Перспективи та виклики криптовалют і додатків зі штучним інтелектом

Розширений2/8/2024, 4:58:50 AM
У цій статті досліджується перетин криптовалют і штучного інтелекту, зокрема, як децентралізовані криптовалюти врівноважують централізований штучний інтелект. ШІ може допомогти виявити фальшиву інформацію та шахрайську поведінку, але слід бути обережним, щоб уникнути зловживання владою. ШІ також може бути частиною ігрових інтерфейсів і правил, але слід зазначити проблеми, пов'язані з змагальним машинним навчанням.

Особлива подяка командам Worldcoin та Modulus Labs, Сіньюань Сунь, Мартіну Кеппельману та Іллі Полосухіну за відгуки та обговорення.

Багато людей протягом багатьох років ставили мені схоже запитання: які перетини між криптовалютою та штучним інтелектом я вважаю найбільш плідними? Це резонне запитання: криптовалюта та штучний інтелект - два головні тренди глибоких (програмних) технологій останнього десятиліття, і просто здається, що між ними має бути якийсь зв'язок. На поверхневому рівні легко виявити синергію: криптодецентралізація може врівноважити централізацію ШІ, ШІ непрозорий, а криптовалюта приносить прозорість, ШІ потребує даних, а блокчейн добре підходить для зберігання та відстеження даних. Але протягом багатьох років, коли люди просили мене копнути глибше і поговорити про конкретні застосування, моя відповідь була розчаровуючою: "Так, є кілька речей, але не так багато".

За останні три роки, з появою набагато потужнішого ШІ у вигляді сучасних LLM і набагато потужнішої криптовалюти у вигляді не лише рішень для масштабування блокчейну, а й ZKP, FHE, (двопартійних і N-партійних) MPC, я починаю помічати ці зміни. Дійсно, є кілька перспективних застосувань ШІ в екосистемах блокчейну або ШІ разом з криптографією, хоча важливо бути обережним з тим, як саме він застосовується. Особлива проблема полягає в тому, що в криптографії відкритий вихідний код - єдиний спосіб зробити щось дійсно безпечним, але в ШІ відкритість моделі (або навіть її навчальних даних) значно підвищує її вразливість до ворожих атак на машинне навчання. У цій статті ми розглянемо класифікацію різних способів перетину криптовалют і штучного інтелекту, а також перспективи та виклики кожної з цих категорій.

Короткий огляд перетинів криптовалют та АІ з блогу uETH. Але що потрібно для того, щоб реалізувати будь-яку з цих синергій у конкретному застосуванні?

Чотири основні категорії

ШІ - це дуже широке поняття: ви можете думати про "ШІ" як про набір алгоритмів, які ви створюєте, не задаючи їх явно, а скоріше перемішуючи великий обчислювальний суп і створюючи певний оптимізаційний тиск, який підштовхує суп до створення алгоритмів з потрібними вам властивостями. Цей опис точно не слід сприймати зневажливо: він включає в себе процес, який створив нас, людей, в першу чергу! Але це означає, що алгоритми ШІ мають деякі спільні властивості: здатність робити надзвичайно потужні речі, а також обмеження нашої здатності знати або розуміти, що відбувається під капотом.

Існує багато способів класифікувати ШІ; для цілей цієї публікації, яка розповідає про взаємодію між ШІ та блокчейнами (які були описані як платформа для <a href="https://medium.com/@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8"> створення "ігор"), я буду класифікувати його наступним чином:

  • ШІ як гравець у грі [найвища життєздатність]: ШІ, який бере участь у механізмах, де кінцевим джерелом стимулів є протокол з людським вкладом.
  • ШІ як інтерфейс до гри [високий потенціал, але з ризиками]: ШІ допомагає користувачам зрозуміти криптовалютний світ, що їх оточує, і гарантує, що їхня поведінка (тобто підписані повідомлення та транзакції) відповідає їхнім намірам, і вони не будуть обмануті або ошукані.
  • ШІ як правила гри [ступати дуже обережно]: блокчейни, DAO та подібні механізми, що безпосередньо звертаються до ШІ. Подумайте, наприклад. "Судді ШІ"
  • ШІ як мета гри [більш довгострокова, але інтригуюча]: розробка блокчейнів, DAO і подібних механізмів з метою побудови і підтримки ШІ, який можна використовувати для інших цілей, використовуючи криптографічні біти або для кращого стимулювання навчання, або для запобігання витоку приватних даних або зловживанню ШІ.

Давайте пройдемося по кожному з них.

ШІ як гравець у грі

Насправді це категорія, яка існує вже майже десять років, принаймні з того часу, як децентралізовані біржі (DEX) почали активно використовуватися. Завжди, коли є біржа, є можливість заробити на арбітражі, а боти вміють робити арбітраж набагато краще, ніж люди. Цей варіант використання існує вже давно, навіть з набагато простішими ШІ, ніж ті, що ми маємо сьогодні, але в кінцевому підсумку це дуже реальний перетин ШІ + криптовалюта. Останнім часом ми спостерігаємо, як арбітражні боти MEV часто експлуатують один одного. Якщо у вас є блокчейн-додаток, який передбачає аукціони або торгівлю, у вас обов'язково будуть арбітражні боти.

Але арбітражні боти зі штучним інтелектом - це лише перший приклад набагато більшої категорії, яка, як я очікую, незабаром почне включати в себе багато інших додатків. Зустрічайте AIOmen - демо-версію ринку прогнозування, де гравцями є штучний інтелект:

Ринки прогнозування вже давно є Святим Граалем епістемічних технологій; я був у захваті від використання ринків прогнозування як вкладу в управління ("футархія") ще в 2014 році, і багато грався з ними під час останніх виборів, а також нещодавно. Але поки що ринки прогнозування не надто розвинулися на практиці, і на це є низка поширених причин: найбільші учасники часто нераціональні, люди з відповідними знаннями не готові витрачати час і робити ставки, якщо мова не йде про великі гроші, ринки часто є вузькими тощо.

Одна з відповідей на це - вказати на постійні поліпшення UX в Polymarket або інших нових ринках прогнозування і сподіватися, що вони будуть успішними там, де попередні ітерації зазнали невдачі. Зрештою, люди готові ставити десятки мільярдів на спорт, то чому б їм не вкласти достатньо грошей у вибори в США чи LK99, щоб це мало сенс для серйозних гравців, які почнуть приходити? Але цей аргумент має суперечити тому факту, що попередні ітерації не змогли досягти такого рівня масштабу (принаймні порівняно з мріями їхніх прихильників), і тому здається, що потрібно щось нове, щоб зробити ринки прогнозування успішними. І тому інша відповідь полягає в тому, щоб вказати на одну особливість екосистем ринку прогнозування, яку ми можемо очікувати побачити в 2020-х роках, але не бачили в 2010-х: можливість повсюдної участі штучного інтелекту.

ШІ готові працювати менш ніж за 1 долар на годину і володіють знаннями енциклопедії - а якщо цього недостатньо, їх навіть можна інтегрувати з функцією пошуку в Інтернеті в реальному часі. Якщо ви створите ринок і виставите субсидію на ліквідність у розмірі 50 доларів, люди не будуть настільки зацікавлені, щоб брати участь у торгах, але тисячі штучних інтелектів з легкістю проаналізують це питання і зроблять найкраще припущення, яке тільки зможуть. Стимул зробити хорошу роботу з якогось одного питання може бути крихітним, але стимул створити ШІ, який робить хороші прогнози в цілому, може обчислюватися мільйонами. Зауважте, що потенційно вам навіть не потрібні люди для вирішення більшості питань: ви можете використовувати багатораундову систему суперечок, подібну до Augur або Kleros, де ШІ також братимуть участь у попередніх раундах. Людям потрібно було б реагувати лише в тих небагатьох випадках, коли відбулася серія ескалацій і обидві сторони вклали великі суми грошей.

Це потужний примітив, тому що коли "ринок прогнозів" можна змусити працювати в такому мікроскопічному масштабі, ви можете повторно використовувати примітив "ринок прогнозів" для багатьох інших типів питань:

  • Чи є ця публікація в соціальних мережах прийнятною відповідно до [умов використання]?
  • Що станеться з ціною акції X (наприклад, з ціною на акції в див. Numerai)
  • Чи дійсно цей акаунт, який зараз надсилає мені повідомлення, є Ілоном Маском?
  • Чи прийнятна така подача роботи на онлайн-маркетплейс завдань?
  • Чи є dapp за адресою https://examplefinance.network шахрайством?
  • Is 0x1b54....98c3 насправді адреса токена ERC20 "Casinu Inu"?

Ви можете помітити, що багато з цих ідей йдуть у напрямку того, що я назвав "інформаційним захистом" у своїх роботах про "d/acc". У широкому розумінні питання полягає в тому, як допомогти користувачам відрізняти правдиву інформацію від неправдивої та виявляти шахрайство, не надаючи повноважень централізованому органу вирішувати, що правильно, а що ні, який потім може зловживати цією позицією? На мікрорівні відповідь може бути "ШІ". Але на макрорівні питання полягає в тому, хто створює ШІ? ШІ є відображенням процесу, який його створив, і тому не може уникнути упередженості. Отже, існує потреба в грі вищого рівня, яка оцінює, наскільки добре працюють різні ШІ, де ШІ можуть брати участь як гравці в грі.

Таке використання ШІ, коли ШІ беруть участь у механізмі, де вони в кінцевому підсумку отримують винагороду або покарання (імовірнісно) за допомогою ланцюгового механізму, який збирає дані від людей (назвемо це децентралізованим ринковим RLHF?), - це те, що, на мою думку, справді варто вивчити. Зараз саме час розглянути подібні випадки використання, оскільки масштабування блокчейну нарешті досягло успіху, зробивши "мікро-" будь-що нарешті життєздатним в ланцюжку, коли це часто було неможливо раніше.

Пов'язана з цим категорія додатків розвивається в напрямку високоавтономних агентів, які використовують блокчейн для кращої співпраці, чи то за допомогою платежів, чи то за допомогою смарт-контрактів для прийняття надійних зобов'язань.

ШІ як інтерфейс до гри

Однією з ідей, яку я піднімав у своїх роботах , була ідея про те, що існує ринкова можливість написання програмного забезпечення, орієнтованого на користувача, яке б захищало його інтереси, інтерпретуючи та ідентифікуючи небезпеки в онлайн-світі, яким користувач переміщується. Одним з прикладів цього є функція виявлення шахрайства в Metamask:

Іншим прикладом є функція симуляції гаманця Rabby, яка показує користувачеві очікувані наслідки транзакції, яку він збирається підписати.

Кролик пояснює мені наслідки підписання угоди про обмін всіх моїх "BITCOIN" (тикер мемкоіна ERC20, повна назва якого, очевидно, "HarryPotterObamaSonic10Inu") на ETH.

Редагування 2024.02.02: у попередній версії цього допису цей токен було названо шахрайством, що намагається видати себе за біткоїн. Це не так, це мемекоїн. Перепрошуємо за плутанину.

Потенційно такі інструменти можуть бути суперзарядженими за допомогою ШІ. ШІ міг би дати набагато більше зрозумілих людині пояснень про те, в якому даппі ви берете участь, про наслідки більш складних операцій, які ви підписуєте, про те, чи є конкретний токен справжнім (наприклад, про те, чи є він справжнім, чи ні). BITCOIN - це не просто рядок символів, це зазвичай назва основної криптовалюти, яка не є токеном ERC20 і має ціну набагато вищу, ніж $0,045 (і сучасний LLM знає про це), і так далі. Існують проекти, які починають йти в цьому напрямку (наприклад, гаманець LangChain, який використовує ШІ як основний інтерфейс). Моя особиста думка полягає в тому, що чисті інтерфейси зі штучним інтелектом наразі, ймовірно, занадто ризиковані, оскільки це збільшує ризик інших видів помилок, але штучний інтелект, що доповнює більш традиційний інтерфейс, стає дуже життєздатним.

Існує один особливий ризик, про який варто згадати. Я докладніше розгляну це питання в розділі "ШІ як правила гри" нижче, але загальна проблема полягає в змагальному машинному навчанні: якщо користувач має доступ до ШІ-помічника всередині гаманця з відкритим вихідним кодом, зловмисники також матимуть доступ до цього ШІ-помічника, а отже, вони матимуть необмежену можливість оптимізувати свої шахрайські дії, щоб не спрацьовував захист цього гаманця. У всіх сучасних ШІ десь є помилки, і для процесу навчання, навіть з обмеженим доступом до моделі, знайти їх не так вже й складно.

Саме тут "ШІ, що беруть участь у мережевих мікроринках" працює краще: кожен окремий ШІ вразливий до тих самих ризиків, але ви навмисно створюєте відкриту екосистему з десятків людей, які постійно ітеративно вдосконалюють їх на постійній основі. Крім того, кожен окремий ШІ є закритим: безпека системи забезпечується відкритістю правил гри, а не внутрішньою роботою кожного гравця.

Резюме: ШІ може допомогти користувачам зрозуміти, що відбувається, простою мовою, він може служити репетитором у режимі реального часу, він може захистити користувачів від помилок, але будьте обережні, намагаючись використовувати його безпосередньо проти зловмисних дезінформаторів і шахраїв.

ШІ як правила гри

Тепер ми підійшли до застосування, яке багато людей в захваті, але яке, на мою думку, є найбільш ризикованим, і де ми повинні діяти найбільш обережно: те, що я називаю штучним інтелектом, який є частиною правил гри. Це пов'язано з ажіотажем серед основних політичних еліт щодо "суддів зі штучним інтелектом" (напр. див. цю статтю на сайті "Всесвітнього саміту урядів"), і аналоги цих бажань є в блокчейн-додатках. Якщо смарт-контракту на основі блокчейну або DAO необхідно прийняти суб'єктивне рішення (наприклад, чи є певний робочий продукт прийнятним у договорі найму? Яка правильна інтерпретація природно-мовної конституції, наприклад, закону оптимізму ланцюжків?), чи можна зробити ШІ просто частиною контракту або DAO, щоб він допомагав виконувати ці правила?

Саме тут змагальне машинне навчання буде надзвичайно складним завданням. Основний аргумент, який складається з двох речень, полягає в наступному:

Якщо модель ШІ, яка відіграє ключову роль у механізмі, закрита, ви не можете перевірити її внутрішню роботу, а отже, вона нічим не краща за централізовану програму. Якщо модель ШІ відкрита, зловмисник може завантажити і змоделювати її локально, а також розробити ретельно оптимізовані атаки, щоб обдурити модель, які потім можна відтворити в реальній мережі.

Приклад змагального машинного навчання. Джерело: researchgate.net

Можливо, постійні читачі цього блогу (або мешканці криптовалют) вже випереджають мене і думають: але зачекайте! У нас є чудові докази з нульовим знанням та інші дійсно круті форми криптографії. Звісно, ми можемо трохи поворожити і приховати внутрішню роботу моделі, щоб зловмисники не могли оптимізувати атаки, але при цьому довести, що модель виконується правильно, і була побудована за допомогою розумного процесу навчання на розумному наборі вихідних даних!

Зазвичай, це саме той тип мислення, який я відстоюю як у цьому блозі, так і в інших своїх роботах. Але у випадку з обчисленнями, пов'язаними зі штучним інтелектом, є два основних заперечення:

  1. Криптографічні накладні витрати: набагато менш ефективно робити щось всередині SNARK (або MPC, або...), ніж робити це "відкрито". З огляду на те, що ШІ вже зараз є дуже обчислювально-інтенсивним, чи є створення ШІ всередині криптографічних чорних ящиків взагалі обчислювально життєздатним?
  2. Атаки з використанням "чорного ящика": існують способи оптимізувати атаки на моделі ШІ, навіть не знаючи багато про внутрішню роботу моделі. А якщо ви приховуєте занадто багато, ви ризикуєте зробити так, щоб той, хто обирає навчальні дані, міг легко зіпсувати модель за допомогою отруйних атак.

Обидва ці варіанти є складними кролячими норами, тож давайте зазирнемо в кожну з них по черзі.

Криптографічні накладні витрати

Криптографічні гаджети, особливо загального призначення, такі як ZK-SNARK та MPC, мають високі накладні витрати. Безпосередня перевірка блоку Ethereum займає кілька сотень мілісекунд, але генерація ZK-SNARK для підтвердження правильності такого блоку може зайняти години. Типові накладні витрати інших криптографічних гаджетів, таких як MPC, можуть бути ще гіршими. Обчислення ШІ вже є дорогими: найпотужніші ШНМ можуть виводити окремі слова лише трохи швидше, ніж людина може їх прочитати, не кажучи вже про багатомільйонні обчислювальні витрати на навчання моделей. Різниця в якості між моделями найвищого рівня та моделями, які намагаються значно заощадити на вартості навчання або кількості параметрів, є великою. На перший погляд, це дуже вагома причина для того, щоб поставитися з підозрою до всього проекту, який намагається додати гарантій ШІ, загорнувши його в криптографію.

На щастя, ШІ є дуже специфічним типом обчислень, що робить його піддатливим до всіх видів оптимізації, від яких не можуть виграти більш "неструктуровані" типи обчислень, такі як ZK-EVM. Розглянемо базову структуру моделі ШІ:

Зазвичай модель ШІ здебільшого складається з серії матричних множень, що перемежовуються з поелементними нелінійними операціями, такими як функція ReLU(y = max(x, 0)). Асимптотично, множення матриць займає більшу частину роботи: множення двох N*N матриць займає

�(�2.8)

часу, тоді як кількість нелінійних операцій значно менша. Це дійсно зручно для криптографії, тому що багато форм криптографії можуть виконувати лінійні операції (якими є матричні множення, принаймні, якщо ви шифруєте модель, а не входи до неї) майже "безкоштовно".

Якщо ви криптограф, то напевно вже чули про подібне явище в контексті гомоморфного шифрування: виконувати додавання над зашифрованими текстами дуже легко, але множення - неймовірно складно, і до 2009 року ми так і не придумали, як це взагалі можна робити з необмеженою глибиною.

Для ZK-SNARK еквівалентом є протоколи на кшталт цього від 2013 року, які показують менш ніж 4-кратне перевищення накладних витрат на доведення матричних множень. На жаль, накладні витрати на нелінійні шари все ще залишаються значними, і найкращі реалізації на практиці показують накладні витрати близько 200x. Але є надія, що цей показник може бути значно зменшений завдяки подальшим дослідженням; див. цю презентацію Райана Цао про нещодавній підхід, заснований на GKR, і моє власне спрощене пояснення того, як працює основний компонент GKR.

Але для багатьох додатків ми не просто хочемо довести, що результат ШІ був обчислений правильно, ми також хочемо приховати модель. Існують наївні підходи до цього: ви можете розділити модель так, щоб кожен рівень зберігався на різних серверах, і сподіватися, що деякі з серверів, які витікають з деяких рівнів, не витікають занадто багато даних. Але існують також напрочуд ефективні форми спеціалізованих багатопартійних обчислень.

Спрощена схема одного з цих підходів, який зберігає модель приватною, але робить вхідні дані публічними. Якщо ми хочемо зберегти модель та вхідні дані приватними, ми можемо це зробити, хоча це дещо складніше: див. сторінки 8-9 статті.

В обох випадках мораль історії однакова: більша частина обчислень ШІ - це матричні множення, для яких можна створити дуже ефективні ZK-SNARK або MPC (або навіть FHE), і тому загальні накладні витрати, пов'язані з розміщенням ШІ в криптографічних ящиках, є напрочуд низькими. Як правило, саме нелінійні шари є найбільшим вузьким місцем, незважаючи на їхній менший розмір; можливо, тут можуть допомогти новіші методи, такі як аргументи пошуку.

Навчання з чорним ящиком і змагальним машинним навчанням

Тепер перейдемо до іншої великої проблеми: типи атак, які можна здійснити, навіть якщо вміст моделі зберігається в таємниці і у вас є лише "API-доступ" до моделі. Цитую статтю з 2016 року:

Багато моделей машинного навчання вразливі до негативних прикладів: вхідних даних, які спеціально створені для того, щоб змусити модель машинного навчання видавати неправильний результат. Приклади, які впливають на одну модель, часто впливають на іншу модель, навіть якщо ці дві моделі мають різні архітектури або були навчені на різних навчальних наборах, за умови, що обидві моделі були навчені виконувати одне й те саме завдання. Таким чином, зловмисник може тренувати власну модель-замінник, створювати приклади протистояння з ним і переносити їх на модель-жертву, маючи дуже мало інформації про жертву.

Використовуйте доступ до "цільового класифікатора" через "чорну скриньку", щоб тренувати та вдосконалювати власний локально збережений "вивідний класифікатор". Потім локально згенеруйте оптимізовані атаки на виведений класифікатор. Виявляється, ці атаки часто також працюють проти початкового цільового класифікатора. Джерело діаграми.

Потенційно ви навіть можете створювати атаки, знаючи лише навчальні дані, навіть якщо у вас дуже обмежений доступ до моделі, яку ви намагаєтеся атакувати, або взагалі немає доступу до неї. Станом на 2023 рік ці види атак продовжують залишатися великою проблемою.

Щоб ефективно стримувати такі атаки на "чорні скриньки", нам потрібно зробити дві речі:

  1. Дійсно обмежте, хто або що може запитувати модель і в якому обсязі. Чорні скриньки з необмеженим доступом до API не є безпечними; чорні скриньки з дуже обмеженим доступом до API можуть бути безпечними.
  2. Приховати навчальні дані, зберігаючи впевненість у тому, що процес, який використовується для створення навчальних даних, не пошкоджено.

Проект, який зробив найбільше для першого з них - це, мабуть, Worldcoin, більш ранню версію якого (серед інших протоколів) я детально аналізую тут. Worldcoin широко використовує моделі штучного інтелекту на рівні протоколу, щоб (i) перетворювати сканування райдужної оболонки ока в короткі "коди райдужної оболонки", які легко порівнювати на схожість, і (ii) перевіряти, що об'єкт, який сканується, дійсно є людиною. Основний захист, на який покладається Worldcoin, полягає в тому, що він не дозволяє будь-кому просто зателефонувати в модель штучного інтелекту: скоріше, він використовує надійне обладнання, щоб гарантувати, що модель приймає тільки вхідні дані, підписані цифровою камерою кулі.

Такий підхід не гарантує, що він спрацює: виявляється, проти біометричного ШІ можна здійснювати ворожі атаки у вигляді фізичних пластирів або прикрас, які можна надягати на обличчя:

Носіть додаткову річ на лобі і уникайте виявлення або навіть видавайте себе за когось іншого. Джерело.

Але є надія, що якщо об'єднати всі засоби захисту разом, приховуючи саму модель ШІ, значно обмежуючи кількість запитів і вимагаючи, щоб кожен запит був якимось чином аутентифікований, то можна зробити ворожі атаки досить складними, щоб система була захищеною. У випадку з Worldcoin, збільшення цих інших засобів захисту може також зменшити залежність від надійного апаратного забезпечення, збільшуючи децентралізацію проекту.

І це підводить нас до другої частини: як ми можемо приховати навчальні дані? Ось де "DAO для демократичного управління ШІ" може мати сенс: ми можемо створити мережеву DAO, яка керуватиме процесом того, кому дозволено подавати навчальні дані (і які атестації потрібні для самих даних), кому дозволено робити запити і скільки, і використовувати криптографічні методи, такі як MPC, щоб зашифрувати весь конвеєр створення і запуску ШІ, починаючи з навчальних даних кожного окремого користувача і закінчуючи кінцевим виходом кожного запиту. Цей DAO міг би одночасно задовольнити дуже популярну мету - винагородити людей за надання даних.

Важливо ще раз підкреслити, що цей план дуже амбітний, і є багато причин, чому він може виявитися нездійсненним:

  • Криптографічні накладні витрати все одно можуть виявитися занадто високими, щоб така архітектура з повністю чорним ящиком могла конкурувати з традиційними закритими підходами "довіряй мені".
  • Може виявитися, що немає хорошого способу зробити процес подання навчальних даних децентралізованим і захищеним від атак отруєння.
  • Багатосторонні обчислювальні гаджети можуть порушити свої гарантії безпеки або конфіденційності через змову учасників: зрештою, це неодноразово траплялося з крос-ланцюговими криптовалютними мостами.

Одна з причин, чому я не почав цей розділ з великих червоних попереджувальних написів: "Не використовуйте ШІ-суддів, це безперспективно", полягає в тому, що наше суспільство вже сильно залежить від непідзвітних централізованих ШІ-суддів: алгоритмів, які визначають, які пости і політичні погляди будуть просуватися, а які ні, або навіть піддаватися цензурі в соціальних мережах. Я вважаю, що подальше розширення цієї тенденції на даному етапі є досить поганою ідеєю, але я не думаю, що існує велика ймовірність того, що блокчейн-спільнота, яка більше експериментує зі штучним інтелектом, сприятиме погіршенню ситуації.

Насправді, є кілька основних способів з низьким рівнем ризику, за допомогою яких криптотехнології можуть покращити навіть існуючі централізовані системи, в яких я цілком впевнений. Одна з простих методик - перевірений ШІ з відкладеною публікацією: коли соціальна мережа складає рейтинг постів на основі ШІ, вона може опублікувати ZK-SNARK, що підтверджує хеш моделі, яка згенерувала цей рейтинг. Сайт може взяти на себе зобов'язання розкрити свої моделі ШІ після, наприклад, річної затримки. Після оприлюднення моделі користувачі можуть перевірити хеш, щоб переконатися, що була випущена правильна модель, а спільнота може запустити тести на моделі, щоб перевірити її справедливість. Затримка з публікацією призведе до того, що на той час, коли модель буде оприлюднена, вона вже буде застарілою.

Отже, порівняно з централізованим світом, питання не в тому, чи можемо ми зробити краще, а в тому, наскільки. У децентралізованому світі, однак, важливо бути обережним: якщо хтось створить, наприклад, ринок прогнозів або стейблкоїн, який використовує оракул зі штучним інтелектом, і виявиться, що оракул піддається атакам, це величезна сума грошей, яка може зникнути в одну мить.

ШІ як мета гри

Якщо описані вище методи створення масштабованого децентралізованого приватного ШІ, вміст якого є нікому не відомим "чорним ящиком", дійсно працюють, то їх також можна використовувати для створення ШІ, корисність яких виходить за рамки блокчейну. Команда протоколу NEAR робить це основною метою своєї поточної роботи.

Для цього є дві причини:

  1. Якщо ви зможете створити "надійний ШІ з чорним ящиком", запустивши процес навчання і висновків за допомогою певної комбінації блокчейнів і MPC, то багато додатків, де користувачі стурбовані тим, що система може бути упередженою або обманювати їх, зможуть отримати вигоду від цього. Багато людей висловлюють бажання демократичного управління системно важливими ШІ, від яких ми будемо залежати; криптографічні та блокчейн-технології можуть стати шляхом до цього.
  2. З точки зору безпеки ШІ, це був би метод створення децентралізованого ШІ, який також має природний вимикач, і який міг би обмежити запити, що намагаються використовувати ШІ для зловмисної поведінки.

Варто також зазначити, що "використання крипто-стимулів для заохочення створення кращого ШІ" можна зробити, не занурюючись у кролячу нору використання криптографії для повного шифрування: такі підходи, як BitTensor, підпадають під цю категорію.

Висновки

Зараз, коли і блокчейн, і штучний інтелект стають все більш потужними, зростає кількість кейсів використання на перетині цих двох сфер. Однак деякі з цих випадків використання мають набагато більше сенсу і є набагато надійнішими, ніж інші. Загалом, найбільш перспективними і найпростішими у використанні є випадки, коли основний механізм залишається приблизно таким же, як і раніше, але окремі гравці стають штучними інтелектами, що дозволяє механізму ефективно працювати на набагато меншому мікрорівні.

Найскладнішими є додатки, які намагаються використовувати блокчейн і криптографічні методи для створення "синглетону": єдиного децентралізованого довіреного ШІ, на який покладається певна програма для певних цілей. Ці програми є перспективними як з точки зору функціональності, так і з точки зору підвищення безпеки ШІ таким чином, щоб уникнути ризиків централізації, пов'язаних з більш поширеними підходами до цієї проблеми. Але є також багато способів, за яких основні припущення можуть не виправдатися; отже, варто бути обережними, особливо при розгортанні цих додатків у контекстах з високою вартістю та високим ризиком.

Я з нетерпінням чекаю на нові спроби конструктивного використання ШІ у всіх цих сферах, щоб ми могли побачити, які з них дійсно життєздатні в масштабах.

Відмова від відповідальності:.

  1. Ця стаття передрукована з[vitalik]. Всі авторські права належать первинному автору[vitalik]. Якщо у вас є заперечення щодо цього передруку, будь ласка, зв'яжіться з командою Gate Learn, і вони оперативно його опрацюють.
  2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, належать виключно автору і не є інвестиційною порадою.
  3. Переклади статті іншими мовами виконані командою Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонені.

Перспективи та виклики криптовалют і додатків зі штучним інтелектом

Розширений2/8/2024, 4:58:50 AM
У цій статті досліджується перетин криптовалют і штучного інтелекту, зокрема, як децентралізовані криптовалюти врівноважують централізований штучний інтелект. ШІ може допомогти виявити фальшиву інформацію та шахрайську поведінку, але слід бути обережним, щоб уникнути зловживання владою. ШІ також може бути частиною ігрових інтерфейсів і правил, але слід зазначити проблеми, пов'язані з змагальним машинним навчанням.

Особлива подяка командам Worldcoin та Modulus Labs, Сіньюань Сунь, Мартіну Кеппельману та Іллі Полосухіну за відгуки та обговорення.

Багато людей протягом багатьох років ставили мені схоже запитання: які перетини між криптовалютою та штучним інтелектом я вважаю найбільш плідними? Це резонне запитання: криптовалюта та штучний інтелект - два головні тренди глибоких (програмних) технологій останнього десятиліття, і просто здається, що між ними має бути якийсь зв'язок. На поверхневому рівні легко виявити синергію: криптодецентралізація може врівноважити централізацію ШІ, ШІ непрозорий, а криптовалюта приносить прозорість, ШІ потребує даних, а блокчейн добре підходить для зберігання та відстеження даних. Але протягом багатьох років, коли люди просили мене копнути глибше і поговорити про конкретні застосування, моя відповідь була розчаровуючою: "Так, є кілька речей, але не так багато".

За останні три роки, з появою набагато потужнішого ШІ у вигляді сучасних LLM і набагато потужнішої криптовалюти у вигляді не лише рішень для масштабування блокчейну, а й ZKP, FHE, (двопартійних і N-партійних) MPC, я починаю помічати ці зміни. Дійсно, є кілька перспективних застосувань ШІ в екосистемах блокчейну або ШІ разом з криптографією, хоча важливо бути обережним з тим, як саме він застосовується. Особлива проблема полягає в тому, що в криптографії відкритий вихідний код - єдиний спосіб зробити щось дійсно безпечним, але в ШІ відкритість моделі (або навіть її навчальних даних) значно підвищує її вразливість до ворожих атак на машинне навчання. У цій статті ми розглянемо класифікацію різних способів перетину криптовалют і штучного інтелекту, а також перспективи та виклики кожної з цих категорій.

Короткий огляд перетинів криптовалют та АІ з блогу uETH. Але що потрібно для того, щоб реалізувати будь-яку з цих синергій у конкретному застосуванні?

Чотири основні категорії

ШІ - це дуже широке поняття: ви можете думати про "ШІ" як про набір алгоритмів, які ви створюєте, не задаючи їх явно, а скоріше перемішуючи великий обчислювальний суп і створюючи певний оптимізаційний тиск, який підштовхує суп до створення алгоритмів з потрібними вам властивостями. Цей опис точно не слід сприймати зневажливо: він включає в себе процес, який створив нас, людей, в першу чергу! Але це означає, що алгоритми ШІ мають деякі спільні властивості: здатність робити надзвичайно потужні речі, а також обмеження нашої здатності знати або розуміти, що відбувається під капотом.

Існує багато способів класифікувати ШІ; для цілей цієї публікації, яка розповідає про взаємодію між ШІ та блокчейнами (які були описані як платформа для <a href="https://medium.com/@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8"> створення "ігор"), я буду класифікувати його наступним чином:

  • ШІ як гравець у грі [найвища життєздатність]: ШІ, який бере участь у механізмах, де кінцевим джерелом стимулів є протокол з людським вкладом.
  • ШІ як інтерфейс до гри [високий потенціал, але з ризиками]: ШІ допомагає користувачам зрозуміти криптовалютний світ, що їх оточує, і гарантує, що їхня поведінка (тобто підписані повідомлення та транзакції) відповідає їхнім намірам, і вони не будуть обмануті або ошукані.
  • ШІ як правила гри [ступати дуже обережно]: блокчейни, DAO та подібні механізми, що безпосередньо звертаються до ШІ. Подумайте, наприклад. "Судді ШІ"
  • ШІ як мета гри [більш довгострокова, але інтригуюча]: розробка блокчейнів, DAO і подібних механізмів з метою побудови і підтримки ШІ, який можна використовувати для інших цілей, використовуючи криптографічні біти або для кращого стимулювання навчання, або для запобігання витоку приватних даних або зловживанню ШІ.

Давайте пройдемося по кожному з них.

ШІ як гравець у грі

Насправді це категорія, яка існує вже майже десять років, принаймні з того часу, як децентралізовані біржі (DEX) почали активно використовуватися. Завжди, коли є біржа, є можливість заробити на арбітражі, а боти вміють робити арбітраж набагато краще, ніж люди. Цей варіант використання існує вже давно, навіть з набагато простішими ШІ, ніж ті, що ми маємо сьогодні, але в кінцевому підсумку це дуже реальний перетин ШІ + криптовалюта. Останнім часом ми спостерігаємо, як арбітражні боти MEV часто експлуатують один одного. Якщо у вас є блокчейн-додаток, який передбачає аукціони або торгівлю, у вас обов'язково будуть арбітражні боти.

Але арбітражні боти зі штучним інтелектом - це лише перший приклад набагато більшої категорії, яка, як я очікую, незабаром почне включати в себе багато інших додатків. Зустрічайте AIOmen - демо-версію ринку прогнозування, де гравцями є штучний інтелект:

Ринки прогнозування вже давно є Святим Граалем епістемічних технологій; я був у захваті від використання ринків прогнозування як вкладу в управління ("футархія") ще в 2014 році, і багато грався з ними під час останніх виборів, а також нещодавно. Але поки що ринки прогнозування не надто розвинулися на практиці, і на це є низка поширених причин: найбільші учасники часто нераціональні, люди з відповідними знаннями не готові витрачати час і робити ставки, якщо мова не йде про великі гроші, ринки часто є вузькими тощо.

Одна з відповідей на це - вказати на постійні поліпшення UX в Polymarket або інших нових ринках прогнозування і сподіватися, що вони будуть успішними там, де попередні ітерації зазнали невдачі. Зрештою, люди готові ставити десятки мільярдів на спорт, то чому б їм не вкласти достатньо грошей у вибори в США чи LK99, щоб це мало сенс для серйозних гравців, які почнуть приходити? Але цей аргумент має суперечити тому факту, що попередні ітерації не змогли досягти такого рівня масштабу (принаймні порівняно з мріями їхніх прихильників), і тому здається, що потрібно щось нове, щоб зробити ринки прогнозування успішними. І тому інша відповідь полягає в тому, щоб вказати на одну особливість екосистем ринку прогнозування, яку ми можемо очікувати побачити в 2020-х роках, але не бачили в 2010-х: можливість повсюдної участі штучного інтелекту.

ШІ готові працювати менш ніж за 1 долар на годину і володіють знаннями енциклопедії - а якщо цього недостатньо, їх навіть можна інтегрувати з функцією пошуку в Інтернеті в реальному часі. Якщо ви створите ринок і виставите субсидію на ліквідність у розмірі 50 доларів, люди не будуть настільки зацікавлені, щоб брати участь у торгах, але тисячі штучних інтелектів з легкістю проаналізують це питання і зроблять найкраще припущення, яке тільки зможуть. Стимул зробити хорошу роботу з якогось одного питання може бути крихітним, але стимул створити ШІ, який робить хороші прогнози в цілому, може обчислюватися мільйонами. Зауважте, що потенційно вам навіть не потрібні люди для вирішення більшості питань: ви можете використовувати багатораундову систему суперечок, подібну до Augur або Kleros, де ШІ також братимуть участь у попередніх раундах. Людям потрібно було б реагувати лише в тих небагатьох випадках, коли відбулася серія ескалацій і обидві сторони вклали великі суми грошей.

Це потужний примітив, тому що коли "ринок прогнозів" можна змусити працювати в такому мікроскопічному масштабі, ви можете повторно використовувати примітив "ринок прогнозів" для багатьох інших типів питань:

  • Чи є ця публікація в соціальних мережах прийнятною відповідно до [умов використання]?
  • Що станеться з ціною акції X (наприклад, з ціною на акції в див. Numerai)
  • Чи дійсно цей акаунт, який зараз надсилає мені повідомлення, є Ілоном Маском?
  • Чи прийнятна така подача роботи на онлайн-маркетплейс завдань?
  • Чи є dapp за адресою https://examplefinance.network шахрайством?
  • Is 0x1b54....98c3 насправді адреса токена ERC20 "Casinu Inu"?

Ви можете помітити, що багато з цих ідей йдуть у напрямку того, що я назвав "інформаційним захистом" у своїх роботах про "d/acc". У широкому розумінні питання полягає в тому, як допомогти користувачам відрізняти правдиву інформацію від неправдивої та виявляти шахрайство, не надаючи повноважень централізованому органу вирішувати, що правильно, а що ні, який потім може зловживати цією позицією? На мікрорівні відповідь може бути "ШІ". Але на макрорівні питання полягає в тому, хто створює ШІ? ШІ є відображенням процесу, який його створив, і тому не може уникнути упередженості. Отже, існує потреба в грі вищого рівня, яка оцінює, наскільки добре працюють різні ШІ, де ШІ можуть брати участь як гравці в грі.

Таке використання ШІ, коли ШІ беруть участь у механізмі, де вони в кінцевому підсумку отримують винагороду або покарання (імовірнісно) за допомогою ланцюгового механізму, який збирає дані від людей (назвемо це децентралізованим ринковим RLHF?), - це те, що, на мою думку, справді варто вивчити. Зараз саме час розглянути подібні випадки використання, оскільки масштабування блокчейну нарешті досягло успіху, зробивши "мікро-" будь-що нарешті життєздатним в ланцюжку, коли це часто було неможливо раніше.

Пов'язана з цим категорія додатків розвивається в напрямку високоавтономних агентів, які використовують блокчейн для кращої співпраці, чи то за допомогою платежів, чи то за допомогою смарт-контрактів для прийняття надійних зобов'язань.

ШІ як інтерфейс до гри

Однією з ідей, яку я піднімав у своїх роботах , була ідея про те, що існує ринкова можливість написання програмного забезпечення, орієнтованого на користувача, яке б захищало його інтереси, інтерпретуючи та ідентифікуючи небезпеки в онлайн-світі, яким користувач переміщується. Одним з прикладів цього є функція виявлення шахрайства в Metamask:

Іншим прикладом є функція симуляції гаманця Rabby, яка показує користувачеві очікувані наслідки транзакції, яку він збирається підписати.

Кролик пояснює мені наслідки підписання угоди про обмін всіх моїх "BITCOIN" (тикер мемкоіна ERC20, повна назва якого, очевидно, "HarryPotterObamaSonic10Inu") на ETH.

Редагування 2024.02.02: у попередній версії цього допису цей токен було названо шахрайством, що намагається видати себе за біткоїн. Це не так, це мемекоїн. Перепрошуємо за плутанину.

Потенційно такі інструменти можуть бути суперзарядженими за допомогою ШІ. ШІ міг би дати набагато більше зрозумілих людині пояснень про те, в якому даппі ви берете участь, про наслідки більш складних операцій, які ви підписуєте, про те, чи є конкретний токен справжнім (наприклад, про те, чи є він справжнім, чи ні). BITCOIN - це не просто рядок символів, це зазвичай назва основної криптовалюти, яка не є токеном ERC20 і має ціну набагато вищу, ніж $0,045 (і сучасний LLM знає про це), і так далі. Існують проекти, які починають йти в цьому напрямку (наприклад, гаманець LangChain, який використовує ШІ як основний інтерфейс). Моя особиста думка полягає в тому, що чисті інтерфейси зі штучним інтелектом наразі, ймовірно, занадто ризиковані, оскільки це збільшує ризик інших видів помилок, але штучний інтелект, що доповнює більш традиційний інтерфейс, стає дуже життєздатним.

Існує один особливий ризик, про який варто згадати. Я докладніше розгляну це питання в розділі "ШІ як правила гри" нижче, але загальна проблема полягає в змагальному машинному навчанні: якщо користувач має доступ до ШІ-помічника всередині гаманця з відкритим вихідним кодом, зловмисники також матимуть доступ до цього ШІ-помічника, а отже, вони матимуть необмежену можливість оптимізувати свої шахрайські дії, щоб не спрацьовував захист цього гаманця. У всіх сучасних ШІ десь є помилки, і для процесу навчання, навіть з обмеженим доступом до моделі, знайти їх не так вже й складно.

Саме тут "ШІ, що беруть участь у мережевих мікроринках" працює краще: кожен окремий ШІ вразливий до тих самих ризиків, але ви навмисно створюєте відкриту екосистему з десятків людей, які постійно ітеративно вдосконалюють їх на постійній основі. Крім того, кожен окремий ШІ є закритим: безпека системи забезпечується відкритістю правил гри, а не внутрішньою роботою кожного гравця.

Резюме: ШІ може допомогти користувачам зрозуміти, що відбувається, простою мовою, він може служити репетитором у режимі реального часу, він може захистити користувачів від помилок, але будьте обережні, намагаючись використовувати його безпосередньо проти зловмисних дезінформаторів і шахраїв.

ШІ як правила гри

Тепер ми підійшли до застосування, яке багато людей в захваті, але яке, на мою думку, є найбільш ризикованим, і де ми повинні діяти найбільш обережно: те, що я називаю штучним інтелектом, який є частиною правил гри. Це пов'язано з ажіотажем серед основних політичних еліт щодо "суддів зі штучним інтелектом" (напр. див. цю статтю на сайті "Всесвітнього саміту урядів"), і аналоги цих бажань є в блокчейн-додатках. Якщо смарт-контракту на основі блокчейну або DAO необхідно прийняти суб'єктивне рішення (наприклад, чи є певний робочий продукт прийнятним у договорі найму? Яка правильна інтерпретація природно-мовної конституції, наприклад, закону оптимізму ланцюжків?), чи можна зробити ШІ просто частиною контракту або DAO, щоб він допомагав виконувати ці правила?

Саме тут змагальне машинне навчання буде надзвичайно складним завданням. Основний аргумент, який складається з двох речень, полягає в наступному:

Якщо модель ШІ, яка відіграє ключову роль у механізмі, закрита, ви не можете перевірити її внутрішню роботу, а отже, вона нічим не краща за централізовану програму. Якщо модель ШІ відкрита, зловмисник може завантажити і змоделювати її локально, а також розробити ретельно оптимізовані атаки, щоб обдурити модель, які потім можна відтворити в реальній мережі.

Приклад змагального машинного навчання. Джерело: researchgate.net

Можливо, постійні читачі цього блогу (або мешканці криптовалют) вже випереджають мене і думають: але зачекайте! У нас є чудові докази з нульовим знанням та інші дійсно круті форми криптографії. Звісно, ми можемо трохи поворожити і приховати внутрішню роботу моделі, щоб зловмисники не могли оптимізувати атаки, але при цьому довести, що модель виконується правильно, і була побудована за допомогою розумного процесу навчання на розумному наборі вихідних даних!

Зазвичай, це саме той тип мислення, який я відстоюю як у цьому блозі, так і в інших своїх роботах. Але у випадку з обчисленнями, пов'язаними зі штучним інтелектом, є два основних заперечення:

  1. Криптографічні накладні витрати: набагато менш ефективно робити щось всередині SNARK (або MPC, або...), ніж робити це "відкрито". З огляду на те, що ШІ вже зараз є дуже обчислювально-інтенсивним, чи є створення ШІ всередині криптографічних чорних ящиків взагалі обчислювально життєздатним?
  2. Атаки з використанням "чорного ящика": існують способи оптимізувати атаки на моделі ШІ, навіть не знаючи багато про внутрішню роботу моделі. А якщо ви приховуєте занадто багато, ви ризикуєте зробити так, щоб той, хто обирає навчальні дані, міг легко зіпсувати модель за допомогою отруйних атак.

Обидва ці варіанти є складними кролячими норами, тож давайте зазирнемо в кожну з них по черзі.

Криптографічні накладні витрати

Криптографічні гаджети, особливо загального призначення, такі як ZK-SNARK та MPC, мають високі накладні витрати. Безпосередня перевірка блоку Ethereum займає кілька сотень мілісекунд, але генерація ZK-SNARK для підтвердження правильності такого блоку може зайняти години. Типові накладні витрати інших криптографічних гаджетів, таких як MPC, можуть бути ще гіршими. Обчислення ШІ вже є дорогими: найпотужніші ШНМ можуть виводити окремі слова лише трохи швидше, ніж людина може їх прочитати, не кажучи вже про багатомільйонні обчислювальні витрати на навчання моделей. Різниця в якості між моделями найвищого рівня та моделями, які намагаються значно заощадити на вартості навчання або кількості параметрів, є великою. На перший погляд, це дуже вагома причина для того, щоб поставитися з підозрою до всього проекту, який намагається додати гарантій ШІ, загорнувши його в криптографію.

На щастя, ШІ є дуже специфічним типом обчислень, що робить його піддатливим до всіх видів оптимізації, від яких не можуть виграти більш "неструктуровані" типи обчислень, такі як ZK-EVM. Розглянемо базову структуру моделі ШІ:

Зазвичай модель ШІ здебільшого складається з серії матричних множень, що перемежовуються з поелементними нелінійними операціями, такими як функція ReLU(y = max(x, 0)). Асимптотично, множення матриць займає більшу частину роботи: множення двох N*N матриць займає

�(�2.8)

часу, тоді як кількість нелінійних операцій значно менша. Це дійсно зручно для криптографії, тому що багато форм криптографії можуть виконувати лінійні операції (якими є матричні множення, принаймні, якщо ви шифруєте модель, а не входи до неї) майже "безкоштовно".

Якщо ви криптограф, то напевно вже чули про подібне явище в контексті гомоморфного шифрування: виконувати додавання над зашифрованими текстами дуже легко, але множення - неймовірно складно, і до 2009 року ми так і не придумали, як це взагалі можна робити з необмеженою глибиною.

Для ZK-SNARK еквівалентом є протоколи на кшталт цього від 2013 року, які показують менш ніж 4-кратне перевищення накладних витрат на доведення матричних множень. На жаль, накладні витрати на нелінійні шари все ще залишаються значними, і найкращі реалізації на практиці показують накладні витрати близько 200x. Але є надія, що цей показник може бути значно зменшений завдяки подальшим дослідженням; див. цю презентацію Райана Цао про нещодавній підхід, заснований на GKR, і моє власне спрощене пояснення того, як працює основний компонент GKR.

Але для багатьох додатків ми не просто хочемо довести, що результат ШІ був обчислений правильно, ми також хочемо приховати модель. Існують наївні підходи до цього: ви можете розділити модель так, щоб кожен рівень зберігався на різних серверах, і сподіватися, що деякі з серверів, які витікають з деяких рівнів, не витікають занадто багато даних. Але існують також напрочуд ефективні форми спеціалізованих багатопартійних обчислень.

Спрощена схема одного з цих підходів, який зберігає модель приватною, але робить вхідні дані публічними. Якщо ми хочемо зберегти модель та вхідні дані приватними, ми можемо це зробити, хоча це дещо складніше: див. сторінки 8-9 статті.

В обох випадках мораль історії однакова: більша частина обчислень ШІ - це матричні множення, для яких можна створити дуже ефективні ZK-SNARK або MPC (або навіть FHE), і тому загальні накладні витрати, пов'язані з розміщенням ШІ в криптографічних ящиках, є напрочуд низькими. Як правило, саме нелінійні шари є найбільшим вузьким місцем, незважаючи на їхній менший розмір; можливо, тут можуть допомогти новіші методи, такі як аргументи пошуку.

Навчання з чорним ящиком і змагальним машинним навчанням

Тепер перейдемо до іншої великої проблеми: типи атак, які можна здійснити, навіть якщо вміст моделі зберігається в таємниці і у вас є лише "API-доступ" до моделі. Цитую статтю з 2016 року:

Багато моделей машинного навчання вразливі до негативних прикладів: вхідних даних, які спеціально створені для того, щоб змусити модель машинного навчання видавати неправильний результат. Приклади, які впливають на одну модель, часто впливають на іншу модель, навіть якщо ці дві моделі мають різні архітектури або були навчені на різних навчальних наборах, за умови, що обидві моделі були навчені виконувати одне й те саме завдання. Таким чином, зловмисник може тренувати власну модель-замінник, створювати приклади протистояння з ним і переносити їх на модель-жертву, маючи дуже мало інформації про жертву.

Використовуйте доступ до "цільового класифікатора" через "чорну скриньку", щоб тренувати та вдосконалювати власний локально збережений "вивідний класифікатор". Потім локально згенеруйте оптимізовані атаки на виведений класифікатор. Виявляється, ці атаки часто також працюють проти початкового цільового класифікатора. Джерело діаграми.

Потенційно ви навіть можете створювати атаки, знаючи лише навчальні дані, навіть якщо у вас дуже обмежений доступ до моделі, яку ви намагаєтеся атакувати, або взагалі немає доступу до неї. Станом на 2023 рік ці види атак продовжують залишатися великою проблемою.

Щоб ефективно стримувати такі атаки на "чорні скриньки", нам потрібно зробити дві речі:

  1. Дійсно обмежте, хто або що може запитувати модель і в якому обсязі. Чорні скриньки з необмеженим доступом до API не є безпечними; чорні скриньки з дуже обмеженим доступом до API можуть бути безпечними.
  2. Приховати навчальні дані, зберігаючи впевненість у тому, що процес, який використовується для створення навчальних даних, не пошкоджено.

Проект, який зробив найбільше для першого з них - це, мабуть, Worldcoin, більш ранню версію якого (серед інших протоколів) я детально аналізую тут. Worldcoin широко використовує моделі штучного інтелекту на рівні протоколу, щоб (i) перетворювати сканування райдужної оболонки ока в короткі "коди райдужної оболонки", які легко порівнювати на схожість, і (ii) перевіряти, що об'єкт, який сканується, дійсно є людиною. Основний захист, на який покладається Worldcoin, полягає в тому, що він не дозволяє будь-кому просто зателефонувати в модель штучного інтелекту: скоріше, він використовує надійне обладнання, щоб гарантувати, що модель приймає тільки вхідні дані, підписані цифровою камерою кулі.

Такий підхід не гарантує, що він спрацює: виявляється, проти біометричного ШІ можна здійснювати ворожі атаки у вигляді фізичних пластирів або прикрас, які можна надягати на обличчя:

Носіть додаткову річ на лобі і уникайте виявлення або навіть видавайте себе за когось іншого. Джерело.

Але є надія, що якщо об'єднати всі засоби захисту разом, приховуючи саму модель ШІ, значно обмежуючи кількість запитів і вимагаючи, щоб кожен запит був якимось чином аутентифікований, то можна зробити ворожі атаки досить складними, щоб система була захищеною. У випадку з Worldcoin, збільшення цих інших засобів захисту може також зменшити залежність від надійного апаратного забезпечення, збільшуючи децентралізацію проекту.

І це підводить нас до другої частини: як ми можемо приховати навчальні дані? Ось де "DAO для демократичного управління ШІ" може мати сенс: ми можемо створити мережеву DAO, яка керуватиме процесом того, кому дозволено подавати навчальні дані (і які атестації потрібні для самих даних), кому дозволено робити запити і скільки, і використовувати криптографічні методи, такі як MPC, щоб зашифрувати весь конвеєр створення і запуску ШІ, починаючи з навчальних даних кожного окремого користувача і закінчуючи кінцевим виходом кожного запиту. Цей DAO міг би одночасно задовольнити дуже популярну мету - винагородити людей за надання даних.

Важливо ще раз підкреслити, що цей план дуже амбітний, і є багато причин, чому він може виявитися нездійсненним:

  • Криптографічні накладні витрати все одно можуть виявитися занадто високими, щоб така архітектура з повністю чорним ящиком могла конкурувати з традиційними закритими підходами "довіряй мені".
  • Може виявитися, що немає хорошого способу зробити процес подання навчальних даних децентралізованим і захищеним від атак отруєння.
  • Багатосторонні обчислювальні гаджети можуть порушити свої гарантії безпеки або конфіденційності через змову учасників: зрештою, це неодноразово траплялося з крос-ланцюговими криптовалютними мостами.

Одна з причин, чому я не почав цей розділ з великих червоних попереджувальних написів: "Не використовуйте ШІ-суддів, це безперспективно", полягає в тому, що наше суспільство вже сильно залежить від непідзвітних централізованих ШІ-суддів: алгоритмів, які визначають, які пости і політичні погляди будуть просуватися, а які ні, або навіть піддаватися цензурі в соціальних мережах. Я вважаю, що подальше розширення цієї тенденції на даному етапі є досить поганою ідеєю, але я не думаю, що існує велика ймовірність того, що блокчейн-спільнота, яка більше експериментує зі штучним інтелектом, сприятиме погіршенню ситуації.

Насправді, є кілька основних способів з низьким рівнем ризику, за допомогою яких криптотехнології можуть покращити навіть існуючі централізовані системи, в яких я цілком впевнений. Одна з простих методик - перевірений ШІ з відкладеною публікацією: коли соціальна мережа складає рейтинг постів на основі ШІ, вона може опублікувати ZK-SNARK, що підтверджує хеш моделі, яка згенерувала цей рейтинг. Сайт може взяти на себе зобов'язання розкрити свої моделі ШІ після, наприклад, річної затримки. Після оприлюднення моделі користувачі можуть перевірити хеш, щоб переконатися, що була випущена правильна модель, а спільнота може запустити тести на моделі, щоб перевірити її справедливість. Затримка з публікацією призведе до того, що на той час, коли модель буде оприлюднена, вона вже буде застарілою.

Отже, порівняно з централізованим світом, питання не в тому, чи можемо ми зробити краще, а в тому, наскільки. У децентралізованому світі, однак, важливо бути обережним: якщо хтось створить, наприклад, ринок прогнозів або стейблкоїн, який використовує оракул зі штучним інтелектом, і виявиться, що оракул піддається атакам, це величезна сума грошей, яка може зникнути в одну мить.

ШІ як мета гри

Якщо описані вище методи створення масштабованого децентралізованого приватного ШІ, вміст якого є нікому не відомим "чорним ящиком", дійсно працюють, то їх також можна використовувати для створення ШІ, корисність яких виходить за рамки блокчейну. Команда протоколу NEAR робить це основною метою своєї поточної роботи.

Для цього є дві причини:

  1. Якщо ви зможете створити "надійний ШІ з чорним ящиком", запустивши процес навчання і висновків за допомогою певної комбінації блокчейнів і MPC, то багато додатків, де користувачі стурбовані тим, що система може бути упередженою або обманювати їх, зможуть отримати вигоду від цього. Багато людей висловлюють бажання демократичного управління системно важливими ШІ, від яких ми будемо залежати; криптографічні та блокчейн-технології можуть стати шляхом до цього.
  2. З точки зору безпеки ШІ, це був би метод створення децентралізованого ШІ, який також має природний вимикач, і який міг би обмежити запити, що намагаються використовувати ШІ для зловмисної поведінки.

Варто також зазначити, що "використання крипто-стимулів для заохочення створення кращого ШІ" можна зробити, не занурюючись у кролячу нору використання криптографії для повного шифрування: такі підходи, як BitTensor, підпадають під цю категорію.

Висновки

Зараз, коли і блокчейн, і штучний інтелект стають все більш потужними, зростає кількість кейсів використання на перетині цих двох сфер. Однак деякі з цих випадків використання мають набагато більше сенсу і є набагато надійнішими, ніж інші. Загалом, найбільш перспективними і найпростішими у використанні є випадки, коли основний механізм залишається приблизно таким же, як і раніше, але окремі гравці стають штучними інтелектами, що дозволяє механізму ефективно працювати на набагато меншому мікрорівні.

Найскладнішими є додатки, які намагаються використовувати блокчейн і криптографічні методи для створення "синглетону": єдиного децентралізованого довіреного ШІ, на який покладається певна програма для певних цілей. Ці програми є перспективними як з точки зору функціональності, так і з точки зору підвищення безпеки ШІ таким чином, щоб уникнути ризиків централізації, пов'язаних з більш поширеними підходами до цієї проблеми. Але є також багато способів, за яких основні припущення можуть не виправдатися; отже, варто бути обережними, особливо при розгортанні цих додатків у контекстах з високою вартістю та високим ризиком.

Я з нетерпінням чекаю на нові спроби конструктивного використання ШІ у всіх цих сферах, щоб ми могли побачити, які з них дійсно життєздатні в масштабах.

Відмова від відповідальності:.

  1. Ця стаття передрукована з[vitalik]. Всі авторські права належать первинному автору[vitalik]. Якщо у вас є заперечення щодо цього передруку, будь ласка, зв'яжіться з командою Gate Learn, і вони оперативно його опрацюють.
  2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, належать виключно автору і не є інвестиційною порадою.
  3. Переклади статті іншими мовами виконані командою Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонені.
Розпочати зараз
Зареєструйтеся та отримайте ваучер на
$100
!