ataques de aprendizado de máquina adversários de caixa preta: há maneiras de otimizar ataques contra modelos de IA mesmo sem saber muito sobre o funcionamento interno do modelo. E se o senhor ocultar demais, corre o risco de tornar muito fácil para quem escolhe os dados de treinamento corromper o modelo com ataques de envenenamento.

Ambas as situações são complicadas, portanto, vamos nos aprofundar em cada uma delas.

Sobrecarga criptográfica

Os dispositivos criptográficos, especialmente os de uso geral, como ZK-SNARKs e MPC, têm uma alta sobrecarga. Um bloco Ethereum leva algumas centenas de milissegundos para ser verificado diretamente por um cliente, mas a geração de um ZK-SNARK para provar a exatidão desse bloco pode levar horas. A sobrecarga típica de outros dispositivos criptográficos, como o MPC, pode ser ainda pior. A computação de IA já é cara: os LLMs mais poderosos podem produzir palavras individuais apenas um pouco mais rápido do que os seres humanos podem lê-las, sem mencionar os custos computacionais, muitas vezes multimilionários, do treinamento dos modelos. A diferença de qualidade entre os modelos de primeira linha e os modelos que tentam economizar muito mais no custo de treinamento ou na contagem de parâmetros é grande. À primeira vista, esse é um ótimo motivo para desconfiar de todo o projeto de tentar adicionar garantias à IA envolvendo-a em criptografia.

Felizmente, porém, a IA é um tipo muito específico de computação, o que a torna passível de todos os tipos de otimizações das quais tipos de computação mais "não estruturados", como os ZK-EVMs, não podem se beneficiar. Vamos examinar a estrutura básica de um modelo de IA:

Normalmente, um modelo de IA consiste principalmente em uma série de multiplicações de matrizes intercaladas com operações não lineares por elemento, como a função ReLU(y = max(x, 0)). Assimptoticamente, as multiplicações de matrizes ocupam a maior parte do trabalho: a multiplicação de duas matrizes N*N leva

�(�2.8)

enquanto o número de operações não lineares é muito menor. Isso é realmente conveniente para a criptografia, porque muitas formas de criptografia podem fazer operações lineares (que são as multiplicações de matrizes, pelo menos se o senhor criptografar o modelo, mas não as entradas para ele) quase "de graça".

Se o senhor é um criptógrafo, provavelmente já ouviu falar de um fenômeno semelhante no contexto da criptografia homomórfica: realizar adições em textos cifrados criptografados é muito fácil, mas as multiplicações são incrivelmente difíceis e não descobrimos nenhuma maneira de fazer isso com profundidade ilimitada até 2009.

Para ZK-SNARKs, o equivalente são protocolos como este de 2013, que mostram uma sobrecarga de menos de 4x na prova de multiplicações de matrizes. Infelizmente, a sobrecarga nas camadas não lineares ainda acaba sendo significativa, e as melhores implementações na prática mostram uma sobrecarga de cerca de 200 vezes. Mas há esperança de que isso possa ser bastante reduzido por meio de mais pesquisas; veja esta apresentação de Ryan Cao para uma abordagem recente baseada em GKR e minha própria explicação simplificada de como o componente principal da GKR funciona.

Mas, em muitos aplicativos, não queremos apenas provar que uma saída de IA foi calculada corretamente, mas também queremos ocultar o modelo. Há abordagens ingênuas para isso: o senhor pode dividir o modelo de modo que um conjunto diferente de servidores armazene redundantemente cada camada e esperar que alguns dos servidores que vazam algumas das camadas não vazem muitos dados. No entanto, também existem formas surpreendentemente eficazes de computação multipartidária especializada.

Um diagrama simplificado de uma dessas abordagens, mantendo o modelo privado, mas tornando as entradas públicas. Se quisermos manter o modelo e as entradas privados, podemos fazê-lo, embora isso seja um pouco mais complicado: consulte as páginas 8 e 9 do documento.

Em ambos os casos, a moral da história é a mesma: a maior parte de uma computação de IA é a multiplicação de matrizes, para a qual é possível fazer ZK-SNARKs ou MPCs muito eficientes (ou até mesmo FHE) e, portanto, a sobrecarga total de colocar a IA dentro de caixas criptográficas é surpreendentemente baixa. Geralmente, são as camadas não lineares que representam o maior gargalo, apesar de seu tamanho menor; talvez técnicas mais recentes, como argumentos de pesquisa, possam ajudar.

Aprendizado de máquina adversarial black-box

Agora, vamos ao outro grande problema: os tipos de ataques que podem ser feitos mesmo que o conteúdo do modelo seja mantido em sigilo e o senhor tenha apenas "acesso à API" do modelo. Citando um artigo de 2016:

Muitos modelos de aprendizado de máquina são vulneráveis a exemplos adversários: entradas que são especialmente criadas para fazer com que um modelo de aprendizado de máquina produza uma saída incorreta. Os exemplos adversos que afetam um modelo geralmente afetam outro modelo, mesmo que os dois modelos tenham arquiteturas diferentes ou tenham sido treinados em conjuntos de treinamento diferentes, desde que ambos os modelos tenham sido treinados para executar a mesma tarefa. Portanto, um invasor pode treinar seu próprio modelo substituto, criar exemplos adversários contra o substituto e transferi-los para um modelo de vítima, com pouquíssimas informações sobre a vítima.

Use o acesso black-box a um "classificador de destino" para treinar e refinar seu próprio "classificador inferido" armazenado localmente. Em seguida, geramos localmente ataques otimizados contra o classificador inferido. Acontece que esses ataques geralmente também funcionam contra o classificador de destino original. Fonte do diagrama.

Potencialmente, o senhor pode até criar ataques conhecendo apenas os dados de treinamento, mesmo que tenha acesso muito limitado ou nenhum acesso ao modelo que está tentando atacar. Em 2023, esses tipos de ataques continuam a ser um grande problema.

Para reduzir efetivamente esses tipos de ataques de caixa preta, precisamos fazer duas coisas:

  1. Limite realmente quem ou o que pode consultar o modelo e quanto. As caixas pretas com acesso irrestrito à API não são seguras; as caixas pretas com acesso muito restrito à API podem ser.
  2. Oculte os dados de treinamento, preservando a confiança de que o processo usado para criar os dados de treinamento não está corrompido.

O projeto que mais se dedicou ao primeiro talvez seja o Worldcoin, do qual analisei uma versão anterior (entre outros protocolos) em detalhes aqui. A Worldcoin usa modelos de IA extensivamente no nível do protocolo para (i) converter varreduras de íris em "códigos de íris" curtos que são fáceis de comparar por similaridade e (ii) verificar se a coisa que está sendo escaneada é realmente um ser humano. A principal defesa em que a Worldcoin se baseia é o fato de não permitir que qualquer pessoa simplesmente faça chamadas para o modelo de IA: em vez disso, ela está usando hardware confiável para garantir que o modelo só aceite entradas assinadas digitalmente pela câmera do orbe.

Não há garantia de que essa abordagem funcione: acontece que é possível fazer ataques adversos contra a IA biométrica que vem na forma de adesivos físicos ou joias que o usuário pode colocar no rosto:

Use uma coisa extra em sua testa e evite ser detectado ou até mesmo se passe por outra pessoa. Fonte.

Mas a esperança é que, se o senhor combinar todas as defesas, ocultando o modelo de IA em si, limitando bastante o número de consultas e exigindo que cada consulta seja autenticada de alguma forma, poderá dificultar os ataques adversários o suficiente para que o sistema seja seguro. No caso da Worldcoin, o aumento dessas outras defesas também poderia reduzir sua dependência de hardware confiável, aumentando a descentralização do projeto.

E isso nos leva à segunda parte: como podemos ocultar os dados de treinamento? É aqui que as "DAOs para governar democraticamente a IA" podem realmente fazer sentido: podemos criar uma DAO na cadeia que governe o processo de quem tem permissão para enviar dados de treinamento (e quais atestados são exigidos nos próprios dados), quem tem permissão para fazer consultas e quantas, e usar técnicas criptográficas como MPC para criptografar todo o pipeline de criação e execução da IA, desde a entrada de treinamento de cada usuário individual até a saída final de cada consulta. Esse DAO poderia satisfazer simultaneamente o objetivo altamente popular de compensar as pessoas pelo envio de dados.

É importante reafirmar que esse plano é extremamente ambicioso e que há várias maneiras pelas quais ele pode se tornar impraticável:

  • A sobrecarga criptográfica ainda pode se tornar muito alta para que esse tipo de arquitetura totalmente "black-box" seja competitiva com as abordagens tradicionais fechadas do tipo "confie em mim".
  • Pode ser que não haja uma boa maneira de tornar o processo de envio de dados de treinamento descentralizado e protegido contra ataques de envenenamento.
  • Os gadgets de computação multipartidária podem quebrar suas garantias de segurança ou privacidade devido ao conluio dos participantes: afinal, isso já aconteceu com pontes de criptomoedas entre cadeias repetidas vezes.

Um dos motivos pelos quais não comecei esta seção com mais avisos vermelhos grandes dizendo "NÃO FAÇA JUÍZES DE IA, ISSO É DESESTOPIANO" é que nossa sociedade já é altamente dependente de juízes de IA centralizados e irresponsáveis: os algoritmos que determinam quais tipos de publicações e opiniões políticas são impulsionadas e despojadas, ou até mesmo censuradas, nas mídias sociais. Acho que expandir ainda mais essa tendência nesse estágio é uma péssima ideia, mas não acho que haja uma grande chance de a comunidade de blockchain fazer mais experimentos com IAs e contribuir para piorar a situação.

Na verdade, há algumas maneiras básicas e de baixo risco em que a tecnologia de criptografia pode melhorar até mesmo esses sistemas centralizados existentes, nas quais estou bastante confiante. Uma técnica simples é a IA verificada com publicação atrasada: quando um site de mídia social faz uma classificação de postagens baseada em IA, ele pode publicar um ZK-SNARK comprovando o hash do modelo que gerou essa classificação. O site poderia se comprometer a revelar seus modelos de IA após, por exemplo, um ano de atraso. Depois que um modelo é revelado, os usuários podem verificar o hash para verificar se o modelo correto foi lançado, e a comunidade pode executar testes no modelo para verificar sua imparcialidade. O atraso na publicação garantiria que, quando o modelo fosse revelado, ele já estaria desatualizado.

Portanto, em comparação com o mundo centralizado, a questão não é se podemos fazer melhor, mas em quanto. No entanto, para o mundo descentralizado, é importante ter cuidado: se alguém criar, por exemplo, um mercado de previsão ou uma stablecoin que use um oráculo de IA e descobrir que o oráculo pode ser atacado, isso representa uma enorme quantidade de dinheiro que pode desaparecer em um instante.

IA como o objetivo do jogo

Se as técnicas acima para a criação de uma IA privada descentralizada e escalonável, cujo conteúdo é uma caixa preta que ninguém conhece, puderem realmente funcionar, então isso também poderá ser usado para criar IAs com utilidade que vai além das blockchains. A equipe do protocolo NEAR está fazendo disso um objetivo central de seu trabalho contínuo.

Há dois motivos para fazer isso:

  1. Se for possível criar "IAs de caixa preta confiáveis" executando o processo de treinamento e inferência usando alguma combinação de blockchains e MPC, muitos aplicativos em que os usuários estão preocupados com a possibilidade de o sistema ser tendencioso ou enganá-los poderão se beneficiar disso. Muitas pessoas expressaram o desejo de ter uma governança democrática das IAs sistemicamente importantes das quais dependeremos; técnicas criptográficas e baseadas em blockchain podem ser um caminho para isso.
  2. Do ponto de vista da segurança da IA, essa seria uma técnica para criar uma IA descentralizada que também tenha um kill switch natural e que possa limitar as consultas que buscam usar a IA para comportamento malicioso.

Também vale a pena observar que "usar incentivos de criptografia para incentivar a criação de uma IA melhor" pode ser feito sem também entrar na toca do coelho de usar criptografia para criptografá-la completamente: abordagens como o BitTensor se enquadram nessa categoria.

Conclusões

Agora que tanto as blockchains quanto as IAs estão se tornando mais poderosas, há um número crescente de casos de uso na interseção das duas áreas. No entanto, alguns desses casos de uso fazem muito mais sentido e são muito mais robustos do que outros. Em geral, os casos de uso em que o mecanismo subjacente continua a ser projetado mais ou menos como antes, mas os participantes individuais se tornam IAs, permitindo que o mecanismo opere efetivamente em uma escala muito mais micro, são os mais promissores de imediato e os mais fáceis de acertar.

Os aplicativos mais difíceis de acertar são aqueles que tentam usar blockchains e técnicas criptográficas para criar um "singleton": uma única IA descentralizada e confiável da qual algum aplicativo dependeria para alguma finalidade. Esses aplicativos são promissores, tanto pela funcionalidade quanto pelo aprimoramento da segurança da IA de uma forma que evita os riscos de centralização associados às abordagens mais convencionais desse problema. Mas também há muitas maneiras pelas quais as suposições subjacentes podem falhar; portanto, vale a pena agir com cuidado, especialmente ao implantar esses aplicativos em contextos de alto valor e alto risco.

Estou ansioso para ver mais tentativas de casos de uso construtivos de IA em todas essas áreas, para que possamos ver quais deles são realmente viáveis em escala.

Isenção de responsabilidade:

  1. Este artigo foi reimpresso de[vitalik]. Todos os direitos autorais pertencem ao autor original[vitalik]. Se houver objeções a esta reimpressão, entre em contato com a equipe do Gate Learn, que tratará do assunto imediatamente.
  2. Isenção de responsabilidade: Os pontos de vista e opiniões expressos neste artigo são de responsabilidade exclusiva do autor e não constituem consultoria de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.

A promessa e os desafios dos aplicativos de criptografia + IA

Avançado2/8/2024, 4:58:49 AM
Este artigo explora a interseção entre criptomoeda e inteligência artificial, inclusive como as criptomoedas descentralizadas equilibram a inteligência artificial centralizada. A IA pode ajudar a identificar informações falsas e comportamento fraudulento, mas é preciso tomar cuidado para evitar abuso de poder. A IA também pode fazer parte das interfaces e regras do jogo, mas os desafios da aprendizagem de máquina adversária devem ser observados.

Agradecimentos especiais às equipes da Worldcoin e da Modulus Labs, Xinyuan Sun, Martin Koeppelmann e Illia Polosukhin pelos comentários e discussões.

Ao longo dos anos, muitas pessoas me fizeram uma pergunta semelhante: quais são as interseções entre criptografia e IA que considero mais frutíferas? É uma pergunta razoável: criptografia e IA são as duas principais tendências de tecnologia profunda (de software) da última década, e parece que deve haver algum tipo de conexão entre as duas. É fácil criar sinergias em um nível de vibração superficial: a descentralização da criptografia pode equilibrar a centralização da IA, a IA é opaca e a criptografia traz transparência, a IA precisa de dados e os blockchains são bons para armazenar e rastrear dados. Mas, ao longo dos anos, quando as pessoas me pediam para ir um pouco mais fundo e falar sobre aplicações específicas, minha resposta era decepcionante: "Sim, há algumas coisas, mas não muito".

Nos últimos três anos, com o surgimento de uma IA muito mais poderosa na forma de LLMs modernos e o surgimento de criptomoedas muito mais poderosas na forma não apenas de soluções de escalonamento de blockchain, mas também de ZKPs, FHE, MPC(bipartidário e nipartidário), estou começando a ver essa mudança. Há, de fato, algumas aplicações promissoras de IA dentro dos ecossistemas de blockchain, ou IA em conjunto com criptografia, embora seja importante ter cuidado com a forma como a IA é aplicada. Um desafio específico é: na criptografia, o código aberto é a única maneira de tornar algo realmente seguro, mas na IA, um modelo (ou mesmo seus dados de treinamento) aberto aumenta muito sua vulnerabilidade a ataques adversários de aprendizado de máquina. Esta postagem analisará uma classificação das diferentes formas de interseção entre criptografia e IA, bem como as perspectivas e os desafios de cada categoria.

Um resumo de alto nível das interseções entre criptografia e IA de uma publicação do blog da uETH. Mas o que é necessário para realmente realizar qualquer uma dessas sinergias em uma aplicação concreta?

As quatro categorias principais

A IA é um conceito muito amplo: pode-se pensar em "IA" como sendo o conjunto de algoritmos que o senhor cria não especificando-os explicitamente, mas sim mexendo em uma grande sopa computacional e colocando algum tipo de pressão de otimização que empurra a sopa para produzir algoritmos com as propriedades que o senhor deseja. Essa descrição definitivamente não deve ser vista com desdém: ela inclui o processo que nos criou como seres humanos em primeiro lugar! Mas isso significa que os algoritmos de IA têm algumas propriedades em comum: sua capacidade de fazer coisas extremamente poderosas, juntamente com limites em nossa capacidade de saber ou entender o que está acontecendo nos bastidores.

Há muitas maneiras de categorizar a IA; para os fins desta postagem, que fala sobre interações entre IA e blockchains (que foram descritas como uma plataforma para <a href="https://medium.com/@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8"> criar "jogos"), vou categorizá-la da seguinte forma:

  • IA como um jogador em um jogo [maior viabilidade]: IAs que participam de mecanismos em que a fonte final dos incentivos vem de um protocolo com informações humanas.
  • IA como uma interface para o jogo [alto potencial, mas com riscos]: As IAs ajudam os usuários a entender o mundo criptográfico ao seu redor e a garantir que seu comportamento (ou seja, o comportamento de um usuário) seja o mais adequado possível. mensagens e transações assinadas) corresponde às suas intenções e eles não são enganados ou burlados.
  • IA como as regras do jogo [com muito cuidado]: blockchains, DAOs e mecanismos semelhantes que invocam diretamente as IAs. Pense, por exemplo. "Juízes de IA"
  • IA como objetivo do jogo [prazo mais longo, mas intrigante]: projetar blockchains, DAOs e mecanismos semelhantes com o objetivo de construir e manter uma IA que possa ser usada para outros fins, usando os bits de criptografia para incentivar melhor o treinamento ou para evitar que a IA vaze dados privados ou seja mal utilizada.

Vamos examiná-las uma a uma.

IA como um jogador em um jogo

Na verdade, essa é uma categoria que existe há quase uma década, pelo menos desde que as trocas descentralizadas na cadeia (DEXes) começaram a ter um uso significativo. Sempre que há uma troca, há uma oportunidade de ganhar dinheiro por meio de arbitragem, e os bots podem fazer arbitragem muito melhor do que os humanos. Esse caso de uso existe há muito tempo, mesmo com IAs muito mais simples do que as que temos hoje, mas, em última análise, é uma interseção muito real de IA + criptografia. Mais recentemente, vimos bots de arbitragem de MEV explorando uns aos outros com frequência. Sempre que o senhor tiver um aplicativo de blockchain que envolva leilões ou negociações, terá bots de arbitragem.

Mas os bots de arbitragem de IA são apenas o primeiro exemplo de uma categoria muito maior, que espero que em breve comece a incluir muitos outros aplicativos. Conheça o AIOmen, uma demonstração de um mercado de previsões em que as IAs são participantes:

Os mercados de previsão têm sido o Santo Graal da tecnologia epistêmica há muito tempo; eu estava entusiasmado com o uso de mercados de previsão como um insumo para a governança ("futarquia") em 2014, e brinquei bastante com eles na última eleição e mais recentemente. Mas, até o momento, os mercados de previsão não decolaram muito na prática, e há uma série de razões comumente apontadas para isso: os maiores participantes costumam ser irracionais, as pessoas com o conhecimento certo não estão dispostas a dedicar tempo e apostar, a menos que haja muito dinheiro envolvido, os mercados costumam ser escassos etc.

Uma resposta a isso é apontar para os aprimoramentos contínuos de UX no Polymarket ou em outros novos mercados de previsão e esperar que eles tenham sucesso onde as iterações anteriores falharam. Afinal de contas, diz a história, as pessoas estão dispostas a apostar dezenas de bilhões em esportes, então por que as pessoas não jogariam dinheiro suficiente apostando nas eleições dos EUA ou no LK99 para que comece a fazer sentido para os jogadores sérios começarem a entrar? Mas esse argumento precisa lidar com o fato de que, bem, as iterações anteriores não conseguiram chegar a esse nível de escala (pelo menos em comparação com os sonhos de seus proponentes) e, portanto, parece que o senhor precisa de algo novo para que os mercados de previsão tenham sucesso. Portanto, uma resposta diferente é apontar para uma característica específica dos ecossistemas do mercado de previsão que podemos esperar ver na década de 2020 e que não vimos na década de 2010: a possibilidade de participação onipresente das IAs.

As IAs estão dispostas a trabalhar por menos de US$ 1 por hora e têm o conhecimento de uma enciclopédia - e, se isso não for suficiente, elas podem até ser integradas à capacidade de pesquisa na Web em tempo real. Se o senhor criar um mercado e oferecer um subsídio de liquidez de US$ 50, os seres humanos não se importarão o suficiente para fazer lances, mas milhares de IAs se aglomerarão facilmente sobre a questão e farão a melhor estimativa possível. O incentivo para fazer um bom trabalho em uma única pergunta pode ser pequeno, mas o incentivo para criar uma IA que faça boas previsões em geral pode ser da ordem de milhões. Observe que, potencialmente, o senhor nem precisa de humanos para julgar a maioria das questões: pode usar um sistema de disputa de várias rodadas semelhante ao Augur ou Kleros, em que as IAs também participariam das rodadas anteriores. Os seres humanos só precisariam responder nos poucos casos em que houvesse uma série de escaladas e grandes quantias de dinheiro tivessem sido comprometidas por ambos os lados.

Essa é uma primitiva poderosa, porque, uma vez que um "mercado de previsão" possa funcionar em uma escala microscópica, o senhor pode reutilizar a primitiva do "mercado de previsão" para muitos outros tipos de perguntas:

  • Essa publicação em mídia social é aceitável de acordo com [termos de uso]?
  • O que acontecerá com o preço da ação X (por exemplo, o preço da ação X)? ver Numerai)
  • Essa conta que está me enviando mensagens é realmente Elon Musk?
  • O envio desse trabalho em um mercado de tarefas on-line é aceitável?
  • O dapp em https://examplefinance.network é uma fraude?
  • Is 0x1b54....98c3 o endereço do token ERC20 "Casinu Inu"?

O senhor pode notar que muitas dessas ideias vão na direção do que chamei de "defesa de informações" em meus escritos sobre "d/acc". Em termos gerais, a pergunta é: como ajudamos os usuários a distinguir informações verdadeiras e falsas e a detectar fraudes, sem dar poder a uma autoridade centralizada para decidir o certo e o errado, que pode abusar dessa posição? Em um nível micro, a resposta pode ser "IA". Mas, em um nível macro, a questão é: quem constrói a IA? A IA é um reflexo do processo que a criou e, por isso, não pode evitar a existência de vieses. Portanto, é necessário um jogo de nível superior que avalie o desempenho das diferentes IAs, no qual as IAs possam participar como jogadores do jogo.

Esse uso de IA, em que as IAs participam de um mecanismo em que, em última instância, são recompensadas ou penalizadas (probabilisticamente) por um mecanismo na cadeia que reúne informações de seres humanos (chamamos isso de RLHF descentralizada baseada no mercado?), é algo que eu acho que realmente vale a pena analisar. Agora é o momento certo para analisar mais casos de uso como esse, porque o escalonamento da cadeia de blocos está finalmente sendo bem-sucedido, tornando "micro" qualquer coisa finalmente viável na cadeia, o que antes não era possível.

Uma categoria relacionada de aplicativos vai na direção de agentes altamente autônomos que usam blockchains para cooperar melhor, seja por meio de pagamentos ou do uso de contratos inteligentes para assumir compromissos confiáveis.

A IA como uma interface para o jogo

Uma ideia que mencionei em meus escritos é a ideia de que há uma oportunidade de mercado para escrever um software voltado para o usuário que proteja os interesses dos usuários interpretando e identificando perigos no mundo on-line em que o usuário está navegando. Um exemplo já existente disso é o recurso de detecção de fraudes do Metamask:

Outro exemplo é o recurso de simulação da carteira Rabby, que mostra ao usuário as consequências esperadas da transação que ele está prestes a assinar.

Rabby me explicando as consequências de assinar uma transação para trocar todo o meu "BITCOIN" (o ticker de um memecoin ERC20 cujo nome completo aparentemente é "HarryPotterObamaSonic10Inu") por ETH.

Edição 2024.02.02: uma versão anterior desta postagem se referia a esse token como uma fraude que tentava se passar por bitcoin. Não é; é uma memecoin. Peço desculpas pela confusão.

Potencialmente, esses tipos de ferramentas poderiam ser superalimentados com IA. A IA poderia dar uma explicação muito mais rica e amigável ao ser humano sobre o tipo de dapp do qual o usuário está participando, as consequências de operações mais complicadas que o usuário está assinando, se um determinado token é genuíno ou não (por exemplo, o token de um usuário é genuíno). BITCOIN não é apenas uma sequência de caracteres, é normalmente o nome de uma grande criptomoeda, que não é um token ERC20 e que tem um preço muito maior do que US$ 0,045, e um LLM moderno saberia disso), e assim por diante. Há projetos que estão começando a ir totalmente nessa direção (por exemplo, a carteira LangChain, que usa IA como interface principal). Minha opinião é que as interfaces de IA pura provavelmente são muito arriscadas no momento, pois aumentam o risco de outros tipos de erros, mas a IA que complementa uma interface mais convencional está se tornando muito viável.

Há um risco específico que vale a pena mencionar. Falarei mais sobre isso na seção "IA como regras do jogo" abaixo, mas a questão geral é o aprendizado de máquina adversário: se um usuário tiver acesso a um assistente de IA dentro de uma carteira de código aberto, os bandidos também terão acesso a esse assistente de IA e, portanto, terão oportunidade ilimitada de otimizar seus golpes para não acionar as defesas da carteira. Todas as IAs modernas têm bugs em algum lugar, e não é muito difícil para um processo de treinamento, mesmo um com acesso limitado ao modelo, encontrá-los.

É nesse ponto que "IAs participando de micromercados na cadeia" funciona melhor: cada IA individual é vulnerável aos mesmos riscos, mas o senhor está criando intencionalmente um ecossistema aberto de dezenas de pessoas que as iteram e melhoram constantemente. Além disso, cada IA individual é fechada: a segurança do sistema vem da abertura das regras do jogo, não do funcionamento interno de cada jogador.

Resumo: a IA pode ajudar os usuários a entender o que está acontecendo em linguagem simples, pode servir como um tutor em tempo real, pode proteger os usuários contra erros, mas é preciso ter cuidado ao tentar usá-la diretamente contra desinformantes e golpistas mal-intencionados.

IA como as regras do jogo

Agora, chegamos ao aplicativo com o qual muitas pessoas estão empolgadas, mas que, na minha opinião, é o mais arriscado e onde precisamos agir com mais cuidado: o que chamo de IAs fazendo parte das regras do jogo. Isso está ligado à empolgação entre as elites políticas tradicionais sobre os "juízes de IA" (por exemplo, o senhor pode ter uma ideia do que é a IA? veja este artigo no site da "Cúpula Mundial do Governo"), e há análogos desses desejos nos aplicativos de blockchain. Se um contrato inteligente baseado em blockchain ou um DAO precisar tomar uma decisão subjetiva (por exemplo, um determinado produto de trabalho é aceitável em um contrato de trabalho por encomenda? Qual é a interpretação correta de uma constituição de linguagem natural como a Lei do Otimismo das Cadeias?), o senhor poderia fazer com que uma IA simplesmente fizesse parte do contrato ou DAO para ajudar a aplicar essas regras?

É nesse ponto que o aprendizado de máquina contraditório será um desafio extremamente difícil. O argumento básico de duas frases é o seguinte:

Se um modelo de IA que desempenha um papel fundamental em um mecanismo estiver fechado, o senhor não poderá verificar seu funcionamento interno e, portanto, ele não será melhor do que um aplicativo centralizado. Se o modelo de IA estiver aberto, um invasor poderá fazer o download e simulá-lo localmente e projetar ataques altamente otimizados para enganar o modelo, que poderão ser reproduzidos na rede ativa.

Exemplo de aprendizado de máquina adversarial. Fonte: researchgate.net

Agora, os leitores frequentes deste blog (ou os habitantes do criptoverso) já devem estar se adiantando e pensando: mas espere! Temos provas sofisticadas de conhecimento zero e outras formas muito legais de criptografia. Certamente podemos fazer alguma mágica criptográfica e ocultar o funcionamento interno do modelo para que os invasores não possam otimizar os ataques, mas, ao mesmo tempo, provar que o modelo está sendo executado corretamente e foi construído usando um processo de treinamento razoável em um conjunto razoável de dados subjacentes!

Normalmente, esse é exatamente o tipo de pensamento que defendo neste blog e em meus outros escritos. Mas, no caso da computação relacionada à IA, há duas grandes objeções:

  1. Sobrecarga criptográfica: é muito menos eficiente fazer algo dentro de um SNARK (ou MPC ou...) do que fazê-lo "às claras". Considerando que a IA já é muito intensiva em termos de computação, será que fazer IA dentro de caixas pretas criptográficas é viável do ponto de vista computacional?
  2. Ataques de aprendizado de máquina adversários de caixa preta: há maneiras de otimizar ataques contra modelos de IA mesmo sem saber muito sobre o funcionamento interno do modelo. E se o senhor ocultar demais, corre o risco de tornar muito fácil para quem escolhe os dados de treinamento corromper o modelo com ataques de envenenamento.

Ambas as situações são complicadas, portanto, vamos nos aprofundar em cada uma delas.

Sobrecarga criptográfica

Os dispositivos criptográficos, especialmente os de uso geral, como ZK-SNARKs e MPC, têm uma alta sobrecarga. Um bloco Ethereum leva algumas centenas de milissegundos para ser verificado diretamente por um cliente, mas a geração de um ZK-SNARK para provar a exatidão desse bloco pode levar horas. A sobrecarga típica de outros dispositivos criptográficos, como o MPC, pode ser ainda pior. A computação de IA já é cara: os LLMs mais poderosos podem produzir palavras individuais apenas um pouco mais rápido do que os seres humanos podem lê-las, sem mencionar os custos computacionais, muitas vezes multimilionários, do treinamento dos modelos. A diferença de qualidade entre os modelos de primeira linha e os modelos que tentam economizar muito mais no custo de treinamento ou na contagem de parâmetros é grande. À primeira vista, esse é um ótimo motivo para desconfiar de todo o projeto de tentar adicionar garantias à IA envolvendo-a em criptografia.

Felizmente, porém, a IA é um tipo muito específico de computação, o que a torna passível de todos os tipos de otimizações das quais tipos de computação mais "não estruturados", como os ZK-EVMs, não podem se beneficiar. Vamos examinar a estrutura básica de um modelo de IA:

Normalmente, um modelo de IA consiste principalmente em uma série de multiplicações de matrizes intercaladas com operações não lineares por elemento, como a função ReLU(y = max(x, 0)). Assimptoticamente, as multiplicações de matrizes ocupam a maior parte do trabalho: a multiplicação de duas matrizes N*N leva

�(�2.8)

enquanto o número de operações não lineares é muito menor. Isso é realmente conveniente para a criptografia, porque muitas formas de criptografia podem fazer operações lineares (que são as multiplicações de matrizes, pelo menos se o senhor criptografar o modelo, mas não as entradas para ele) quase "de graça".

Se o senhor é um criptógrafo, provavelmente já ouviu falar de um fenômeno semelhante no contexto da criptografia homomórfica: realizar adições em textos cifrados criptografados é muito fácil, mas as multiplicações são incrivelmente difíceis e não descobrimos nenhuma maneira de fazer isso com profundidade ilimitada até 2009.

Para ZK-SNARKs, o equivalente são protocolos como este de 2013, que mostram uma sobrecarga de menos de 4x na prova de multiplicações de matrizes. Infelizmente, a sobrecarga nas camadas não lineares ainda acaba sendo significativa, e as melhores implementações na prática mostram uma sobrecarga de cerca de 200 vezes. Mas há esperança de que isso possa ser bastante reduzido por meio de mais pesquisas; veja esta apresentação de Ryan Cao para uma abordagem recente baseada em GKR e minha própria explicação simplificada de como o componente principal da GKR funciona.

Mas, em muitos aplicativos, não queremos apenas provar que uma saída de IA foi calculada corretamente, mas também queremos ocultar o modelo. Há abordagens ingênuas para isso: o senhor pode dividir o modelo de modo que um conjunto diferente de servidores armazene redundantemente cada camada e esperar que alguns dos servidores que vazam algumas das camadas não vazem muitos dados. No entanto, também existem formas surpreendentemente eficazes de computação multipartidária especializada.

Um diagrama simplificado de uma dessas abordagens, mantendo o modelo privado, mas tornando as entradas públicas. Se quisermos manter o modelo e as entradas privados, podemos fazê-lo, embora isso seja um pouco mais complicado: consulte as páginas 8 e 9 do documento.

Em ambos os casos, a moral da história é a mesma: a maior parte de uma computação de IA é a multiplicação de matrizes, para a qual é possível fazer ZK-SNARKs ou MPCs muito eficientes (ou até mesmo FHE) e, portanto, a sobrecarga total de colocar a IA dentro de caixas criptográficas é surpreendentemente baixa. Geralmente, são as camadas não lineares que representam o maior gargalo, apesar de seu tamanho menor; talvez técnicas mais recentes, como argumentos de pesquisa, possam ajudar.

Aprendizado de máquina adversarial black-box

Agora, vamos ao outro grande problema: os tipos de ataques que podem ser feitos mesmo que o conteúdo do modelo seja mantido em sigilo e o senhor tenha apenas "acesso à API" do modelo. Citando um artigo de 2016:

Muitos modelos de aprendizado de máquina são vulneráveis a exemplos adversários: entradas que são especialmente criadas para fazer com que um modelo de aprendizado de máquina produza uma saída incorreta. Os exemplos adversos que afetam um modelo geralmente afetam outro modelo, mesmo que os dois modelos tenham arquiteturas diferentes ou tenham sido treinados em conjuntos de treinamento diferentes, desde que ambos os modelos tenham sido treinados para executar a mesma tarefa. Portanto, um invasor pode treinar seu próprio modelo substituto, criar exemplos adversários contra o substituto e transferi-los para um modelo de vítima, com pouquíssimas informações sobre a vítima.

Use o acesso black-box a um "classificador de destino" para treinar e refinar seu próprio "classificador inferido" armazenado localmente. Em seguida, geramos localmente ataques otimizados contra o classificador inferido. Acontece que esses ataques geralmente também funcionam contra o classificador de destino original. Fonte do diagrama.

Potencialmente, o senhor pode até criar ataques conhecendo apenas os dados de treinamento, mesmo que tenha acesso muito limitado ou nenhum acesso ao modelo que está tentando atacar. Em 2023, esses tipos de ataques continuam a ser um grande problema.

Para reduzir efetivamente esses tipos de ataques de caixa preta, precisamos fazer duas coisas:

  1. Limite realmente quem ou o que pode consultar o modelo e quanto. As caixas pretas com acesso irrestrito à API não são seguras; as caixas pretas com acesso muito restrito à API podem ser.
  2. Oculte os dados de treinamento, preservando a confiança de que o processo usado para criar os dados de treinamento não está corrompido.

O projeto que mais se dedicou ao primeiro talvez seja o Worldcoin, do qual analisei uma versão anterior (entre outros protocolos) em detalhes aqui. A Worldcoin usa modelos de IA extensivamente no nível do protocolo para (i) converter varreduras de íris em "códigos de íris" curtos que são fáceis de comparar por similaridade e (ii) verificar se a coisa que está sendo escaneada é realmente um ser humano. A principal defesa em que a Worldcoin se baseia é o fato de não permitir que qualquer pessoa simplesmente faça chamadas para o modelo de IA: em vez disso, ela está usando hardware confiável para garantir que o modelo só aceite entradas assinadas digitalmente pela câmera do orbe.

Não há garantia de que essa abordagem funcione: acontece que é possível fazer ataques adversos contra a IA biométrica que vem na forma de adesivos físicos ou joias que o usuário pode colocar no rosto:

Use uma coisa extra em sua testa e evite ser detectado ou até mesmo se passe por outra pessoa. Fonte.

Mas a esperança é que, se o senhor combinar todas as defesas, ocultando o modelo de IA em si, limitando bastante o número de consultas e exigindo que cada consulta seja autenticada de alguma forma, poderá dificultar os ataques adversários o suficiente para que o sistema seja seguro. No caso da Worldcoin, o aumento dessas outras defesas também poderia reduzir sua dependência de hardware confiável, aumentando a descentralização do projeto.

E isso nos leva à segunda parte: como podemos ocultar os dados de treinamento? É aqui que as "DAOs para governar democraticamente a IA" podem realmente fazer sentido: podemos criar uma DAO na cadeia que governe o processo de quem tem permissão para enviar dados de treinamento (e quais atestados são exigidos nos próprios dados), quem tem permissão para fazer consultas e quantas, e usar técnicas criptográficas como MPC para criptografar todo o pipeline de criação e execução da IA, desde a entrada de treinamento de cada usuário individual até a saída final de cada consulta. Esse DAO poderia satisfazer simultaneamente o objetivo altamente popular de compensar as pessoas pelo envio de dados.

É importante reafirmar que esse plano é extremamente ambicioso e que há várias maneiras pelas quais ele pode se tornar impraticável:

  • A sobrecarga criptográfica ainda pode se tornar muito alta para que esse tipo de arquitetura totalmente "black-box" seja competitiva com as abordagens tradicionais fechadas do tipo "confie em mim".
  • Pode ser que não haja uma boa maneira de tornar o processo de envio de dados de treinamento descentralizado e protegido contra ataques de envenenamento.
  • Os gadgets de computação multipartidária podem quebrar suas garantias de segurança ou privacidade devido ao conluio dos participantes: afinal, isso já aconteceu com pontes de criptomoedas entre cadeias repetidas vezes.

Um dos motivos pelos quais não comecei esta seção com mais avisos vermelhos grandes dizendo "NÃO FAÇA JUÍZES DE IA, ISSO É DESESTOPIANO" é que nossa sociedade já é altamente dependente de juízes de IA centralizados e irresponsáveis: os algoritmos que determinam quais tipos de publicações e opiniões políticas são impulsionadas e despojadas, ou até mesmo censuradas, nas mídias sociais. Acho que expandir ainda mais essa tendência nesse estágio é uma péssima ideia, mas não acho que haja uma grande chance de a comunidade de blockchain fazer mais experimentos com IAs e contribuir para piorar a situação.

Na verdade, há algumas maneiras básicas e de baixo risco em que a tecnologia de criptografia pode melhorar até mesmo esses sistemas centralizados existentes, nas quais estou bastante confiante. Uma técnica simples é a IA verificada com publicação atrasada: quando um site de mídia social faz uma classificação de postagens baseada em IA, ele pode publicar um ZK-SNARK comprovando o hash do modelo que gerou essa classificação. O site poderia se comprometer a revelar seus modelos de IA após, por exemplo, um ano de atraso. Depois que um modelo é revelado, os usuários podem verificar o hash para verificar se o modelo correto foi lançado, e a comunidade pode executar testes no modelo para verificar sua imparcialidade. O atraso na publicação garantiria que, quando o modelo fosse revelado, ele já estaria desatualizado.

Portanto, em comparação com o mundo centralizado, a questão não é se podemos fazer melhor, mas em quanto. No entanto, para o mundo descentralizado, é importante ter cuidado: se alguém criar, por exemplo, um mercado de previsão ou uma stablecoin que use um oráculo de IA e descobrir que o oráculo pode ser atacado, isso representa uma enorme quantidade de dinheiro que pode desaparecer em um instante.

IA como o objetivo do jogo

Se as técnicas acima para a criação de uma IA privada descentralizada e escalonável, cujo conteúdo é uma caixa preta que ninguém conhece, puderem realmente funcionar, então isso também poderá ser usado para criar IAs com utilidade que vai além das blockchains. A equipe do protocolo NEAR está fazendo disso um objetivo central de seu trabalho contínuo.

Há dois motivos para fazer isso:

  1. Se for possível criar "IAs de caixa preta confiáveis" executando o processo de treinamento e inferência usando alguma combinação de blockchains e MPC, muitos aplicativos em que os usuários estão preocupados com a possibilidade de o sistema ser tendencioso ou enganá-los poderão se beneficiar disso. Muitas pessoas expressaram o desejo de ter uma governança democrática das IAs sistemicamente importantes das quais dependeremos; técnicas criptográficas e baseadas em blockchain podem ser um caminho para isso.
  2. Do ponto de vista da segurança da IA, essa seria uma técnica para criar uma IA descentralizada que também tenha um kill switch natural e que possa limitar as consultas que buscam usar a IA para comportamento malicioso.

Também vale a pena observar que "usar incentivos de criptografia para incentivar a criação de uma IA melhor" pode ser feito sem também entrar na toca do coelho de usar criptografia para criptografá-la completamente: abordagens como o BitTensor se enquadram nessa categoria.

Conclusões

Agora que tanto as blockchains quanto as IAs estão se tornando mais poderosas, há um número crescente de casos de uso na interseção das duas áreas. No entanto, alguns desses casos de uso fazem muito mais sentido e são muito mais robustos do que outros. Em geral, os casos de uso em que o mecanismo subjacente continua a ser projetado mais ou menos como antes, mas os participantes individuais se tornam IAs, permitindo que o mecanismo opere efetivamente em uma escala muito mais micro, são os mais promissores de imediato e os mais fáceis de acertar.

Os aplicativos mais difíceis de acertar são aqueles que tentam usar blockchains e técnicas criptográficas para criar um "singleton": uma única IA descentralizada e confiável da qual algum aplicativo dependeria para alguma finalidade. Esses aplicativos são promissores, tanto pela funcionalidade quanto pelo aprimoramento da segurança da IA de uma forma que evita os riscos de centralização associados às abordagens mais convencionais desse problema. Mas também há muitas maneiras pelas quais as suposições subjacentes podem falhar; portanto, vale a pena agir com cuidado, especialmente ao implantar esses aplicativos em contextos de alto valor e alto risco.

Estou ansioso para ver mais tentativas de casos de uso construtivos de IA em todas essas áreas, para que possamos ver quais deles são realmente viáveis em escala.

Isenção de responsabilidade:

  1. Este artigo foi reimpresso de[vitalik]. Todos os direitos autorais pertencem ao autor original[vitalik]. Se houver objeções a esta reimpressão, entre em contato com a equipe do Gate Learn, que tratará do assunto imediatamente.
  2. Isenção de responsabilidade: Os pontos de vista e opiniões expressos neste artigo são de responsabilidade exclusiva do autor e não constituem consultoria de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe do Gate Learn. A menos que mencionado, é proibido copiar, distribuir ou plagiar os artigos traduzidos.
Empieza ahora
¡Regístrate y recibe un bono de
$100
!