撰文:Vitalik Buterin
编译:Yangz,Techub News
或许本世纪至今最大的趋势可以概括为「互联网已成为现实生活」。这一切始于电子邮件和即时通讯。过去几千年来依靠口耳、笔墨进行的私人对话,如今都在数字基础设施上运行。接着,我们迎来了数字金融——包括加密货币金融,以及传统金融本身的数字化。然后是我们的健康:得益于智能手机、个人健康追踪手表以及从消费数据中推断的信息,关于我们身体的各类信息正通过计算机和计算机网络进行处理。在未来二十年,我预计这一趋势将席卷其他各个领域,包括各种政府流程(最终甚至包括投票)、对公共环境中物理和生物指标及威胁的监测,最终甚至通过脑机接口技术,影响我们的思维。
我认为这些趋势不可避免。其优势过于巨大,在高度竞争的全球环境中,拒绝这些技术的文明将首先丧失竞争力,继而将主权拱手让于那些拥抱技术的文明。然而,除了提供强大的优势之外,这些技术也深刻影响着国家内部和国家之间的权力动态。
从新技术浪潮中获益最多的文明,并非技术的消费者,而是技术的生产者。针对封闭平台和 API 进行中央计划式的平等访问方案,至多只能实现其中一小部分价值,并且在超出预设「常态」的情况下就会失效。此外,这种未来需要我们给予技术极大的信任。如果这种信任被打破(例如后门、安全漏洞),我们将面临非常严重的问题。甚至仅仅是信任可能被打破的这种可能性,就会迫使人们退回到本质上具有排他性的社会信任模式(「这东西是我信任的人构建的吗?」)。这就催生了在整个技术栈中向上传导的激励:主权者即决定例外状态之人。
要避免这些问题,就需要贯穿整个技术栈(软件、硬件及生物技术)的技术具备两个相互交织的特性:真正的开放性(即开源,包括自由许可)和可验证性(理想情况下,包括最终用户能直接验证)。
互联网即现实生活。我们期望它能成为乌托邦,而非反乌托邦。
健康领域开放性与可验证性的重要性
我们在新冠疫情期间见证了生产技术手段获取不平等带来的后果。疫苗仅在少数国家生产,这导致不同国家获得疫苗的时间存在巨大差距。富裕国家在 2021 年就获得了优质疫苗,而其他国家则要等到 2022 年或 2023 年才能获得质量较次的疫苗。虽然有一些确保公平获取的倡议,但由于疫苗的生产设计依赖于只能在少数地方进行的资本密集型专利制造工艺,这些倡议能发挥的作用十分有限。
2021-23 年新冠疫苗覆盖率。
疫苗的第二个主要问题在于其不透明的科学和沟通策略,它们试图让公众相信疫苗绝对没有任何风险或缺点——这种不实之说最终极大地助长了不信任。如今,这种不信任已螺旋式上升,演变成仿佛对半个世纪以来科学成果的全面否定。
事实上,这两个问题都是可以解决的。像 Balvi 基金资助的 PopVax 这样的疫苗,开发成本更低,研发过程也更加开放,这既减少了获取不平等,也使其安全性和有效性更容易被分析和验证。我们甚至可以更进一步,在设计疫苗时就将可验证性作为首要原则。
类似的问题也存在于生物技术的数字化层面。当你与长寿研究人员交谈时,普遍会首先听到的一点是:抗衰老医学的未来是个性化和数据驱动的。要想知道今天该给一个人推荐什么药物、调整哪些营养素,你需要了解他身体的当前状况。如果能够实时数字化地收集和处理大量数据,这一过程将高效得多。
这款手表收集的关于你的数据比 Worldcoin 多出 1000 倍。这既有好处,也有坏处。
同样的理念也适用于旨在预防负面事件的防御性生物技术,例如抗击流行病。疫情越早被检测到,就越有可能在源头被阻止——即使不能,每多一周时间也意味着有更多时间准备并开始制定应对措施。在疫情流行期间,能够实时了解哪些地区的人们感染了疫情,对于部署应对措施具有巨大价值。如果感染疫情的普通人能在察觉后一小时内进行自我隔离,那么其导致的传播范围可能比他们四处感染他人三天的情况要小 72 倍。如果我们知道是哪 20% 的地点导致了 80% 的传播,改善这些地方的空气质量还能带来进一步的收益。所有这些都需要大量的传感器,且这些传感器能够实时通信,将信息传递给其他系统。
如果我们向更「科幻」的方向迈进,就会触及脑机接口,这能极大提升生产力,通过心灵感应式交流帮助人们更好地理解彼此,并为通往高度智能的 AI 开辟更安全的路径。
如果用于生物和健康追踪(针对个人和空间)的基础设施是专有的,那么数据默认就会流入大公司手中。这些公司有能力在此基础上构建各种应用,而其他方则不能。它们或许会通过 API 提供访问,但 API 访问将是有限的,并被用于垄断性租金榨取,且随时可能被取消。这意味着只有少数人和公司能够获取 21 世纪一个主要技术领域最重要的要素,这反过来也限制了谁能从中获得经济利益。
另一方面,如果这类个人健康数据不安全,黑客就可以利用任何健康问题对你进行勒索,通过调整保险和医疗产品的定价从你身上榨取价值,而如果数据包含位置追踪,他们就知道该在哪里等你以实施绑架。反过来,你的位置数据(经常被黑客获取)也可用于推断你的健康状况。如果你的脑机接口被黑客入侵,那意味着敌对者实际上可以读取(甚至更糟,写入)你的思维。这不再是科幻小说:此处描述了一种可信攻击,脑机接口被黑可能导致某人失去运动控制能力。
总而言之,这带来了巨大的好处,也伴随着显著的风险。而这些风险,也高度强调了开放性和可验证性的重要。
开放性与可验证性在个人及商业数字技术中的重要性
本月早些时候,我不得不填写并签署一份法律手续所需的表格。当时我不在该国。虽然存在国家电子签章系统,但我当时并未设置。我只好打印表格,签字,走到附近的 DHL,花不少时间填写纸质单据,然后支付费用将表格快递到世界的另一端。耗时半小时,花费 119 美元。同一天,我还需要签署一笔(数字)交易以在以太坊区块链上执行一个操作。耗时 5 秒,花费 0.10 美元(公平地说,不用区块链的话,签名可以完全免费)。
这类故事在企业或非营利组织治理、知识产权管理等领域比比皆是。过去十年里,你能在所有区块链初创公司中相当大一部分的商业计划书里找到它们。而在此之上,还存在一个「数字行使个人权限」的终极应用场景:支付与金融。
当然,这一场景存在巨大风险:如果软件或硬件被黑客入侵怎么办?这是加密领域很早就认识到的风险:区块链是无许可和去中心化的,因此如果你失去了对资金的控制,没有任何资源、没有任何「超人」可以求助。Not your keys,not your coins。正因如此,加密领域很早就开始思考多签和社交恢复钱包,以及硬件钱包。然而在现实中,许多情况下缺乏可信的「超人」并非一种意识形态选择,而是场景与生俱来的特性。事实上,即使在传统金融中,「超人」也未能保护大多数人:例如,只有 4% 的诈骗受害者能追回损失。在涉及个人数据托管的用例中,从原理上就不可能逆转数据泄露。因此,我们需要真正的可验证性和安全性——既包括软件,最终也包括硬件。
一种提出检查计算机芯片制造是否正确的技术。
重要的是,在硬件领域,我们试图防范的风险远不止「制造商是否邪恶?」。问题在于存在大量依赖项,其中大多数是闭源的,只要其中任何一项出现疏忽,都可能导致不可接受的安全后果。这篇论文展示了最近的一个例子,说明了微架构选择如何削弱那些仅在软件层面模型中被证明是安全的设计的抗侧信道攻击能力。像 EUCLEAK 这样的攻击所利用的漏洞之所以更难被发现,正是因为大量组件是专有的。如果在受污染的硬件上进行训练,那么 AI 模型可能在训练时就被植入后门。
所有这些案例中的另一个问题,是封闭和集中化系统带来的弊端,即使它们绝对安全。中心化在个人、公司或国家之间创造了持续的杠杆效应:如果你的核心基础设施是由一个可能不可信的国家中可能不可信的公司建造和维护的,你就容易受到压力(例如,参见 Henry Farrell 关于武器化相互依赖的论述)。这正是加密技术旨在解决的那类问题,但它存在的领域远不止金融。
开放性与可验证性在数字公民技术中的重要性
我经常与各类人士交流,他们都在探索更适合 21 世纪各自背景的更好治理形式。有些人,如 Audrey Tang,正试图将本已运作良好的政治体系提升到新水平,赋能本地开源社区,并运用公民大会、抽签制和二次方投票等机制。另一些人则从零开始:比如一些俄裔政治学者最近为俄罗斯提议的宪法,其特点是强力保障个人自由和地方自治,制度强烈倾向和平、反对侵略,并赋予直接民主前所未有的重要角色。还有一些人,如研究土地增值税或拥堵费的经济学家,正致力于改善本国的经济。
不同的人对每种理念的热情程度可能各异。但它们都有一个共同点:都需要高带宽的参与,因此任何现实的实施都必须是数字化的。纸笔记录对于最基本的权属登记和四年一次的选举尚可应付,但对于任何要求我们更高带宽或更频繁提供输入的场景则远远不够。
然而,历史上安全研究人员对电子投票这类想法的接受程度从怀疑到敌视不等。这里有一份反对电子投票的很好的总结。引用该文件中的话:
「首先,该技术是『黑盒软件』,意味着公众无法接触控制投票机的软件。尽管公司保护其软件是为了防范欺诈(并击退竞争),但这同样导致公众完全不清楚投票软件的工作原理。公司要操纵软件以产生欺诈性结果将易如反掌。此外,营销这些机器的供应商相互竞争,无法保证他们生产机器是出于选民的最大利益和选票的准确性。」
有大量的现实案例证明了这种怀疑是合理的。
对 2014 年爱沙尼亚互联网投票的批判性分析。
这些论点在各种其他情况下都适用。但我预测,随着技术的进步,「我们干脆别做」的回应将在众多领域变得越来越不现实。世界正因技术(无论好坏)变得更高效,我预测任何不顺应这一趋势的系统,随着人们绕开它行事,将在个人和集体事务中变得越来越无关紧要。因此我们需要一个替代方案:真正去做这件难事,找出如何使复杂的技术方案既安全又可验证。
理论上,「安全可验证」和「开源」是两回事。专有系统也完全可能是安全的,例如飞机是高度专有的技术,但总体上商业航空是一种非常安全的旅行方式。但专有模式无法实现的是安全性的共同认知,即被相互不信任的各方所信任的能力。
像选举这样的公民制度,是共同认知安全性很重要的一类情况。另一类则是法庭上的证据收集。最近,在马萨诸塞州,大量呼气测醉器证据被裁定无效,因为有关测试故障的信息被发现曾被隐瞒。
「等等,那么所有结果都有问题吗?不是。事实上,在大多数案例中,呼气测醉器测试并不存在校准问题。然而,由于调查人员后来发现州犯罪实验室隐瞒了证据,这些证据表明问题比他们所说的更为普遍,Frank Gaziano 法官写道,所有这些被告的正当程序权利都受到了侵犯。」
法庭的正当程序本质上不仅要求公平和准确,更要求对公平和准确性的共同认知——因为如果社会没有形成法院在做正确事情的共同认知,就很容易陷入人们自行其是的恶性循环。
除了可验证性,开放性本身也有其内在益处。开放性让地方团体能够设计符合本地目标的治理、身份认证等系统。如果投票系统是专有的,那么想要尝试新系统的国家(或省、镇)将困难重重:他们要么得说服公司将其偏好的规则作为功能来实现,要么从头开始并完成所有确保安全的工作。这给政治制度创新增加了高昂成本。
在这些领域的任何一个中,采用更开源、更具黑客伦理的方法,将赋予本地实施者更多自主权,无论他们是作为个人还是政府或公司的一部分行事。要做到这一点,开放的构建工具需要广泛可用,基础设施和代码库需要免费授权,以允许他人在此基础上构建。此外,为了最大限度地减少权力差异,著佐权(copyleft)尤为重要。
未来几年至关重要的最后一个公民科技领域是物理安全。过去二十年间,监控摄像头如雨后春笋般遍布各地,引发了许多公民自由方面的担忧。不过,在我看来,近期无人机战争的兴起将使「不采用高科技安防」不再是一个可行的选择。即使一个国家的法律不侵犯个人自由,但如果这个国家无法保护你免受其他国家(或流氓公司及个人)将其法律强加于你,那么这一切都毫无意义。无人机让此类攻击变得容易得多。因此,我们需要应对措施,这可能涉及大量反无人机系统、传感器和摄像头。
如果这些工具是专有的,数据收集将变得不透明且中心化。而如果这些工具是开放和可验证的,我们就有机会实现更优方案:安全设备能够被证明仅在有限情境下输出有限数据并删除其余内容。我们可能迎来一个数字化的物理安全未来,它更像数字护卫犬而非数字全景监狱。我们可以设想这样一个世界:公共监控设备被要求必须是开源和可验证的,任何人都有合法权利随机选择公共场合的监控设备进行拆解验证。大学计算机科学社团可以经常将此作为教育实践活动。
开源与可验证之路
我们无法避免数字计算机技术深度嵌入我们(个人与集体)生活的方方面面。默认情况下,我们很可能得到的是由中心化公司构建和运行、为少数人利润动机优化、被所在国政府植入后门,且世界上大多数人都无法参与创建或知晓其安全性的数字技术。但我们可以努力转向更好的替代方案。
想象这样一个世界:
- 你拥有一台安全的个人电子设备——它具备手机的性能、加密硬件钱包的安全性,以及虽不及机械手表但相当接近的可检查性。
- 你的通讯应用全部加密,消息模式通过混合网络混淆,所有代码都经过形式化验证。你可以确信你的私人通信真正具有私密性。
- 你的资产是链上标准化的 ERC20 资产(或在某个向链发布哈希和证明以保证正确性的服务器上),由你的个人电子设备控制的钱包管理。如果你丢失设备,可以通过你选择的其他设备、家人朋友或机构的设备组合来恢复(不一定是政府:如果任何人都能轻松做到,例如教堂也可能提供此服务)。
- 存在类似星链基础设施的开源版本,因此我们能获得稳健的全球连接,而不必依赖少数个体行为者。
- 设备上的开放权重的大语言模型会扫描你的活动,提供建议并自动完成任务,当你可能获取错误信息或即将犯错时发出警告。
- 操作系统也是开源且经过形式化验证的。
- 你佩戴着 24 小时开源的个人健康追踪设备,它同样可检查,让你能获取自己的数据并确保未经同意他人无法获得。
- 我们拥有更先进的治理形式,采用抽签制、公民大会、二次方投票,以及通常巧妙的民主投票组合来设定目标,并通过某种方法从专家中选择方案来确定如何实现目标。作为参与者,你可以确信系统正在按你理解的方式执行规则。
- 公共空间配备监测设备以追踪生物变量(如二氧化碳和空气质量指数水平、空气传播疾病存在情况、废水)。但这些设备(连同任何监控摄像头和防御性无人机)都是开源且可验证的,并存在允许公众随机检查的法律制度。
在这个世界里,我们将享有比今天更多的安全、自由和平等参与全球经济的机会。但实现这个世界需要对各种技术进行更多投资:
- 应用与用户级安全。只有当应用提供的安全保证真正能被用户理解和验证时,这些应用才是安全的。这将需要开发能轻松构建具有强安全属性应用的软件框架。重要的是,还需要浏览器、操作系统及其他中介(例如本地运行的监视大语言模型)共同发挥作用,验证应用、评估风险等级并向用户呈现这些信息。
- 形式化验证。我们可以使用自动化证明方法,通过算法验证程序是否满足我们关注的属性,例如不泄露数据或不易受到未经授权的第三方修改。Lean 语言最近已成为实现此目的的热门工具。这些技术已开始用于验证以太坊虚拟机(EVM)的 ZK-SNARK 证明算法及其他加密领域的高价值高风险用例,且同样在更广泛的世界中得到应用。除此之外,我们还需要在其他更常规的安全实践方面取得进一步进展。
00 年代那种网络安全宿命论是错误的:漏洞(和后门)是可以被战胜的。我们「只需」学会将安全性置于其他竞争性目标之上。
- 开源且注重安全的操作系统。这类系统正不断涌现,比如作为安卓安全增强版的 GrapheneOS,极简安全内核的 Asterinas,华为的 HarmonyOS(拥有开源版本)也采用了形式化验证(我预计许多读者会想「如果是华为产品肯定有后门」,但这完全忽略了重点:只要产品是开放的且任何人都能验证,谁生产的并不重要。这正是开放性和可验证性如何对抗全球碎片化的绝佳例证)。
- 安全的开源硬件。如果你无法确信硬件实际运行的软件且没有旁路数据泄露,任何软件都谈不上安全。这方面我最关注两个短期目标:
- 个人安全电子设备——区块链领域称为「硬件钱包」,开源爱好者称为「安全手机」,但当你理解安全性与通用性的需求后,两者最终会融合为同一事物。
- 公共空间的物理基础设施——智能门锁、上文提及的生物监测设备及通用「物联网」技术。我们需要能够信任它们。这要求开源与可验证性。
- 用于构建开源硬件的安全开放工具链。当前硬件设计依赖一系列闭源组件,极大提高了制造成本并使流程充满许可限制。这也使硬件验证不切实际:如果生成芯片设计的工具是闭源的,你根本不知道在验证什么。即便是现有的扫描链等工具也常因必要工具链过度闭源而无法实用。这一切都可以改变。
技术栈各层的开放性与可验证性都至关重要
从现状到愿景
这一愿景与更「传统」技术观的关键区别在于,它更有利于地方主权与个人赋权自由。安全不再依赖于全球清剿确保无处藏恶,而是通过让世界各层面更具韧性来实现。开放性意味着可以对各层技术进行构建改进,而非仅限于中央规划的开源 API 项目。验证也不再是专属于可能与企业政府勾结的橡皮图章审计机构的特权——它成为人民的一项权利,一种受社会鼓励的爱好。
我相信这一愿景更具韧性,更契合我们碎片化的 21 世纪全球图景。但我们实现愿景的时间并非无限。那些依赖加强数据集中收集、植入后门,并将验证简化为「是否由可信开发者制造」的中心化安全方案正在快速推进。试图用中心化方案替代真正开放访问的尝试已持续数十年,从 Facebook 的 internet.org 开始,未来仍将出现愈发精巧的尝试。我们既要加速与这些方案竞争,也要向公众和机构阐明更好解决方案的可能性。
若此愿景得以实现,我们获得的将是一种复古未来主义(retro-futurism)的世界。一方面,强大技术让我们能改善健康、以更高效灵活的方式自组织、抵御新旧威胁;另一方面,这个世界将重现 1900 年代人们习以为常的特性:基础设施可自由拆解验证修改以满足需求,每个人不仅能作为消费者或「应用构建者」参与,更能深入技术栈任意层级,且所有人都能确信设备会如实履行其宣称的功能。
为可验证性而设计需要付出代价。许多硬件和软件的优化确实能带来市场急需的速度提升,但代价是让设计变得更难以理解或更脆弱。此外,开源模式也使许多标准商业模式下的盈利变得更加困难。我认为这两个问题都被夸大了,但这并非能在一夜之间被说服的事情。这也引出了一个问题,我们应该瞄准哪些务实的短期目标?
我的一个答案是:致力于构建一个完全开源且便于验证的技术栈,专注于高安全性、非性能关键型应用——包括消费者级和机构级,远程和现场场景,涵盖硬件、软件和生物技术。真正需要安全性的计算大多并不苛求速度,即使在需要速度的情况下,也往往可以通过组合「高性能但不可信」与「可信但非高性能」的组件,为许多应用实现高性能与高信任度的统一。为所有事物实现极致的安全性和开放性是不现实的,但我们可以从确保这些特性在真正关键的领域得以实现开始。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
