特别感谢Worldcoin和Modulus Labs团队、孙新源、Martin Koeppelmann和Illia Polosukhin的反馈和讨论。

多年来，许多人都问过我一个类似的问题：我认为加密货币和人工智能之间最有成果的交叉点是什么？这个问题很合理：加密货币和人工智能是过去十年两大主要的深度（软件）技术趋势，而且似乎两者之间一定存在某种联系。表面上，很容易想到协同作用：加密货币的去中心化可以平衡人工智能的中心化，人工智能是不透明的，而加密货币带来了透明度，人工智能需要数据，而区块链适合存储和跟踪数据。但多年来，当人们要求我深入探讨并谈论具体的应用时，我的回答是令人失望的：“是的，有一些研究，但不是很多”。

在过去的三年中，随着现代LLM形式的更强大的人工智能的崛起，以及不仅仅是区块链扩展解决方案，还有零知识证明、全同态加密、（两方和多方）多方计算的崛起，我开始看到这种变化。虽然很重要的一点是要注意如何应用人工智能，但在区块链生态系统内部确实存在一些有前景的人工智能应用，或者人工智能与密码学结合的应用。一个特别的挑战是：在密码学中，开源是使某物真正安全的唯一途径，但在人工智能中，模型（甚至其训练数据）的开放大大增加了其对抗性机器学习攻击的脆弱性。本文将讨论加密货币与人工智能可能交叉的不同类别，并分析每个类别的前景和挑战。

上图来自一个uETH博客文章中有关加密货币和人工智能交叉的高层次总结。但是，需要什么才能实现这些协同作用中的任何一个具体应用呢？

四大类应用

人工智能是一个非常广泛的概念：你可以将“人工智能”视为通过搅动一个大型计算池并施加某种优化压力，而不是通过明确指定它们来创建的算法集合，这个过程推动该池朝着产生具有所需属性的算法的方向发展。这种描述绝对不应被轻视：它包括了创造我们人类的过程！但这意味着人工智能算法具有一些共同的特性：它们能够做出非常强大的事情，但我们无法完全知道或理解在其背后发生了什么。

对于人工智能的分类有很多种方法；就本文所讨论的人工智能与区块链之间的交互（区块链被描述为@virgilgr/ethereum-is-game-changing-technology-literally-d67e01a01cf8">创建“游戏”的平台）而言，我将其分类如下：

• 作为游戏玩家的人工智能[最高可行性]：人工智能参与的机制，这里的激励的最终来自具有人类输入的协议。
• 作为游戏界面的人工智能[潜力巨大，但伴随风险]：人工智能帮助用户理解周围的加密世界，并确保他们的行为（即签名消息和交易）与他们的意图相符，并且不会受到欺骗或诈骗。
• 作为游戏规则的人工智能[需要非常小心]：区块链、DAO和类似机制直接调用人工智能。例如“AI裁判”。
• 作为游戏目标的人工智能[较长期但令人感兴趣]：设计区块链、DAO和类似机制的目的是构建并维护一个可用于其他目的的人工智能，使用加密位可以更好地激励训练，或者防止人工智能泄露私人数据或被滥用。

让我们一一回顾一下。

作为游戏玩家的AI

实际上，这是一个已经存在了近十年的类别，至少自从链上去中心化交易所（DEX）开始得到明显使用以来就存在了。每当有一个交易时，都存在通过套利赚钱的机会，而机器人可以比人类更好地进行套利。这个用例已经存在了很长时间，即使是比今天更简单的人工智能，但最终它是一个非常真实的人工智能与加密货币的交叉点。最近，我们经常看到MEV套利机器人相互利用。每当您有一个涉及拍卖或交易的区块链应用时，都会有套利机器人存在。

但人工智能套利机器人只是一个更大类别的第一个例子，我预计很快会涵盖许多其他应用。让我们来见识一下AIOmen，这是一个预测市场的演示，其中人工智能是玩家：

长期以来，预测市场一直是认知技术的必杀技。我在2014年就很期待将预测市场用作治理的输入的futarchy项目，并且这在上次选举中以及最近也进行了大量尝试。但到目前为止，预测市场在实践中并没有取得太大的成功，通常有一系列常见的原因：最大的参与者往往是不理性的，拥有正确知识的人不愿意花时间并投入赌注，除非涉及大量资金，市场往往很薄弱，等等。

对此的一种回应是指出Polymarket或其他新预测市场正在进行的用户体验改进，并希望它们能成功，以弥补之前的版本失败的地方。毕竟，据说人们愿意在体育比赛上押注数十亿美元，那么为什么人们不愿意在那些对于开始加入的认真玩家有意义的美国大选或LK99上投入足够多的资金进行赌注呢？但这一论点必须面对一个事实，那就是，之前的版本未能达到这种规模的水平（至少与其支持者的梦想相比），因此似乎你需要一些新的东西来使预测市场成功。因此，另一种回应是指出预测市场生态系统的一个具体特征，我们可以预期在2020年代会看到，而在2010年代却没有看到AIs的普遍参与可能性。

AIs愿意以不到1美元的价格工作一个小时，并且拥有百科全书的知识——如果这还不够，它们甚至可以与实时网络搜索功能集成。如果你创建了一个市场，并提供了50美元的流动性补贴，人类不会对投标很关心，但成千上万的AIs会轻易地转向这个问题并尽力做出最好的猜测。为任何一个问题上做好的工作提供的激励可能微不足道，但在一般情况下为做出良好预测的AI提供的激励可能达到数百万。需要注意的是，很有可能你甚至不需要人类来裁决大多数问题：你可以使用类似Augur或Kleros的多轮争议系统，其中AIs也会参与到较早的轮次中。人类只需要在那些发生了一系列升级并且双方都投入了大量资金的情况下做出响应。

这是一个强大的原始形态，因为一旦“预测市场”可以在这样微观的尺度上运作，你就可以将“预测市场”原始形态重用于许多其他类型的问题中：

• 根据[使用条款]，此社交媒体帖子是否可以接受？
• 股票 X 的价格会发生什么变化（例如，参见Numerai）
• 目前给我发消息的这个账户真的是埃隆·马斯克吗？
• 在在线任务市场上提交的这项工作可以接受吗？
• https://examplefinance.network 上的 dapp 是骗局吗？
• 0x1b54….98c3 实际上是“Casinu Inu”ERC20代币的地址？

你可能注意到，很多这些想法都朝着我在“d/acc”写作中所称的“信息防御”方向发展。广义上来说，问题是：我们如何帮助用户区分真假信息并检测诈骗，而不赋予一个可能滥用权力的中央机构来判断是非？从微观层面上看，答案可能是“人工智能”。但从宏观层面上看，问题是：谁来构建人工智能？人工智能是创造它的过程的反映，因此无法避免存在偏见。因此，有必要有一个更高层次的游戏，裁定不同人工智能的表现如何，人工智能可以作为游戏中的玩家参与其中。

这种使用人工智能的方式，即人工智能参与一种机制，我认为是值得深入研究的。在这种机制中，它们最终会被链上机制（以概率方式）奖励或惩罚，这个机制从人类处收集输入（称之为去中心化市场驱动的强化学习？）。现在正是深入研究这类用例的时候，因为区块链扩容最终取得了成功，使得任何东西得以“微观”化并在链上最终变得可行，而之前这通常是不可能的。

另一类相关的应用方向是高度自治的代理使用区块链进行更好地合作，无论是通过支付还是通过使用智能合约做出可信承诺。

AI 作为游戏的界面

我在自己的写作中提出的一个想法是，有一个可以编写面向用户软件的市场机会，该软件通过解释和识别用户正在浏览的在线世界中的危险来保护用户的利益。其中一个已经存在的例子是Metamask的诈骗检测功能：

另一个例子是Rabby钱包的模拟功能，它向用户展示了他们将要签署的交易的预期后果。

Rabby向我解释签署交易以将我所有的“BITCOIN”（一个ERC20 memecoin的简称，其全称显然是“HarryPotterObamaSonic10Inu”）交换为ETH的后果。

于2024年2月2日编辑：本文的早期版本将此代币称为试图冒充比特币的骗局。实际上它不是，而是一个memecoin。在此对这种错误表示歉意。

这些工具可能会具有通过人工智能进行超级增强的潜力。人工智能可以更丰富地以人类友好的方式解释你参与的dapp类型、你正在签署的更复杂操作的后果、某个代币是否真实（例如，BITCOIN不仅仅是一串字符，通常是一种重要的加密货币的名称，它不是一个ERC20代币，而且价格远高于0.045美元，而当今LLM会知晓这一点）等等。已经有一些项目开始朝这个方向努力（例如，使用人工智能作为主要界面的LangChain钱包）。我的个人观点是，纯人工智能界面目前可能风险太高，因为它增加了其他类型错误的风险，但人工智能辅助更传统界面的方式的可行度很高。

有一个特定的风险值得一提。我将在下面关于“AI作为游戏规则”的部分中详细介绍这一点，但总体问题是对抗性机器学习：如果用户在开源钱包内部有访问AI助手的权限，坏人也会有访问AI助手的权限，因此他们将有无限的机会来优化他们的欺诈行为，以避开该钱包的防御措施。所有现代人工智能都有一定的漏洞，在训练过程中，即使只有有限的访问权限，也不难找到这些漏洞。

这就是“人工智能参与链上微市场”更有效的地方：每个单独的AI都面临着相同的风险，但你故意创建了一个由数十个人组成的开放生态系统，他们不断地进行迭代和改进。此外，每个单独的AI都是封闭的：系统的安全性来自游戏规则的公开性，而不是每个参与者的内部运作。

总体来说，人工智能可以帮助用户以简单的语言理解发生的事情，它可以充当实时导师，可以保护用户免受错误，但在尝试直接与恶意的误导者和诈骗者对抗时要小心。

人工智能作为游戏规则

现在，我们接触到了令很多人都期待的应用程序，但我认为它是风险最大的，也是我们需要最谨慎对待的地方：我所说的人工智能是游戏规则的一部分。这与主流政治精英对“人工智能法官”的兴奋有关（例如，参阅在“世界政府峰会”网站上这篇文章），在区块链应用中也存在类似的愿望。如果基于区块链的智能合约或 DAO 需要做出主观决定（例如，特定工作产品在雇佣合约中是否可以接受？哪种是对乐观主义等自然语言宪法的正确解释？链的法则？），你能让人工智能成为合约或 DAO 的一部分来帮助执行这些规则吗？

这就是对抗性机器学习将成为一个极其艰巨挑战的地方。以下用基本的两句话解释了“为什么”：

如果一个在机制中起关键作用的AI模型是封闭的，你就无法验证它的内部运作，所以它并不比中心化应用更好。如果人工智能模型是开放的，那么攻击者可以在本地下载并模拟它，并设计经过高度优化的攻击来欺骗模型，然后他们可以在实时网络上重放该模型。

对抗性机器学习示例（来源：researchgate.net）

如今本博客的老读者（或加密世界的居民）可能已经领先于我，并思考：但是等等！我们有奇特的零知识证明和其他非常酷的密码学形式。当然，我们可以做一些加密魔法，隐藏模型的内部工作原理，以便攻击者无法优化攻击，但同时证明该模型正在正确执行，并且是在一组合理的基础数据上使用合理的训练过程构建的！

通常情况下，这是正是我在这本博客和其他著作中都提倡的思维方式。但就人工智能相关计算而言，主要有两个反对意见：

1. 加密开销：在 SNARK（或 MPC 或…）内做某事比“以明确的方式”做事效率要低得多。鉴于人工智能的计算量已经非常大，那么在加密黑匣子内进行人工智能在计算上是否可行？
2. 黑盒对抗性机器学习攻击：有一些方法在即使不太了解模型的内部运作的情况下也可优化针对人工智能模型的攻击。如果你隐藏太多了，您可能会冒着让选择训练数据的人利用中毒攻击很容易地破坏模型的风险。

这两个都是复杂的问题，所以让我们依次深入了解它们。

加密开销

加密工具，尤其是 ZK-SNARK 和 MPC 等通用工具，具有很高的开销。客户端直接验证以太坊区块需要几百毫秒，但生成 ZK-SNARK 来证明此类区块的正确性可能需要数小时。其他加密工具（例如 MPC）的典型开销可能更糟。人工智能计算已经很昂贵了：最强大的LLMs输出单个单词的速度仅比人类阅读它们的速度快一点点，更不用说通常数百万美元的计算成本了。顶级模型和试图节省更多培训费用或参数个数的模型之间的质量差异很大。乍一看，这是一个怀疑整个项目的很好理由，即试图通过将人工智能包装在密码学中来为其添加保证。

不过幸运的是，人工智能是一个非常具体的计算类型，这使得它适合各种优化，这些优化像 ZK-EVM 这样的更多“非结构化”计算类型无法从中受益。让我们来看看人工智能模型的基本结构：

通常，AI 模型主要由一系列矩阵乘法组成，其中散布着每个元素的非线性运算，例如ReLU) 功能 （y = 最大值(x, 0)）。渐近地，矩阵乘法占据了大部分工作：将两个N*N 矩阵相乘需要

�(�2.8)时间，而非线性运算的数量要少得多。这对于密码学来说确实很方便，因为许多形式的密码学都可以进行线性运算（矩阵乘法是这样的，至少如果您加密模型而不加密模型的输入）几乎“免费”。

如果您是密码学家，您可能已经听说过在同态加密环境下的类似现象：执行补充加密密文确实很容易，但是乘法非常困难，直到2009年我们才找到任何无限深度的方法。

对于 ZK-SNARK，相同的的是类似2013年的协议，这显示了小于4倍证明矩阵乘法的开销。不幸的是，非线性层的开销仍然很大，实践中最好的实现显示开销约为200倍。但希望通过进一步的研究可以大大减少这种情况；参阅Ryan Cao 的演讲了解最近基于 GKR 的方法以及我自己的对GKR 主要组件如何工作的简要解释。

但对于许多应用程序，我们不仅仅想要证明 人工智能输出计算正确，我们还想隐藏模型。对此有一些简单的方法：您可以拆分模型，以便一组不同的服务器冗余地存储每个层，并希望泄漏某些层的某些服务器不会泄漏太多数据。但也有一些专门多方计算的有效形式，这令人刚到惊讶。

这是其中一种方法的简化图。它保持模型私有，但将输入公开。如果我们想将模型和输入保持私有，我们可以做到如此，尽管它变得有点复杂：请参阅第本文的 8-9 页内容。

在这两种情况下，故事的寓意是相同的：人工智能计算的最大部分是矩阵乘法，为此可以使 ZK-SNARK 或 MPC（甚至 FHE）非常高效，因此将 AI 放入加密盒中的总开销低得惊人。一般来说，非线性层是最大的瓶颈，尽管它们的尺寸较小；也许更新的技术，例如lookup arguments可以提供帮助。

黑盒对抗性机器学习

现在，让我们讨论另一个大问题：即使模型的内容是私有的、您只有对该模型的“API 访问权限”，您也可以进行的攻击类型。正如一篇2016年的论文所言:

许多机器学习模型容易受到对抗性示例的影响：专门设计的输入会导致机器学习模型产生不正确的输出。影响一个模型的对抗性示例通常会影响另一个模型，即使这两个模型具有不同的架构或在不同的训练集上进行训练，只要两个模型都经过训练以执行相同的任务。因此，攻击者可以训练自己的替代模型，针对替代模型制作对抗性示例，并将其转移到受害者模型，而有关受害者的信息很少。

使用黑盒访问“目标分类器”来训练和完善您自己的本地存储的“推断分类器”。然后，在本地生成针对推断分类器的优化攻击。事实证明，这些攻击通常也会针对原始目标分类器起作用。（请参阅图源）。

您甚至可以发起知道训练数据的攻击，即使您对要攻击的模型的访问权限非常有限或无权。截至2023年，此类攻击仍然是一个大问题。

为了有效遏制此类黑盒攻击，我们需要做两件事：

1. 真正限制谁或什么可以查询模型及查询的深度。具有不受限制的 API 访问权限的黑匣子并不安全； API 访问可能受到严格限制的黑匣子。
2. 隐藏训练数据，同时让人们相信 用于创建训练数据的过程没有损坏。

在前者上做得最多的项目可能是 Worldcoin，我在本文中详细分析了其中的早期版本（以及其他协议）。Worldcoin在协议级别广泛使用人工智能模型，以（i）将虹膜扫描转换为易于比较相似性的简短“虹膜代码”，以及（ii）验证其扫描的物体实际上是人类。世界币所依赖的主要防御是它不会让任何人简单地调用人工智能模型：相反，它使用可信硬件来确保模型只接受由球体相机数字签名的输入。

这种方法并不能保证有效：事实证明，您可以对生物识别人工智能进行对抗性攻击，其形式为您可以戴在脸上的物理贴片或珠宝:

在额头上多戴一个东西，逃避检测，甚至冒充别人。（参阅来源）

但所希望的是，如果你将所有防御结合在一起，隐藏人工智能模型本身，极大地限制查询数量，并要求每个查询都以某种方式进行身份验证，那么您就可以进行足够困难的对抗性攻击，从而保证系统的安全。 就Worldcoin而言，增加这些其他防御措施也可以减少对可信硬件的依赖，从而提高项目的去中心化程度。

这就将我们引入第二部分：我们如何隐藏训练数据？这就是“民主管理人工智能的 DAO”可能起作用的地方：我们可以创建一个链上 DAO 来管理谁可以提交训练数据（以及数据本身需要什么证明）、谁可以进行查询以及查询数量的流程，并使用 MPC 等加密技术对创建和运行人工智能的整个管道进行加密，从每个用户的训练输入一直到每个查询的最终输出。这个 DAO 可以同时满足补偿人们提交数据的非常受欢迎的目标。

需要重申的是，这个计划是非常宏大的，并且有很多方面可以证明它是不切实际的：

• 加密开销仍然可能过高 让这种完全黑盒的架构能够与传统的封闭式“相信我”方法竞争。
• 事实可能是这样没有好的方法可以使训练数据提交过程去中心化并防止其免受中毒攻击。
• 多方计算小工具可能会因合谋而破坏他们的安全或隐私保证：毕竟，这种情况已经一而再再而三地发生在跨链加密货币桥上。

我没有在这一部分开头加上更多的大大的红色警示标签，警告“不要做AI法官，那是反乌托邦”的原因之一，是因为我们的社会已经高度依赖于不负责任的中央化AI法官：决定在社交媒体上哪些类型的帖子和政治观点被推广、被降低、甚至被审查的算法。我确实认为，在当前阶段进一步扩大这种趋势是一个相当糟糕的主意，但我不认为区块链社区更多地尝试AI实验会成为恶化的因素。

事实上，我对加密技术甚至可以改进这些现有的中心化系统的一些非常基本的低风险方式非常有信心。一个简单的技术是具有延迟发布的验证AI：当一个社交媒体网站对帖子进行基于AI的排名时，它可以发布一个证明生成该排名的模型哈希的ZK-SNARK。该网站可以承诺在例如一年后的某个时候公布其AI模型。一旦模型被公布，用户可以检查哈希以验证正确的模型是否被发布，并且社区可以对模型进行测试以验证其公平性。发布延迟将确保在模型被公开之前，它已经过时了。

因此，与中心化世界相比，问题不在于我们是否可以做得更好，而在于我们可以做得更好多少。然而，对于去中心化世界来说，要小心谨慎：如果有人构建了例如一个使用AI仲裁者的预测市场或稳定币，而事实证明该仲裁者是可攻击的，那么将可能会瞬间消失大额资金。

AI作为游戏的目标

如果上述用于创建可扩展的去中心化私人人工智能（其内容是不为任何人所知的黑匣子）的技术实际上可以发挥作用，那么这也可以用于创建具有超越区块链的实用性的人工智能。 NEAR 协议团队正在将其打造成他们正在进行的工作的核心目标。

这样做有两个原因：

1. 如果你能够通过某种区块链和多方计算组合运行训练和推理过程来制作“可信的黑匣子人工智能”，那么许多应用程序都可能受益于此，特别是当用户担心系统存在偏见或欺骗时。许多人表达了对我们将依赖的系统性重要人工智能进行民主治理的愿望；密码学和基于区块链的技术可以成为实现这一目标的途径。
2. 从人工智能安全的角度来看，这将是一种创建去中心化人工智能的技术，同时也具有自然的关停开关，并且可以限制试图利用人工智能进行恶意行为的查询。

值得注意的是，“利用加密激励来激励制作更好的人工智能”可以在不完全沉迷于使用密码学完全加密的情况下进行：像BitTensor这样的方法属于这一类别。

结论

随着区块链和人工智能的不断增强，两者交叉领域的应用案例数量正在增加。然而，并非所有这些应用案例都像其他一些那样合理且稳健。总的来说，那些基础机制仍然设计大致与以往相同，但个体参与者变成了人工智能的应用案例，使得机制能够有效地在更微观的尺度上运作的情况，是最有前景且最容易成功的。

最具挑战性的是那些试图利用区块链和密码学技术创建“单例”（Singleton）的应用程序：某个应用程序会依赖于某个单一的去中心化可信任的人工智能。这些应用程序具有潜力，无论是对功能还是对改进人工智能安全性的方式都有所帮助，而且可以避免与更主流的解决该问题的方法相关的中心化风险。但也存在许多基础假设可能失败的方式；因此，在部署这些应用程序到高价值和高风险环境时，值得谨慎对待。

我期待着看到更多针对这些领域的人工智能的建设性用例尝试，这样我们就可以看到其中哪些用例在规模上是真正可行的。

声明：

1. 本文转载自[vitalik]，著作权归属原作者[vitalik]，如对转载有异议，请联系Gate Learn团队，团队会根据相关流程尽速处理。
2. 免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。
3. 文章其他语言版本由Gate Learn团队翻译， 在未提及Gate.io的情况下不得复制、传播或抄袭经翻译文章。