跳到主要内容

3 篇博文 含有标签「cryptographic proofs」

密码学证明系统

查看所有标签

Gensyn 的 Judge:位级精确的可复现性如何终结不透明 AI API 时代

· 阅读需 22 分钟
Dora Noda
Dora Noda
Software Engineer

每次当你查询 ChatGPT、Claude 或 Gemini 时,你都在信任一个看不见的黑盒。模型版本?未知。精确权重?专有。输出是由你认为正在使用的模型生成的,还是由悄悄更新的变体生成的?无法核实。对于询问食谱或琐事的普通用户来说,这种不透明性仅仅是令人恼火。但对于高风险的 AI 决策——金融交易算法、医疗诊断、法律合同分析——这是一种根本性的信任危机。

Gensyn 的 Judge 于 2025 年底推出,并于 2026 年进入生产阶段。它提供了一种激进的替代方案:加密可验证的 AI 评估,每次推理都可以复现到比特级别。Judge 允许任何人验证特定的、预先商定的 AI 模型是否针对真实输入进行了确定性执行,而不是信任 OpenAI 或 Anthropic 会提供正确的模型——加密证明确保结果无法伪造。

技术突破在于 Verde,这是 Gensyn 的验证系统,它消除了浮点非确定性——这是 AI 可复现性的克星。通过在不同设备上强制执行逐比特精确的计算,Verde 确保在伦敦的 NVIDIA A100 和东京的 AMD MI250 上运行相同的模型会产生完全相同的结果,并可在链上证明。这为去中心化金融(DeFi)、自主代理(Autonomous Agents)以及任何透明度不是可选项而是生存条件的应用程序开启了可验证 AI。

不透明 API 问题:没有验证的信任

AI 行业运行在 API 之上。开发者通过 REST 终端集成 OpenAI 的 GPT-4、Anthropic 的 Claude 或 Google 的 Gemini,发送提示词并接收响应。但这些 API 在根本上是不透明的:

版本不确定性:当你调用 gpt-4 时,我得到的是哪个确切版本?GPT-4-0314?GPT-4-0613?还是一个悄悄更新的变体?供应商经常在不发布公告的情况下部署补丁,一夜之间改变模型行为。

无审计追踪:API 响应不包含生成它们的模型的加密证明。如果 OpenAI 为特定的地区或客户提供经过审查或有偏见的变体,用户无法检测到。

无声退化:供应商可以为了降低成本而对模型进行“性能阉割”——在保持相同 API 协议的同时降低推理质量。用户反映 GPT-4 随着时间的推移变得“变笨了”,但由于缺乏透明的版本控制,此类说法仍停留在轶事层面。

非确定性输出:由于温度设置、批处理或硬件级浮点舍入误差,即使使用相同的输入两次查询同一个模型,也可能产生不同的结果。这使得审计变得不可能——当输出不可复现时,你如何验证其正确性?

对于普通应用,这些问题只是不便。对于高风险决策,它们则是阻碍。考虑到:

算法交易:一家对冲基金部署了一个管理着 5000 万美元 DeFi 头寸的 AI 代理。该代理依靠 GPT-4 分析来自 X 帖子的市场情绪。如果模型在交易环节中途悄悄更新,情绪评分会发生不可预测的偏移——从而触发意外的清算。该基金没有证据证明模型表现异常;OpenAI 的日志是不公开审计的。

医疗诊断:一家医院使用 AI 模型来推荐癌症治疗方案。法规要求医生记录决策过程。但如果 AI 模型版本无法验证,审计追踪就是不完整的。医疗事故诉讼可能取决于证明是 哪一个 模型生成了该建议——而这对于不透明的 API 来说是不可能的。

DAO 治理:一个去中心化组织使用 AI 代理对国库提案进行投票。社区成员要求证明该代理使用的是经过批准的模型——而不是一个有利于特定结果的篡改变体。没有加密验证,投票就缺乏合法性。

这就是 Gensyn 瞄准的信任差距:随着 AI 被嵌入到关键决策中,无法验证模型的真实性和行为成为了“在高风险环境中部署代理化 AI 的根本障碍”。

Judge:可验证 AI 评估协议

Judge 通过针对真实输入执行预先商定的确定性 AI 模型,并将结果提交到区块链(任何人都可以发起挑战)来解决不透明问题。以下是该协议的工作原理:

1. 模型承诺:参与者就 AI 模型达成一致——包括其架构、权重和推理配置。该模型被哈希处理并提交到链上。哈希值充当加密指纹:任何偏离商定模型的行为都会产生不同的哈希值。

2. 确定性执行:Judge 使用 Gensyn 的可复现运行时 运行模型,该运行时保证了跨设备的逐比特精确可复现性。这消除了浮点非确定性——这是我们稍后将探讨的一项关键创新。

3. 公开承诺:推理完成后,Judge 将输出(或其哈希值)发布在链上。这为模型针对给定输入产生的内容创建了一个永久的、可审计的记录。

4. 挑战期:任何人都可以通过独立重新执行模型来挑战结果。如果他们的输出不同,他们可以提交欺诈证明。Verde 的 受仲裁的委托机制 可以精确定位计算图中结果发生分歧的具体操作员。

5. 欺诈罚没:如果挑战者证明 Judge 产生了错误结果,原始执行者将受到惩罚(罚没抵押的代币)。这统一了经济激励:执行者通过正确运行模型来最大化利润。

Judge 将 AI 评估从“信任 API 供应商”转变为“验证加密证明”。模型的行为是公开的、可审计的和可强制执行的——不再隐藏在专有终端后面。

Verde:消除浮点非确定性

可验证 AI 的核心技术挑战在于确定性。神经网络在推理过程中执行数十亿次浮点运算。在现代 GPU 上,这些操作并非完全可复现:

非结合性 (Non-associativity):浮点加法不满足结合律。由于舍入误差,(a + b) + c 的结果可能与 a + (b + c) 不同。GPU 在数千个核心上并行执行求和运算,而部分和累加的顺序会因硬件和驱动程序版本的不同而变化。

内核调度变异性 (Kernel scheduling variability):GPU 内核(如矩阵乘法或注意力机制)可能会根据工作负载、驱动程序优化或硬件架构以不同的顺序执行。即使在同一块 GPU 上运行两次相同的模型,如果内核调度不同,也可能产生不同的结果。

批次大小依赖性 (Batch-size dependency):研究发现 LLM 推理具有系统级非确定性,因为输出取决于批次大小 (batch size)。许多内核(如 matmul、RMSNorm、attention)会根据同时处理的样本数量改变数值输出——批次大小为 1 的推理产生的值与在批次大小为 8 的同一输入中产生的值不同。

这些问题使得标准 AI 模型不适用于区块链验证。如果两个验证者重新运行相同的推理并得到略有不同的输出,谁才是正确的?如果没有确定性,共识就无法达成。

Verde 通过 RepOps (可复现算子) 解决了这一问题。这是一个通过控制所有设备上浮点运算顺序来消除硬件非确定性的库。其工作原理如下:

规范归约顺序 (Canonical reduction orders):RepOps 在执行矩阵乘法等运算时,强制执行部分结果求和的确定性顺序。RepOps 不再由 GPU 调度器决定,而是明确指定:在所有硬件上“先对第 0 列求和,然后是第 1 列,接着是第 2 列……”。这确保了 (a + b) + c 始终按相同的序列计算。

定制 CUDA 内核 (Custom CUDA kernels):Gensyn 开发了优化的内核,将可复现性置于原始速度之上。与标准的 cuBLAS 相比,RepOps 矩阵乘法的额外开销不到 30%——对于实现确定性来说,这是一个合理的权衡。

驱动程序与版本锁定 (Driver and version pinning):Verde 使用锁定版本的 GPU 驱动程序和规范配置,确保在不同硬件上执行的相同模型产生完全一致的位级输出。在一个数据中心的 NVIDIA A100 上运行的模型,其输出与另一个数据中心 AMD MI250 的输出在位级别上完全匹配。

这是实现 Judge 验证的突破:位级精确的可复现性 意味着验证者可以在不信任执行者的情况下独立确认结果。如果哈希值匹配,推理就是正确的——这在数学上是可证明的。

仲裁委托:无需完整重新计算的高效验证

即便拥有确定性执行,通过朴素方式验证 AI 推理的成本也极其高昂。一个拥有 700 亿参数、生成 1,000 个 token 的模型可能需要 10 个 GPU 小时。如果验证者必须重新运行每一次推理来验证正确性,那么验证成本将等于执行成本——这违背了去中心化的初衷。

Verde 的 仲裁委托机制 (refereed delegation mechanism) 使验证效率呈指数级提升:

多个不可信执行者:Judge 不再只分配给一个执行者,而是将任务分配给多个独立的提供者。每个执行者运行相同的推理并提交结果。

分歧触发调查:如果所有执行者达成一致,结果将被接受——无需进一步验证。如果输出不一致,Verde 会启动挑战博弈。

计算图上的二分查找:Verde 不会重新运行整个推理。相反,它在模型的计算图上执行二分查找,以找到结果产生分歧的第一个算子。这能精准定位导致差异的具体层(例如,“第 47 层注意力机制,第 8 个头”)。

极小化仲裁计算:仲裁者(可以是智能合约或计算能力有限的验证者)仅检查有争议的算子,而不是整个前向传播过程。对于一个拥有 80 层、70B 参数的模型,这在最坏情况下将验证工作量减少到仅需检查约 7 层 (log₂ 80)。

这种方法比朴素复制(即每个验证者重新运行所有内容)效率提升超过 1,350%。Gensyn 结合了加密证明、博弈论和优化流程,在不进行冗余计算的情况下保证了执行的正确性。

结果是:Judge 可以大规模验证 AI 工作负载,从而实现去中心化推理网络,让数千个不可信节点贡献算力——同时捕获并惩罚不诚实的执行者。

高风险 AI 决策:透明度为何至关重要

Judge 的目标市场并非普通的聊天机器人,而是那些可验证性不是“锦上添花”而是监管或经济要求的应用场景。在以下场景中,不透明的 API 可能会导致灾难性的失败:

去中心化金融 (DeFi):自主交易代理管理着数十亿资产。如果代理使用 AI 模型来决定何时重新平衡投资组合,用户需要证明该模型未被篡改。Judge 实现了链上验证:代理提交特定的模型哈希值,根据其输出执行交易,任何人都可以挑战其决策逻辑。这种透明度防止了恶意代理在没有证据的情况下声称“是 AI 让我平仓”的撤资 (Rug Pull) 行为。

监管合规:将 AI 用于信用评分、欺诈检测或反洗钱 (AML) 的金融机构面临审计。监管机构要求提供解释:“为什么模型会标记这笔交易?”不透明的 API 无法提供审计追踪。Judge 创建了模型版本、输入和输出的不可变记录,满足了合规性要求。

算法治理:去中心化自治组织 (DAO) 使用 AI 代理来提议治理决策或进行投票。社区成员必须验证代理使用的是经过批准的模型,而不是被黑客篡改的变体。通过 Judge,DAO 在其智能合约中编码模型哈希,每一项决策都包含正确性的加密证明。

医疗与法律 AI:医疗保健和法律系统需要问责制。医生在 AI 辅助下诊断癌症时需要记录所使用的确切模型版本。律师使用 AI 起草合同时必须证明输出源自经过审核、无偏见的模型。Judge 的链上审计追踪提供了这些证据。

预测市场与预言机:像 Polymarket 这样的项目使用 AI 来结算投注结果(例如,“这件事会发生吗?”)。如果结算取决于分析新闻文章的 AI 模型,参与者需要证明模型未被操纵。Judge 验证预言机的 AI 推理,防止产生争议。

在每种情况下,共同点在于 缺乏透明度的信任是不够的。正如 VeritasChain 所指出的,AI 系统需要“加密飞行记录仪”——即在发生争议时证明事实经过的不可变日志。

零知识证明的替代方案:Verde 与 ZKML 的对比

Judge 并不是实现可验证 AI 的唯一方法。零知识机器学习 (ZKML) 使用 zk-SNARKs 实现了类似的目标:通过加密证明确保计算正确执行,而无需透露输入或权重。

Verde 与 ZKML 相比如何?

验证成本:ZKML 生成证明所需的计算量大约是原始推理的 1,000 倍(研究预估)。一个拥有 70B 参数的模型如果推理需要 10 个 GPU 小时,那么证明可能需要 10,000 个 GPU 小时。Verde 的仲裁委托是对数级的:检查约 7 层而不是 80 层,实现了 10 倍的缩减,而不是 1,000 倍的增加。

证明者复杂度:ZKML 需要专门的硬件(如用于 zk-SNARK 电路的定制 ASIC)才能高效生成证明。Verde 可以在通用 GPU 上运行——任何拥有游戏电脑的矿工都可以参与。

隐私权衡:ZKML 的优势在于隐私——证明过程不会泄露任何关于输入或模型权重的信息。Verde 的确定性执行是透明的:输入和输出是公开的(尽管权重可以加密)。对于高风险的决策,透明度通常是更受欢迎的。一个对金库分配进行投票的 DAO 需要的是公开的审计追踪,而不是隐藏的证明。

证明范围:ZKML 在实际应用中仅限于推理——以当前的计算成本,证明训练过程是不可行的。Verde 同时支持推理和训练验证(Gensyn 更广泛的协议验证分布式训练)。

现实世界采用:像 Modulus Labs 这样的 ZKML 项目已经取得了突破(在链上验证了 18M 参数的模型),但仍局限于较小的模型。Verde 的确定性运行时已经在生产环境中处理 70B+ 参数的模型。

ZKML 在隐私至上的场景中表现出色——例如在不暴露虹膜扫描的情况下验证生物识别身份 (Worldcoin)。Verde 在以透明度为目标的场景中表现出色——证明特定的公开模型已正确执行。这两种方法是互补的,而非竞争关系。

Gensyn 生态系统:从 Judge 到去中心化训练

Judge 是 Gensyn 宏伟蓝图中的一个组件:一个用于机器学习计算的去中心化网络。该协议包括:

执行层:在异构硬件(消费级 GPU、企业级集群、边缘设备)之间实现一致的机器学习执行。Gensyn 标准化了推理和训练工作负载,确保了兼容性。

验证层 (Verde):使用仲裁委托进行无需信任的验证。不诚实的执行者会被检测并受到惩罚。

点对点通信:在没有中心化协调的情况下跨设备分配工作负载。矿工接收任务、执行任务并直接向区块链提交证明。

去中心化协调:以太坊 Rollup 上的智能合约无许可地识别参与者、分配任务并处理支付。

Gensyn 的公共测试网于 2025 年 3 月启动,主网计划于 2026 年发布。 $AI 代币公开销售于 2025 年 12 月进行,为矿工和验证者建立了经济激励机制。

Judge 作为评估层融入此生态系统:虽然 Gensyn 的核心协议处理训练和推理,但 Judge 确保这些输出是可验证的。这创造了一个飞轮效应:

开发者在 Gensyn 的去中心化网络上训练模型(由于闲置的消费级 GPU 提供算力,成本比 AWS 更低)。

模型在 Judge 的保证下部署以确保评估的完整性。应用程序通过 Gensyn 的 API 消费推理结果,但与 OpenAI 不同,每一个输出都包含加密证明。

验证者通过检查证明和捕获欺诈行为赚取费用,使经济激励与网络安全保持一致。

信任随着更多应用采用可验证 AI 而扩展,减少了对中心化供应商的依赖。

最终目标:实现可证明正确、去中心化且任何人都能访问的 AI 训练和推理——而不仅仅属于大型科技公司。

挑战与开放性问题

Judge 的方法具有开创性,但仍面临一些挑战:

性能开销:RepOps 30% 的性能损耗对于验证来说是可以接受的,但如果每次推理都必须以确定性方式运行,那么对延迟敏感的应用(实时交易、自动驾驶汽车)可能会倾向于更快、不可验证的替代方案。Gensyn 的路线图可能包括进一步优化 RepOps——但在速度和确定性之间存在根本性的权衡。

驱动程序版本碎片化:Verde 假设使用固定版本的驱动程序,但 GPU 制造商不断发布更新。如果某些矿工使用 CUDA 12.4 而其他矿工使用 12.5,位级复现性就会失效。Gensyn 必须执行严格的版本管理——这增加了矿工加入的复杂性。

模型权重保密性:Judge 的透明度对于公开模型是一个特性,但对于私有模型则是一个缺陷。如果一家对冲基金训练了一个有价值的交易模型,将其部署在 Judge 上会通过链上承诺将权重暴露给竞争对手。对于秘密模型,基于 ZKML 的替代方案可能更受青睐——这表明 Judge 的目标是开放或半开放的 AI 应用。

争议解决延迟:如果挑战者声称存在欺诈,通过二分查找解决争议需要多次链上交易(每一轮都会缩小搜索范围)。高频应用无法等待数小时来达成最终性。Gensyn 可能会引入乐观验证(除非在窗口期内受到挑战,否则假设正确)以降低延迟。

仲裁委托中的抗女巫攻击:如果多个执行者必须达成一致,如何防止单个实体通过女巫身份控制所有执行者?Gensyn 可能会使用基于质押权重的选择(优先选择声誉高的验证者)结合罚没 (Slashing) 机制来威慑共谋——但经济阈值必须经过精心校准。

这些并不是无法逾越的障碍——它们是工程挑战。核心创新(确定性 AI + 加密验证)是可靠的。随着测试网向主网过渡,执行细节将会趋于成熟。

可验证 AI 之路:采用路径与市场契合度

Judge 的成功取决于采用率。哪些应用将率先部署可验证 AI?

带有自治代理的 DeFi 协议:Aave、Compound 或 Uniswap DAO 可以集成经 Judge 验证的代理进行国库管理。社区投票批准模型哈希,所有代理决策都包含证明。这种透明度建立了信任——这对 DeFi 的合法性至关重要。

预测市场与预言机:Polymarket 或 Chainlink 等平台可以使用 Judge 来结算投注或交付价格喂价。分析情绪、新闻或链上活动的 AI 模型将产生可验证的输出——消除关于预言机操纵的争议。

去中心化身份与 KYC:需要基于 AI 的身份验证(如自拍年龄估算、文件真实性检查)的项目可以从 Judge 的审计轨迹中受益。监管机构可以接受合规性的加密证明,而无需信任中心化身份提供商。

社交媒体的内容审核:去中心化社交网络(Farcaster、Lens Protocol)可以部署经 Judge 验证的 AI 审核员。社区成员可以验证审核模型是否存在偏见或被审查——从而确保平台的中立性。

AI 即服务(AI-as-a-Service)平台:开发 AI 应用的开发者可以提供“可验证推理”作为一项高级功能。用户为证明支付额外费用,从而使服务区别于不透明的替代方案。

其共同点是:在这些应用中,信任的成本很高(由于监管、去中心化或高风险),且验证成本是可接受的(与确定性的价值相比)。

Judge 不会在消费者聊天机器人领域取代 OpenAI——用户在询问食谱建议时并不关心 GPT-4 是否可验证。但在金融算法、医疗工具和治理系统领域,可验证 AI 才是未来。

可验证性成为新标准

Gensyn 的 Judge 代表了一场范式转移:AI 评估正从“信任提供商”转向“验证证明”。其技术基础——通过 Verde 实现的位精确(bitwise-exact)可复现性、通过裁判委托(refereed delegation)实现的高效验证以及链上审计轨迹——使这一转变变得切实可行,而不仅仅是愿景。

其影响远超 Gensyn 本身。如果可验证 AI 成为标准,中心化提供商将失去其护城河。OpenAI 的价值主张不仅在于 GPT-4 的能力,还在于无需管理基础设施的便利性。但如果 Gensyn 证明去中心化 AI 能够匹配中心化性能并增加可验证性,开发者就没有理由被锁定在专有 API 中。

竞赛已经开始。ZKML 项目(Modulus Labs、Worldcoin 的生物识别系统)押注于零知识证明。确定性运行时(Gensyn 的 Verde、EigenAI)押注于可复现性。乐观方案(区块链 AI 预言机)押注于欺诈证明。每条路径都有权衡,但终点是一致的:即输出是可证明的、而不仅仅是看似合理的 AI 系统

对于高风险决策,这不再是可选项。监管机构不会接受金融、医疗或法律应用中 AI 提供商的“相信我们”。DAO 不会将国库管理委托给黑箱代理。随着自主 AI 系统变得越来越强大,公众将要求透明度。

Judge 是第一个实现这一承诺的生产就绪系统。测试网已上线。加密基础扎实。市场——价值 270 亿美元的 AI 代理加密货币、算法管理的数十亿 DeFi 资产以及不断增加的监管压力——已经准备就绪。

不透明 AI API 的时代即将结束。可验证智能的时代正在开启。而 Gensyn 的 Judge 正照亮前路。

参考资料:

Nillion 的 Blacklight 正式上线:ERC-8004 如何为自主 AI 代理构建信任层

· 阅读需 14 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 2 月 2 日,AI 智能体经济迈出了关键一步。Nillion 推出了 Blacklight,这是一个实现 ERC-8004 标准 的验证层,旨在解决区块链领域最紧迫的问题之一:如何信任一个你从未见过的 AI 智能体?

答案并非简单的信誉评分或中心化注册表。它是一个由密码学证明、可编程审计和社区运营节点网络支持的五步验证过程。随着自主智能体越来越多地执行交易、管理财库和协调跨链活动,Blacklight 代表了实现大规模无须信任 AI 协作的基础设施。

AI 智能体无法独自解决的信任问题

数据说明了一切。AI 智能体现在贡献了 Polymarket 交易量的 30%,处理跨多个协议的 DeFi 收益策略,并自主执行复杂的流程。但存在一个根本性的瓶颈:在没有预先建立关系的情况下,智能体如何验证彼此的可信度?

传统系统依赖于中心化机构颁发凭证。Web3 的承诺则不同——通过密码学和共识进行无须信任的验证。然而,在 ERC-8004 出现之前,智能体没有标准化的方式来证明其真实性、跟踪其行为或在链上验证其决策逻辑。

这不仅仅是一个理论问题。正如 Davide Crapis 所解释的,“ERC-8004 实现了去中心化 AI 智能体之间的交互,建立了无须信任的商业,并增强了以太坊上的信誉系统。”没有它,智能体之间的商业活动仍将局限于封闭花园,或者需要手动监管——这违背了自主化的初衷。

ERC-8004:三层注册表信任基础设施

ERC-8004 标准 于 2026 年 1 月 29 日在以太坊主网上线,通过三个链上注册表建立了一个模块化的信任层:

身份注册表 (Identity Registry):使用 ERC-721 提供可移植的智能体标识符。每个智能体都会收到一个代表其独特链上身份的非同质化代币 (NFT),从而实现跨平台识别并防止身份冒用。

信誉注册表 (Reputation Registry):收集标准化的反馈和评分。与中心化评论系统不同,反馈通过密码学签名记录在链上,创建了不可篡改的审计轨迹。任何人都可以抓取这些历史记录并构建自定义的信誉算法。

验证注册表 (Validation Registry):支持对智能体工作进行密码学和经济验证。这是进行可编程审计的地方——验证者可以重新执行计算、验证零知识证明,或利用可信执行环境 (TEEs) 来确认智能体的行为是否正确。

ERC-8004 的卓越之处在于其不设限的设计。正如 技术规范 所指出的,该标准支持各种验证技术:“受 EigenLayer 等系统启发的任务质押安全重执行、零知识机器学习 (zkML) 证明的验证,以及来自可信执行环境的见证。”

这种灵活性至关重要。一个 DeFi 套利智能体可能会使用 zkML 证明来验证其交易逻辑而不泄露 Alpha。一个供应链智能体可能会使用 TEE 见证来证明其正确访问了现实世界的数据。一个跨链桥智能体可能会依靠带有罚没机制 (slashing) 的加密经济验证来确保诚实执行。

Blacklight 的五步验证流程

Nillion 在 Blacklight 上对 ERC-8004 的实现增加了一个关键层:社区运营的验证节点。以下是该流程的工作原理:

1. 智能体注册:智能体在身份注册表中注册其身份,并获得一个 ERC-721 NFT。这创建了一个与智能体公钥绑定的独特链上标识符。

2. 发起验证请求:当智能体执行需要验证的操作(例如执行交易、转移资金或更新状态)时,它会向 Blacklight 提交验证请求。

3. 委员会分配:Blacklight 协议随机分配一个验证节点委员会来审计该请求。这些节点由质押了 70,000 个 NIL 代币的社区成员运营,从而使激励措施与网络完整性保持一致。

4. 节点检查:委员会成员重新执行计算或验证密码学证明。如果验证者检测到不当行为,他们可以罚没智能体的质押资金(在采用加密经济验证的系统中),或在信誉注册表中标记该身份。

5. 链上报告:结果发布在链上。验证注册表记录智能体的工作是否通过验证,从而创建永久的执行证明。信誉注册表也会相应更新。

这一过程是异步且非阻塞的,这意味着智能体在执行常规任务时无需等待验证完成——但高风险操作(如大额转账、跨链操作)可能需要预先验证。

可编程审计:超越二进制信任

Blacklight 最具雄心的功能是“可编程验证”——即能够审计代理 如何 做出决策,而不仅仅是审计它做了 什么

考虑一个管理财库的 DeFi 代理。传统的审计验证资金是否正确移动。可编程审计则验证:

  • 决策逻辑一致性:代理是否遵循了其陈述的投资策略,还是偏离了策略?
  • 多步工作流执行:如果代理应该在三个链上重新平衡投资组合,它是否完成了所有步骤?
  • 安全约束:代理是否遵守了 gas 限制、滑点容差和风险敞口上限?

由于 ERC-8004 的验证注册表(Validation Registry)支持任意证明系统,这成为了可能。代理可以在链上提交决策算法(例如,其神经网络权重的哈希值或代表其逻辑的 zk-SNARK 电路),然后证明每项操作都符合该算法,而无需透露专有细节。

Nillion 的路线图 明确针对这些用例:“Nillion 计划将 Blacklight 的功能扩展到‘可编程验证’,实现对复杂行为的去中心化审计,如代理决策逻辑的一致性、多步工作流执行和安全约束。”

这将验证从反应式(事后捕捉错误)转变为主动式(通过设计强制执行正确行为)。

盲计算:隐私与验证的结合

Nillion 的底层技术——Nil 消息计算(NMC)——为代理验证增加了隐私维度。与所有数据公开的传统区块链不同,Nillion 的“盲计算”能够在不解密的情况下对加密数据进行操作。

这里是这对代理至关重要的原因:AI 代理可能需要在不向竞争对手泄露 Alpha 的情况下验证其交易策略。或者证明它在不暴露患者数据的情况下正确访问了机密医疗记录。或者在不披露专有业务逻辑的情况下证明符合监管约束。

Nillion 的 NMC 通过多方计算(MPC)实现这一点,其中节点协作生成“盲因子”(blinding factors)——用于加密数据的相关随机性。正如 DAIC Capital 所解释的:“节点生成处理数据所需的关键网络资源——一种被称为盲因子的相关随机性——每个节点都安全地存储其盲因子的份额,以量子安全的方式在网络中分配信任。”

这种架构在设计上具有抗量子性。即使量子计算机破解了当今的椭圆曲线加密,分布式的盲因子仍然是安全的,因为没有单个节点拥有足够的信息来解密数据。

对于 AI 代理而言,这意味着验证不需要牺牲机密性。代理可以证明其正确执行了任务,同时保持其方法、数据源和决策逻辑的私密性。

43 亿美元的代理经济基础设施博弈

Blacklight 的推出正值区块链 AI 领域进入高速增长期。该市场预计将从 6.8 亿美元(2025 年)增长到 43 亿美元(2034 年),复合年增长率为 22.9%,而更广泛的机密计算市场到 2032 年将达到 3500 亿美元。

但 Nillion 不仅仅是在赌市场扩张——它正将自己定位为关键基础设施。代理经济的瓶颈不是计算或存储,而是 大规模的信任。正如 KuCoin 的 2026 年展望 所指出的,三大趋势正在重塑 AI 身份和价值流:

代理封装代理(Agent-Wrapping-Agent)系统:代理与其他代理协作执行复杂的多步任务。这需要标准化的身份和验证——这正是 ERC-8004 所提供的。

KYA(了解你的代理,Know Your Agent):金融基础设施对代理凭证的需求。监管机构不会批准在没有正确行为证明的情况下让自主代理管理资金。Blacklight 的可编程审计直接解决了这个问题。

纳支付(Nano-payments):代理需要高效地结算微支付。在 2026 年 1 月处理了超过 2000 万笔交易的 x402 支付协议,通过处理结算来补充 ERC-8004,而 Blacklight 则负责处理信任。

这些标准在彼此相隔几周内就达到了生产就绪状态,这标志着基础设施成熟度的协作突破。

以太坊的代理优先未来

ERC-8004 的采用范围远超 Nillion。截至 2026 年初,多个项目已集成该标准:

  • Oasis Network:通过基于 TEE 的验证实施 用于机密计算的 ERC-8004
  • The Graph:支持 ERC-8004 和 x402,以在去中心化索引中实现 可验证的代理交互
  • MetaMask:探索内置 ERC-8004 身份的代理钱包
  • Coinbase:为机构代理托管解决方案集成 ERC-8004

这种快速采用反映了以太坊路线图的更广泛转变。Vitalik Buterin 反复强调,区块链的角色正变成 AI 代理的“管道”——不是面向消费者的层,而是实现自主协作的信任基础设施。

Nillion 的 Blacklight 通过使验证变得可编程、隐私保护和去中心化,加速了这一愿景。代理可以利用密码学证明其正确性,而无需依赖中心化的预言机或人工审查。

下一步:主网集成与生态扩展

Nillion 的 2026 年路线图 优先考虑以太坊兼容性和可持续的去中心化。以太坊桥已于 2026 年 2 月上线,随后推出了用于质押和私有计算的原生智能合约。

质押 70,000 枚 NIL 代币的社区成员可以运行 Blacklight 验证节点,在赚取奖励的同时维护网络完整性。这种设计模仿了以太坊的验证者经济模型,但增加了专门的验证角色。

接下来的里程碑包括:

  • 扩展 zkML 支持:与 Modulus Labs 等项目集成,在链上验证 AI 推理
  • 跨链验证:使 Blacklight 能够验证在以太坊、Cosmos 和 Solana 上运行的 Agent
  • 机构合作伙伴关系:与 Coinbase 和合作伙伴合作进行企业级 Agent 部署
  • 合规工具:为金融服务应用构建 KYA 框架

或许最重要的是,Nillion 正在开发 nilGPT —— 一个全私有的 AI 聊天机器人,展示了盲计算(Blind Computation)如何实现机密的 Agent 交互。这不仅仅是一个演示;它为医疗保健、金融和政府领域处理敏感数据的 Agent 提供了蓝图。

无需信任协作的终局

Blacklight 的发布标志着 Agent 经济的一个转折点。在 ERC-8004 出现之前,Agent 在孤岛中运行 —— 在各自的生态系统中受到信任,但如果没有人类中间人,就无法跨平台协作。在 ERC-8004 之后,Agent 可以相互验证身份、审计彼此的行为,并自主结算支付。

这开启了全新的应用类别:

  • 去中心化对冲基金:Agent 跨链管理投资组合,具有可验证的投资策略和透明的业绩审计
  • 自主供应链:Agent 在没有中心化监督的情况下协调物流、支付和合规
  • AI 驱动的 DAO:由 Agent 管理的组织,根据经过密码学验证的决策逻辑进行投票、提案和执行
  • 跨协议流动性管理:Agent 在具有可编程风险约束的 DeFi 协议之间重新平衡资产

共同点是什么?所有这些都需要无需信任的协作 —— 即 Agent 在没有预先存在的关系或中心化信任锚点的情况下共同工作的能力。

Nillion 的 Blacklight 正提供了这一点。通过将 ERC-8004 的身份和声誉基础设施与可编程验证和盲计算相结合,它创建了一个信任层,其扩展性足以支撑即将到来的万亿级 Agent 经济。

随着区块链成为 AI Agent 和全球金融的基础设施,问题不再是我们是否需要验证基础设施,而是谁来构建它,以及它是去中心化的还是由少数守门人控制的。Blacklight 的社区运行节点和开放标准为前者提供了有力支持。

链上自主参与者的时代已经到来。基础设施已经上线。剩下的唯一问题是,在其之上会构建出什么。

参考资料:

通过 zkML 和密码学证明实现可验证的链上 AI

· 阅读需 41 分钟
Dora Noda
Dora Noda
Software Engineer

引言:区块链上对可验证 AI 的需求

随着 AI 系统的影响力日益增强,确保其输出的可信度变得至关重要。传统方法依赖于机构担保(本质上是_“相信我们就行”),但这并不能提供任何密码学上的保证。在像区块链这样的去中心化环境中,这个问题尤为突出,因为智能合约或用户必须信任一个由 AI 推导出的结果,却无法在链上重新运行一个计算量巨大的模型。零知识机器学习 (zkML) 通过允许对机器学习 (ML) 计算进行_密码学验证_来解决这个问题。本质上,zkML 使证明者能够生成一个简洁的证明,证明“输出 $Y$ 来自于在输入 $X$ 上运行模型 $M$”——并且无需透露 $X$ 或 $M$ 的内部细节。这些零知识证明 (ZKPs) 可以被任何人(或任何合约)高效地验证,从而将 AI 的信任基础从“策略”转变为“证明”_。

AI 的链上可验证性意味着区块链可以通过验证一个正确执行的证明来整合高级计算(如神经网络推理),而无需亲自执行这些计算。这具有广泛的影响:智能合约可以基于 AI 预测做出决策,去中心化自治代理可以证明它们遵循了其算法,跨链或链下计算服务可以提供可验证的输出,而不是无法验证的预言机。最终,zkML 为实现无需信任且保护隐私的 AI 提供了一条路径——例如,证明一个 AI 模型的决策是正确且经过授权的,_同时_不暴露私有数据或专有模型权重。这对于从安全医疗分析到区块链游戏和 DeFi 预言机等各种应用都至关重要。

zkML 的工作原理:将 ML 推理压缩为简洁证明

从宏观上看,zkML 将密码学证明系统与 ML 推理相结合,使得一个复杂的模型评估可以被“压缩”成一个微小的证明。在内部,ML 模型(例如神经网络)被表示为一个由许多算术运算(矩阵乘法、激活函数等)组成的电路或程序。证明者在链下执行完整的计算,然后使用零知识证明协议来证明每一步都正确完成,而不是揭示所有中间值。验证者仅凭证明和一些公开数据(如最终输出和模型标识符),就能在密码学上确信其正确性,而无需重新执行模型。

为了实现这一点,zkML 框架通常将模型计算转换为一种适合 ZKP 的格式:

  • 电路编译: 在基于 SNARK 的方法中,模型的计算图被编译成一个_算术电路_或一组多项式约束。神经网络的每一层(卷积、矩阵乘法、非线性激活)都成为一个子电路,其约束确保了在给定输入的情况下输出是正确的。由于神经网络涉及非线性操作(如 ReLU、Sigmoid 等),这些操作天然不适合多项式,因此采用查找表等技术来高效处理它们。例如,一个 ReLU(输出 = max(0, 输入))可以通过一个自定义约束或查找来强制执行,该约束或查找验证当输入≥0 时输出等于输入,否则为零。最终结果是一组密码学约束,证明者必须满足这些约束,从而间接证明模型运行正确。
  • 执行轨迹与虚拟机: 另一种方法是将模型推理视为一个程序轨迹,正如在 zkVM 方法中所做的那样。例如,JOLT zkVM 针对 RISC-V 指令集;可以将 ML 模型(或计算它的代码)编译成 RISC-V,然后证明每个 CPU 指令都正确执行。JOLT 引入了一种_“查找奇点”_技术,用快速的表查找替代了昂贵的算术约束,以处理每个有效的 CPU 操作。每个操作(加法、乘法、位运算等)都通过在一个巨大的预计算有效结果表中进行查找来检查,并使用专门的论证(Lasso/SHOUT)来保持其高效性。这大大减少了证明者的工作量:即使是复杂的 64 位操作,在证明中也变成了一次表查找,而不是许多算术约束。
  • 交互式协议 (GKR Sum-Check): 第三种方法使用像 GKR (Goldwasser–Kalai–Rotblum) 这样的交互式证明来验证分层计算。在这里,模型的计算被看作一个分层算术电路(每个神经网络层是电路图的一层)。证明者正常运行模型,然后参与一个 sum-check 协议_来证明每一层的输出相对于其输入是正确的。在 Lagrange 的方法(DeepProve,下文详述)中,证明者和验证者执行一个交互式多项式协议(通过 Fiat-Shamir 变为非交互式),该协议检查每一层计算的一致性,而无需重新进行计算。这种 sum-check 方法避免了生成一个庞大的静态电路;相反,它以逐步的方式验证_计算的一致性,且密码学操作最少(主要是哈希或多项式求值)。

无论采用何种方法,最终都会得到一个简洁的证明(通常为几 KB 到几十 KB),证明整个推理过程的正确性。该证明是_零知识的_,意味着任何秘密输入(私有数据或模型参数)都可以保持隐藏——它们影响证明的生成,但不会向验证者透露。只有预期的公共输出或断言才会被揭示。这使得诸如_“证明模型 $M$ 应用于患者数据 $X$ 得到诊断 $Y$,而不泄露 $X$ 或模型的权重”_这样的场景成为可能。

实现链上验证: 一旦生成了证明,就可以将其发布到区块链上。智能合约可以包含验证逻辑来检查该证明,通常使用预编译的密码学原语。例如,以太坊有用于许多 zk-SNARK 验证器中使用的 BLS12-381 配对操作的预编译合约,这使得 SNARK 证明的链上验证非常高效。STARKs(基于哈希的证明)虽然更大,但通过仔细优化或可能带有一些信任假设,仍然可以在链上验证(例如,StarkWare 的 L2 通过一个链上验证器合约在以太坊上验证 STARK 证明,尽管 Gas 成本比 SNARKs 高)。关键在于,区块链不需要执行 ML 模型——它只需运行一个验证过程,这比原始计算要_便宜得多_。总而言之,zkML 将昂贵的 AI 推理压缩成一个微小的证明,区块链(或任何验证者)可以在毫秒到秒级的时间内完成验证。

Lagrange DeepProve:一个 zkML 突破的架构与性能

由 Lagrange Labs 推出的 DeepProve 是一个专注于速度和可扩展性的尖端 zkML 推理框架。DeepProve 于 2025 年发布,引入了一种新的证明系统,其速度远超之前的解决方案(如 Ezkl)。其设计核心是_带有 sum-check 的 GKR 交互式证明协议_以及针对神经网络电路的专门优化。以下是 DeepProve 的工作原理及其性能表现:

  • 一次性预处理: 开发者从一个训练好的神经网络开始(目前支持的类型包括多层感知器和流行的 CNN 架构)。模型被导出为 ONNX 格式,这是一种标准的图表示。然后,DeepProve 的工具会解析 ONNX 模型并对其进行_量化_(将权重转换为定点/整数形式),以便进行高效的域运算。在此阶段,它还会为密码学协议生成证明和验证密钥。这个设置过程对每个模型只需进行一次,无需在每次推理时重复。DeepProve 强调易于集成:“将你的模型导出到 ONNX → 一次性设置 → 生成证明 → 随处验证”

  • 证明(推理 + 证明生成): 设置完成后,证明者(可以由用户、服务或 Lagrange 的去中心化证明者网络运行)接收一个新的输入 $X$ 并在其上运行模型 $M$,得到输出 $Y$。在此执行过程中,DeepProve 会记录每一层计算的执行轨迹。与 SNARK 方法预先将每个乘法转换为静态电路不同,DeepProve 使用线性时间的 GKR 协议来动态验证每一层。对于每个网络层,证明者提交该层的输入和输出(例如,通过密码学哈希或多项式承诺),然后参与一个 sum-check 论证,以证明输出确实是根据该层的功能由输入产生的。sum-check 协议通过迭代方式让验证者相信一个编码了该层计算的多项式求值之和的正确性,而无需透露实际值。非线性操作(如 ReLU、softmax)在 DeepProve 中通过_查找论证_得到高效处理——如果一个激活函数的输出被计算出来,DeepProve 可以证明每个输出都对应于该函数预计算表中的一个有效输入-输出对。逐层生成证明,然后聚合成一个覆盖整个模型前向传播的简洁证明。密码学的繁重工作被最小化——DeepProve 的证明者主要执行正常的数值计算(实际的推理)外加一些轻量级的密码学承诺,而不是解决一个巨大的约束系统。

  • 验证: 验证者使用最终的简洁证明以及一些公开值——通常是模型的承诺标识符(对 $M$ 权重的密码学承诺)、输入 $X$(如果不是私密的)和声称的输出 $Y$——来检查正确性。在 DeepProve 的系统中,验证涉及验证 sum-check 协议的记录以及最终的多项式或哈希承诺。这比验证一个经典的 SNARK(可能只需几次配对操作)要复杂,但它比_重新运行模型要便宜得多_。在 Lagrange 的基准测试中,验证一个中等规模 CNN 的 DeepProve 证明在软件中大约需要 0.5 秒。这意味着用约 0.5 秒就能确认一个拥有数十万参数的卷积网络运行正确——比在 GPU 上简单地重新计算该 CNN 进行验证快 500 倍以上。(事实上,DeepProve 测得 CNN 的_验证速度快了 521 倍_,MLP 的_验证速度快了 671 倍_,相较于重新执行。)证明的大小足够小,可以在链上传输(几十 KB),并且验证可以在智能合约中执行,尽管 0.5 秒的计算可能需要仔细的 Gas 优化或在 Layer-2 上执行。

架构与工具: DeepProve 使用 Rust 实现,并为开发者提供了一个工具包(zkml 库)。它原生支持 ONNX 模型图,使其与 PyTorch 或 TensorFlow 导出的模型兼容。目前的证明过程针对参数量高达数百万的模型(测试包括一个 400 万参数的密集网络)。DeepProve 结合了多种密码学组件:一个多线性多项式承诺(用于承诺层输出)、用于验证计算的 sum-check 协议,以及用于非线性操作的查找论证。值得注意的是,Lagrange 的开源仓库承认其工作建立在先前工作(Scroll 的 Ceno 项目中的 sum-check 和 GKR 实现)之上,这表明 zkML 与零知识 rollup 研究存在交集。

为了实现实时可扩展性,Lagrange 将 DeepProve 与其证明者网络 (Prover Network) 相结合——这是一个由专门的 ZK 证明者组成的去中心化网络。繁重的证明生成可以外包给这个网络:当一个应用需要证明一个推理时,它将任务发送到 Lagrange 的网络,网络中的许多运营商(在 EigenLayer 上质押以确保安全)计算证明并返回结果。该网络通过经济激励来保证可靠的证明生成(恶意或失败的任务会导致运营商被罚没)。通过将工作分散给多个证明者(并可能利用 GPU 或 ASIC),Lagrange 证明者网络为最终用户隐藏了复杂性和成本。其结果是一个快速、可扩展且去中心化的 zkML 服务:“快速且经济地实现可验证的 AI 推理”

性能里程碑: DeepProve 的声明得到了与先前最先进技术 Ezkl 的基准测试支持。对于一个约有 26.4 万参数的 CNN(CIFAR-10 规模的模型),DeepProve 的证明时间约为 1.24 秒,而 Ezkl 则需要约 196 秒——快了约 158 倍。对于一个拥有 400 万参数的更大型密集网络,DeepProve 在约 2.3 秒内证明了一次推理,而 Ezkl 则需要约 126.8 秒(快了约 54 倍)。验证时间也大幅下降:DeepProve 在约 0.6 秒内验证了 26.4 万参数 CNN 的证明,而在该测试中,验证 Ezkl 的证明(基于 Halo2)在 CPU 上耗时超过 5 分钟。这些速度提升源于 DeepProve 的近线性复杂度:其证明者的扩展性大致为 O(n),其中 n 是操作数,而基于电路的 SNARK 证明者通常具有超线性的开销(FFT 和多项式承诺的扩展性)。事实上,DeepProve 的证明者吞吐量可以与普通推理运行时间在同一数量级内——最新的 GKR 系统对于大型矩阵乘法,其速度可以比原始执行慢不到 10 倍,这在 ZK 领域是一项了不起的成就。这使得_实时或按需证明_变得更加可行,为在交互式应用中实现可验证 AI 铺平了道路。

用例: Lagrange 已经与 Web3 和 AI 项目合作,应用 zkML。用例包括:可验证的 NFT 特征(证明一个由 AI 生成的游戏角色或收藏品的进化是由授权模型计算的)、AI 内容的来源证明(证明一张图片或一段文本是由特定模型生成的,以打击深度伪造)、DeFi 风险模型(证明一个评估金融风险的模型输出,而不泄露专有数据),以及_医疗或金融领域的私密 AI 推理_(医院可以获得带有证明的 AI 预测,确保正确性而不暴露患者数据)。通过使 AI 输出可验证且保护隐私,DeepProve 为去中心化系统中_“你可以信任的 AI”打开了大门——从一个“盲目信任黑盒模型”的时代,迈向一个“客观保证”_的时代。

基于 SNARK 的 zkML:Ezkl 与 Halo2 方法

传统的 zkML 方法使用 zk-SNARKs(简洁非交互式知识论证)来证明神经网络推理。Ezkl(由 ZKonduit/Modulus Labs 开发)是这种方法的领先范例。它建立在 Halo2 证明系统之上(一种带有 BLS12-381 上的多项式承诺的 PLONK 风格 SNARK)。Ezkl 提供了一个工具链,开发者可以拿一个 PyTorch 或 TensorFlow 模型,将其导出为 ONNX 格式,然后让 Ezkl 自动将其编译成一个自定义的算术电路。

工作原理: 神经网络的每一层都被转换为约束:

  • 线性层(密集层或卷积层)变成了一系列乘法-加法约束,强制执行输入、权重和输出之间的点积。
  • 非线性层(如 ReLU、sigmoid 等)通过查找或分段约束来处理,因为这些函数不是多项式。例如,一个 ReLU 可以通过一个布尔选择器 $b$ 和约束来实现,确保 $y = x \cdot b$、$0 \le b \le 1$ 且当 $x>0$ 时 $b=1$(这是一种实现方式),或者更高效地通过一个查找表,将 $x$ 映射到 $\max(0,x)$,适用于一定范围的 $x$ 值。Halo2 的查找论证允许映射 16 位(或更小)的值块,因此大的域(如所有 32 位值)通常被_“分块”_成几个较小的查找。这种分块增加了约束的数量。
  • 大整数运算或除法(如果有的话)同样被分解成小块。最终结果是一大组针对特定模型架构定制的 R1CS/PLONK 约束

然后,Ezkl 使用 Halo2 生成一个证明,证明在给定秘密输入(模型权重、私有输入)和公共输出的情况下,这些约束成立。工具与集成: SNARK 方法的一个优势是它利用了众所周知的原语。Halo2 已经在以太坊的 rollup 中使用(例如 Zcash、zkEVMs),因此它经过了实战检验,并且有现成的链上验证器。Ezkl 的证明使用 BLS12-381 曲线,以太坊可以通过预编译合约进行验证,这使得在智能合约中验证 Ezkl 证明变得非常直接。该团队还提供了用户友好的 API;例如,数据科学家可以在 Python 中使用他们的模型,并使用 Ezkl 的命令行工具来生成证明,而无需深入了解电路知识。

优势: Ezkl 的方法得益于 SNARKs 的通用性和生态系统。它支持相当复杂的模型,并且已经有了_“实际的集成案例(从 DeFi 风险模型到游戏 AI)”_,证明了现实世界中的 ML 任务。因为它在模型的计算图层面操作,所以可以应用特定于 ML 的优化:例如,修剪不重要的权重或量化参数以减小电路大小。这也意味着模型机密性是天然的——权重可以被视为私有见证数据,因此验证者只看到_某个_有效的模型产生了该输出,或者最多只是一个对模型的承诺。SNARK 证明的验证速度极快(通常在链上为几毫秒或更短),并且证明大小很小(几 KB),这对于区块链使用非常理想。

劣势: 性能是其阿喀琉斯之踵。基于电路的证明带来了巨大的开销,尤其是随着模型规模的增长。据记载,历史上 SNARK 电路对证明者来说可能比仅仅运行模型本身要多出_一百万倍的工作量_。Halo2 和 Ezkl 对此进行了优化,但像大型矩阵乘法这样的操作仍然会产生_大量_的约束。如果一个模型有数百万个参数,证明者就必须处理相应数百万个约束,并在此过程中执行繁重的 FFT 和多重指数运算。这导致了很长的证明时间(对于非平凡的模型通常需要几分钟或几小时)和高内存使用。例如,用 Ezkl 证明一个相对较小的 CNN(例如几十万个参数)在单台机器上可能需要几十分钟。DeepProve 背后的团队指出,对于某些模型证明,Ezkl 需要数小时,而 DeepProve 可以在几分钟内完成。大型模型甚至可能无法装入内存,或者需要分割成多个证明(然后需要递归聚合)。虽然 Halo2 经过了_“适度优化”,但任何需要“分块”查找或处理宽位操作的需求都会转化为额外的开销。总而言之,可扩展性有限——Ezkl 对于中小型模型效果很好(并且在基准测试中确实_优于一些早期的替代方案,如朴素的基于 Stark 的 VM),但随着模型规模超过某个点,它就会遇到困难。

尽管存在这些挑战,Ezkl 和类似的基于 SNARK 的 zkML 库是重要的垫脚石。它们证明了_在链上实现可验证的 ML 推理是可能的_,并且已经有了活跃的使用。值得注意的是,像 Modulus Labs 这样的项目展示了使用 SNARKs(经过大量优化)在链上验证一个 1800 万参数的模型。成本虽然不菲,但这显示了发展轨迹。此外,Mina 协议拥有自己的 zkML 工具包,该工具包使用 SNARKs 来允许 Mina 上的智能合约(本身就是基于 Snark 的)验证 ML 模型的执行。这表明基于 SNARK 的 zkML 正在获得越来越多的多平台支持。

基于 STARK 的方法:透明且可编程的 ZK for ML

zk-STARKs(可扩展透明知识论证)为 zkML 提供了另一条途径。STARKs 使用基于哈希的密码学(如用于多项式承诺的 FRI),并避免了任何可信设置。它们通常通过模拟一个 CPU 或 VM 并证明其执行轨迹是正确的来运作。在 ML 的背景下,可以为神经网络构建一个自定义的 STARK,_或者_使用一个通用的 STARK VM 来运行模型代码。

通用 STARK VMs (RISC Zero, Cairo): 一个直接的方法是编写推理代码并在 STARK VM 中运行它。例如,Risc0 提供了一个 RISC-V 环境,任何代码(例如,用 C++ 或 Rust 实现的神经网络)都可以在其中执行并通过 STARK 进行证明。同样,StarkWare 的 Cairo 语言可以表达任意计算(如 LSTM 或 CNN 推理),然后由 StarkNet STARK 证明者进行证明。其优势在于灵活性——你不需要为每个模型设计自定义电路。然而,早期的基准测试表明,对于 ML 任务,朴素的 STARK VM 比优化的 SNARK 电路要慢。在一次测试中,一个基于 Halo2 的证明 (Ezkl) 比在 Cairo 上的基于 STARK 的方法快约 3 倍,甚至比在 2024 年某个基准测试中的 RISC-V STARK VM 快 66 倍。这种差距是由于在 STARK 中模拟每个低级指令的开销以及 STARK 证明中较大的常数(哈希虽然快,但需要大量使用;STARK 证明的大小也更大等)。然而,STARK VM 正在不断改进,并具有透明设置(无需可信设置)和后量子安全的优点。随着对 STARK 友好的硬件和协议的发展,证明速度将会提高。

DeepProve 的方法 vs STARK: 有趣的是,DeepProve 使用 GKR 和 sum-check 产生的证明在精神上更像一个 STARK——它是一个交互式的、基于哈希的证明,不需要结构化的参考字符串。其权衡是它的证明更大,验证比 SNARK 更重。然而,DeepProve 表明,精心的协议设计(专门针对 ML 的分层结构)可以在证明时间上远超通用的 STARK VM 和 SNARK 电路。我们可以将 DeepProve 视为一个_定制的 STARK 风格_的 zkML 证明者(尽管他们为了简洁性使用了 zkSNARK 这个术语,但它没有传统 SNARK 那样的小常数大小验证,因为 0.5 秒的验证时间比典型的 SNARK 验证要长)。传统的 STARK 证明(如 StarkNet 的)通常需要数万次域运算来验证,而 SNARK 的验证可能只需几十次。因此,一个权衡是显而易见的:SNARKs 产生更小的证明和更快的验证器,而 STARKs(或 GKR)则以证明大小和验证速度为代价,提供了更容易的扩展性和无需可信设置的便利。

新兴的改进: JOLT zkVM(前面在 JOLTx 下讨论过)实际上输出的是 SNARKs(使用 PLONKish 承诺),但它体现了可以应用于 STARK 环境的思想(Lasso 查找理论上可以与 FRI 承诺一起使用)。StarkWare 和其他公司正在研究加速常见操作证明的方法(例如在 Cairo 中使用自定义门或提示来处理大整数运算等)。还有 Privacy & Scaling Explorations (PSE) 的 Circomlib-ML,它为 CNN 层等提供了 Circom 模板——这是面向 SNARK 的,但概念上类似的模板也可以为 STARK 语言制作。

在实践中,利用 STARKs 的非以太坊生态系统包括 StarkNet(如果有人编写验证器,就可以在链上验证 ML,尽管成本很高)和 Risc0 的 Bonsai 服务(这是一个链下证明服务,它发出 STARK 证明,可以在各种链上进行验证)。截至 2025 年,区块链上的大多数 zkML 演示都倾向于使用 SNARKs(因为验证器效率高),但 STARK 方法因其透明性和在高安全性或抗量子环境中的潜力而仍然具有吸引力。例如,一个去中心化计算网络可能会使用 STARKs 让任何人在没有可信设置的情况下验证工作,这对于长期性很有用。此外,一些专门的 ML 任务可能会利用对 STARK 友好的结构:例如,大量使用 XOR/位运算的计算在 STARKs 中可能比在 SNARK 域运算中更快(因为这些在布尔代数和哈希中成本低廉)。

SNARK vs STARK for ML 总结:

  • 性能: SNARKs(如 Halo2)每个门的证明开销巨大,但得益于强大的优化和用于验证的小常数;STARKs(通用型)的常数开销较大,但扩展性更线性,并避免了像配对这样昂贵的密码学操作。DeepProve 表明,定制方法(sum-check)可以产生近线性的证明时间(快),但证明类似于 STARK。JOLT 表明,即使是通用 VM,通过大量使用查找也可以变得更快。根据经验,对于高达数百万次操作的模型:一个优化良好的 SNARK (Ezkl) 可以处理,但可能需要几十分钟,而 DeepProve (GKR) 可以在几秒钟内完成。2024 年的 STARK VM 可能介于两者之间,或者比 SNARKs 差,除非经过专门优化(Risc0 在测试中较慢,Cairo 在没有自定义提示的情况下也较慢)。
  • 验证: SNARK 证明验证最快(毫秒级,链上数据最少,约几百字节到几 KB)。STARK 证明更大(几十 KB),并且由于需要多次哈希步骤,验证时间更长(几十毫秒到几秒)。在区块链术语中,一个 SNARK 验证可能花费约 20 万 Gas,而一个 STARK 验证可能花费数百万 Gas——通常对于 L1 来说太高,但在 L2 或使用简洁验证方案时可以接受。
  • 设置与安全: 像 Groth16 这样的 SNARKs 每个电路都需要一个可信设置(对于任意模型不友好),但通用 SNARKs(PLONK、Halo2)有一个一次性的设置,可以重用于任何达到特定大小的电路。STARKs 不需要设置,只使用哈希假设(加上经典的多项式复杂性假设),并且是后量子安全的。这使得 STARKs 对于长期性很有吸引力——即使量子计算机出现,证明仍然安全,而当前的 SNARKs(基于 BLS12-381)会被量子攻击破解。

我们将在稍后的比较表中整合这些差异。

FHE for ML (FHE-o-ML):私密计算 vs. 可验证计算

全同态加密 (FHE) 是一种密码学技术,允许直接在加密数据上进行计算。在 ML 的背景下,FHE 可以实现一种_隐私保护推理_:例如,客户端可以向模型主机发送加密输入,主机在不解密的情况下对密文运行神经网络,并返回一个加密结果,客户端可以解密该结果。这确保了数据机密性——模型所有者对输入一无所知(并且如果客户端只得到输出,可能也只知道输出,而不知道模型的内部结构)。然而,FHE 本身并不产生像 ZKP 那样的正确性证明。客户端必须相信模型所有者确实诚实地执行了计算(密文可能被篡改)。通常,如果客户端拥有模型或期望某种输出分布,公然的作弊可以被检测到,但细微的错误或使用错误版本的模型,仅从加密输出中是看不出来的。

性能上的权衡: FHE 的计算量是出了名的繁重。在 FHE 下运行深度学习推理会带来数量级的减速。早期的实验(例如,2016 年的 CryptoNets)在加密数据上评估一个微小的 CNN 需要几十秒。到 2024 年,像 CKKS(用于近似算术) 和更好的库(Microsoft SEAL、Zama 的 Concrete)等改进已经减少了这种开销,但它仍然很大。例如,一位用户报告说,使用 Zama 的 Concrete-ML 运行一个 CIFAR-10 分类器,在他们的硬件上每次推理需要 25-30 分钟。经过优化后,Zama 的团队在一台 192 核的服务器上将该推理时间缩短到约 40 秒。即使是 40 秒,与明文推理(可能只需 0.01 秒)相比也极其缓慢,显示出约 $10^3$–$10^4\times$ 的开销。更大的模型或更高的精度会进一步增加成本。此外,FHE 操作消耗大量内存,并需要偶尔进行_自举_(一种降噪步骤),这在计算上非常昂贵。总而言之,可扩展性是一个主要问题——最先进的 FHE 可能可以处理一个小型 CNN 或简单的逻辑回归,但扩展到大型 CNN 或 Transformer 超出了当前实际应用的限制。

隐私优势: FHE 的巨大吸引力在于_数据隐私_。输入在整个过程中可以保持完全加密。这意味着一个不受信任的服务器可以在不了解任何信息的情况下对客户端的私有数据进行计算。反过来,如果模型是敏感的(专有的),可以设想加密模型参数,让客户端在自己这边进行 FHE 推理——但这不太常见,因为如果客户端必须进行繁重的 FHE 计算,就违背了将其外包给强大服务器的初衷。通常,模型是公开的或由服务器以明文形式持有,而数据由客户端的密钥加密。在这种情况下,模型隐私默认不被提供(服务器知道模型;客户端知道输出但不知道权重)。还有更奇特的设置(如安全两方计算或多密钥 FHE),其中模型和数据都可以相互保密,但这些会带来更大的复杂性。相比之下,通过 ZKP 实现的 zkML 可以同时确保_模型隐私_和_数据隐私_——证明者可以将模型和数据都作为秘密见证,只向验证者揭示需要的部分。

无需(也不可能)链上验证: 使用 FHE,结果以加密形式返回给客户端。客户端然后解密它以获得实际的预测。如果我们想在链上使用该结果,客户端(或持有解密密钥的任何人)将不得不发布明文结果并说服其他人它是正确的。但在那一点上,信任又回到了循环中——除非与 ZKP 结合。原则上,可以结合 FHE 和 ZKP:例如,在计算期间使用 FHE 保持数据私密,然后生成一个 ZK 证明,证明明文结果对应于正确的计算。然而,将它们结合起来意味着你要同时承担 FHE ZKP 的性能损失——用今天的技术来看,这极其不切实际。因此,在实践中,FHE-of-ML 和 zkML 服务于不同的用例:

  • FHE-of-ML: 当目标是_两方(客户端和服务器)之间的机密性_时是理想选择。例如,云服务可以托管一个 ML 模型,用户可以用他们的敏感数据查询它,而无需向云透露数据(如果模型是敏感的,也许可以通过对 FHE 友好的编码来部署它)。这对于隐私保护的 ML 服务(医疗预测等)非常有用。用户仍然必须相信服务会忠实地运行模型(因为没有证明),但至少任何_数据泄露_都被阻止了。一些项目,如 Zama,甚至在探索一个_“支持 FHE 的 EVM (fhEVM)”_,其中智能合约可以在加密输入上操作,但在链上验证这些计算将需要合约以某种方式强制执行正确的计算——这是一个开放的挑战,可能需要 ZK 证明或专门的安全硬件。
  • zkML (ZKPs): 当目标是_可验证性和公共可审计性_时是理想选择。如果你想让任何人(或任何合约)确信_“模型 $M$ 在 $X$ 上被正确评估并产生了 $Y$”_,ZKP 就是解决方案。它们还提供隐私作为附加好处(如果需要,你可以通过将 $X$、$Y$ 或 $M$ 作为证明的私有输入来隐藏它们),但它们的主要特点是正确执行的证明。

互补关系: 值得注意的是,ZKP 保护的是_验证者_(他们对秘密一无所知,只知道计算是正确完成的),而 FHE 保护的是_证明者_的数据免受计算方的影响。在某些情况下,这两者可以结合——例如,一个不受信任的节点网络可以使用 FHE 对用户的私有数据进行计算,然后向用户(或区块链)提供 ZK 证明,证明计算是按照协议进行的。这将同时涵盖隐私和正确性,但以今天的算法来看,性能成本是巨大的。在短期内更可行的是混合方案,如_可信执行环境 (TEE) + ZKP_ 或_函数加密 + ZKP_——这些超出了我们的范围,但它们旨在提供类似的功能(TEE 在计算期间保持数据/模型秘密,然后 ZKP 可以证明 TEE 做了正确的事情)。

总而言之,FHE-of-ML 优先考虑输入/输出的机密性,而 zkML 优先考虑可验证的正确性(可能带有隐私)。下表 1 对比了关键属性:

方法证明者性能 (推理与证明)证明大小与验证隐私特性是否需要可信设置?是否后量子安全?
zk-SNARK (Halo2, Groth16, PLONK 等)证明者开销巨大(未经优化时可达正常运行时间的 10^6 倍;实践中为 10^3–10^5 倍)。针对特定模型/电路进行优化;中等模型证明时间为分钟级,大型模型为小时级。最近的 zkML SNARKs(如 DeepProve with GKR)极大地改善了这一点(近线性开销,例如百万参数模型从分钟级缩短到秒级)。证明非常小(通常 < 100 KB,有时约几 KB)。验证速度快:几次配对或多项式求值(链上通常 < 50 毫秒)。DeepProve 基于 GKR 的证明更大(几十到几百 KB),验证时间约 0.5 秒(仍远快于重新运行模型)。数据机密性: 是——输入可以在证明中保持私密(不被泄露)。模型隐私: 是——证明者可以承诺模型权重而不泄露它们。输出隐藏: 可选——证明可以是一个关于某个陈述的证明,而不泄露输出(例如,“输出具有属性 P”)。然而,如果输出本身需要在链上使用,它通常会变为公开的。总的来说,SNARKs 提供了完全的_零知识_灵活性(可以隐藏任何你想要的部分)。取决于方案。Groth16/EZKL 每个电路都需要一个可信设置;PLONK/Halo2 使用一个通用的设置(一次性)。DeepProve 的 sum-check GKR 是透明的(无需设置)——这是该设计的一个优点。经典的 SNARKs(BLS12-381 曲线)不是后量子安全的(易受针对椭圆曲线离散对数问题的量子攻击)。一些较新的 SNARKs 使用后量子安全的承诺,但 Ezkl 中使用的 Halo2/PLONK 不是后量子安全的。GKR (DeepProve) 使用哈希承诺(例如 Poseidon/Merkle),这些承诺被推测是后量子安全的(依赖于哈希原像抗性)。
zk-STARK (FRI, 基于哈希的证明)证明者开销高,但扩展性更_线性_。对于大型任务,通常比原生执行慢 10^2–10^4 倍,且有并行化空间。2024 年,通用 STARK VM(Risc0, Cairo)在 ML 上的性能比 SNARK 慢(例如,在某些情况下比 Halo2 慢 3-66 倍)。专门的 STARKs(或 GKR)可以接近线性开销,并在大型电路上胜过 SNARKs。证明更大:通常为几十 KB(随电路大小/log(n) 增长)。验证者必须进行多次哈希和 FFT 检查——验证时间约为 O(n^ε),其中 ε 很小(例如,约 50 毫秒到 500 毫秒,取决于证明大小)。在链上,这成本更高(StarkWare 的 L1 验证器每个证明可能消耗数百万 Gas)。一些 STARKs 支持递归证明以压缩大小,但会增加证明者的时间成本。数据与模型隐私: STARK 可以通过随机化轨迹数据(在多项式求值中添加盲化因子)来实现零知识,因此它可以像 SNARK 一样隐藏私有输入。许多 STARK 实现侧重于完整性,但 zk-STARK 变体确实允许隐私。所以是的,它们可以像 SNARKs 一样隐藏输入/模型。输出隐藏: 理论上同样可行(证明者不将输出声明为公开),但很少使用,因为通常我们想要揭示/验证的是输出。无需可信设置。 透明性是 STARKs 的一个标志——只需要一个公共随机字符串(Fiat-Shamir 可以推导出来)。这使得它们对于开放式使用很有吸引力(任何模型,任何时间,无需为每个模型举行仪式)。是的,STARKs 依赖于哈希和信息论安全假设(如随机预言机和 FRI 中某些码字解码的难度)。这些被认为是能抵抗量子对手的。因此,STARK 证明是抗后量子攻击的,这对于未来可验证 AI 的发展是一个优势。
FHE for ML (全同态加密应用于推理)证明者 = 在加密数据上进行计算的一方。 计算时间极高:比明文推理慢 10^3–10^5 倍是常见的。高端硬件(多核服务器、FPGA 等)可以缓解这一点。一些优化(低精度推理、分级 FHE 参数)可以减少开销,但存在根本的性能损失。FHE 目前对于小型模型或简单线性模型是可行的;深度网络在超出玩具规模后仍然具有挑战性。不生成证明。结果是一个加密的输出。验证(检查正确性)并非由 FHE 单独提供——人们信任计算方不会作弊。(如果与安全硬件结合,可能会得到一个证明;否则,恶意服务器可能返回一个不正确的加密结果,客户端解密后得到错误输出而不知情)。数据机密性: 是——输入是加密的,所以计算方对其一无所知。模型隐私: 如果模型所有者在加密输入上进行计算,模型在他们那边是明文的(不受保护)。如果角色互换(客户端持有加密的模型,服务器进行计算),模型可以保持加密,但这种情况不太常见。有一些技术,如安全两方 ML,结合 FHE/MPC 来保护两者,但这超出了普通 FHE 的范畴。输出隐藏: 默认情况下,计算的输出是加密的(只有持有私钥的一方,通常是输入所有者,才能解密)。所以输出对计算服务器是隐藏的。如果我们希望输出公开,客户端可以解密并揭示它。无需设置。每个用户生成自己的密钥对进行加密。信任依赖于密钥保持秘密。FHE 方案(例如 BFV, CKKS, TFHE)的安全性基于格问题(带误差学习),这些问题被认为是能抵抗量子攻击的(至少目前没有已知的有效量子算法)。所以 FHE 通常被认为是后量子安全的

表 1:zk-SNARK、zk-STARK 和 FHE 方法在机器学习推理中的比较(性能与隐私权衡)。

Web3 应用的用例与影响

通过 zkML 实现 AI 与区块链的融合,为 Web3 开启了强大的新应用模式:

  • 去中心化自治代理与链上决策: 智能合约或 DAO 可以整合由 AI 驱动的决策,并保证其正确性。例如,想象一个 DAO 使用神经网络分析市场状况后执行交易。有了 zkML,DAO 的智能合约可以要求一个 zkSNARK 证明,证明_授权的 ML 模型_(具有已知的哈希承诺)在最新数据上运行并产生了推荐的操作,然后该操作才会被接受。这可以防止恶意行为者注入虚假的预测——区块链_验证了 AI 的计算_。随着时间的推移,甚至可能出现完全在链上的自治代理(查询链下 AI 或包含简化模型的合约),在 DeFi 或游戏中做出决策,其所有行动都通过 zk 证明被证明是正确且符合策略的。这提高了对自治代理的信任,因为它们的“思考”过程是透明且可验证的,而不是一个黑箱。

  • 可验证计算市场: 像 Lagrange 这样的项目实际上正在创建可验证的计算市场——开发者可以将繁重的 ML 推理外包给一个证明者网络,并获得带有结果的证明。这类似于去中心化的云计算,但内置了信任:你不需要信任服务器,只需要信任证明。这是对预言机和链下计算的范式转变。像以太坊即将推出的 DSC(去中心化排序层)或预言机网络可以利用这一点来提供具有密码学保证的数据或分析源。例如,一个预言机可以提供“模型 X 在输入 Y 上的结果”,任何人都可以验证附加在链上的证明,而不是相信预言机的一面之词。这可以实现区块链上的_可验证 AI 即服务_:任何合约都可以请求一个计算(比如“用我的私有模型为这些信用风险打分”),并且只有在有有效证明的情况下才接受答案。像 Gensyn 这样的项目正在探索使用这些验证技术的去中心化训练和推理市场。

  • NFT 与游戏——来源与进化: 在区块链游戏或 NFT 收藏品中,zkML 可以证明特征或游戏动作是由合法的 AI 模型生成的。例如,一个游戏可能允许 AI 进化一个 NFT 宠物的属性。没有 ZK,聪明的用户可能会修改 AI 或结果以获得一个更优越的宠物。有了 zkML,游戏可以要求一个证明,证明_“宠物的新属性是由官方进化模型在宠物的旧属性上计算得出的”_,从而防止作弊。生成艺术 NFT 也是如此:艺术家可以发布一个生成模型作为承诺;之后,在铸造 NFT 时,证明每个图像都是由该模型在给定某个种子的情況下产生的,从而保证其真实性(甚至可以在不向公众透露确切模型的情况下做到这一点,保护艺术家的知识产权)。这种_来源验证_以一种类似于可验证随机性的方式确保了真实性——只不过在这里是可验证的创造力。

  • 敏感领域的隐私保护 AI: zkML 允许在不暴露输入的情况下确认结果。在医疗保健领域,患者的数据可以由云提供商通过 AI 诊断模型运行;医院收到诊断结果和一个证明,证明_该模型(可能由一家制药公司私有持有)在患者数据上正确运行_。患者数据保持私密(在证明中只使用了加密或承诺的形式),模型权重保持专有——但结果是可信的。监管机构或保险公司也可以验证是否只使用了经批准的模型。在金融领域,一家公司可以向审计师或监管机构证明,其风险模型已应用于其内部数据并产生了某些指标,而无需透露底层的敏感财务数据。这使得合规和监督能够通过密码学保证而不是手动信任来实现。

  • 跨链与链下互操作性: 由于零知识证明本质上是可移植的,zkML 可以促进_跨链 AI_ 结果。一条链上可能有一个 AI 密集型应用在链下运行;它可以将结果的证明发布到另一条区块链上,后者将无需信任地接受它。例如,考虑一个多链 DAO 使用 AI 来聚合社交媒体上的情绪(链下数据)。AI 分析(对大量数据的复杂 NLP)在链下由一个服务完成,该服务然后向一个小区块链(或多个链)发布一个证明,证明_“分析已正确完成,输出的情绪评分为 0.85”_。所有链都可以验证并在其治理逻辑中使用该结果,而无需各自重新运行分析。这种可互操作的可验证计算正是 Lagrange 网络旨在支持的,通过同时服务于多个 rollup 或 L1。它消除了在链间移动结果时对可信桥梁或预言机假设的需求。

  • AI 对齐与治理: 从一个更具前瞻性的角度来看,zkML 被强调为_AI 治理与安全_的工具。例如,Lagrange 的愿景声明认为,随着 AI 系统变得越来越强大(甚至达到超级智能),密码学验证对于确保它们遵守既定规则至关重要。通过要求 AI 模型为其推理或约束生成证明,人类保留了一定程度的控制——“你无法信任你无法验证的东西”。虽然这还处于推测阶段,并且涉及社会和技术两方面,但该技术可以强制一个自主运行的 AI 代理仍然证明它正在使用一个经批准的模型并且没有被篡改。去中心化 AI 网络可能会使用链上证明来验证贡献(例如,一个协作训练模型的节点网络可以证明每个更新都是忠实计算的)。因此,zkML 可能在_确保 AI 系统即使在去中心化或不受控制的环境中也能对人类定义的协议负责_方面发挥作用。

总之,zkML 和可验证的链上 AI 代表了先进密码学和机器学习的融合,有望增强 AI 应用中的信任、透明度和隐私。通过比较主要方法——zk-SNARKs、zk-STARKs 和 FHE——我们看到了性能与隐私之间的一系列权衡,每种方法都适用于不同的场景。像 Ezkl 这样的基于 SNARK 的框架和像 Lagrange 的 DeepProve 这样的创新,使得用实际的努力证明重要的神经网络推理成为可能,为可验证 AI 的实际部署打开了大门。基于 STARK 和 VM 的方法承诺了更大的灵活性和后量子安全性,随着该领域的成熟,这将变得越来越重要。FHE 虽然不是可验证性的解决方案,但它解决了机密 ML 计算的互补需求,并且在与 ZKP 结合或在特定的私密环境中,它可以让用户在不牺牲数据隐私的情况下利用 AI。

对 Web3 的影响是显著的:我们可以预见智能合约对 AI 预测做出反应,并知道它们是正确的;计算市场中结果可以无需信任地出售;数字身份(如 Worldcoin 通过虹膜 AI 实现的个人身份证明)受到 zkML 的保护,以确认某人是人类而不泄露其生物特征图像;以及通常会出现一类新的_“可证明的智能”,丰富区块链应用。许多挑战依然存在——超大型模型的性能、开发者的人体工程学以及对专门硬件的需求——但发展轨迹是明确的。正如一份报告所指出的,“今天的 ZKP 可以支持小型模型,但中到大型模型打破了这一范式”_;然而,快速的进步(DeepProve 相较于先前技术实现了 50-150 倍的速度提升)正在将这一界限向外推进。随着正在进行的研究(例如,关于硬件加速和分布式证明),我们可以期待越来越大、越来越复杂的 AI 模型变得可证明。zkML 可能很快就会从利基演示演变为可信 AI 基础设施的重要组成部分,确保随着 AI 的普及,它能以一种可审计、去中心化且符合用户隐私和安全的方式实现。