作者:IC3
编译:佳欢,ChainCatcher
核心结论
AI 与 crypto 的有意义结合仍处在非常早期的阶段,围绕这一交叉领域的喧嚣,已经盖过了实际进展。
在 Crypto x AI 方向,AI 已能分析和检测现有交易、事件与协议的关键性质,识别欺诈或有漏洞的智能合约。这类技术多采用简单的机器学习方法,在数据充足的受控环境中最有效。
在 AI x Crypto 方向,crypto 工具为保护和治理 AI 流程提供了新途径。零知识证明、可信计算等工具可被改用于降低 AI 结果被篡改的风险。而去中心化治理、去中心化基础设施管理等设想,在主流 AI 圈尚未真正落地。
行业还需要证明两件事。
第一,去中心化 AI 要与中心化方案做更严格、更直接的成本对比。目前行业主要在证明"能在分布式环境训出大模型",但用成本在具体场景下与中心化平台竞争的机会,仍缺乏量化证据。
第二,crypto 支付要论证它在 agent 支付场景下相对中心化方案的真实效用。crypto 在支付领域一直缺乏实质起色,但 agent 支付费率低,又不必套用传统金融中"账户必须归属某个人"的模式,因而具备潜力,行业应当用量化证明抓住机会,而非停留在可行性。
此外有两个待解的研究难题。
一是 AI 安全需要系统层防御:AI 圈通常在模型层面解决安全问题、围绕输入输出语义设计护栏,但随着 agent 自主性增强、并能直接触及底层基础设施,这种方式将不再够用,crypto 的可验证执行与认证流程能补上模型层做不到的系统层保障。
二是 crypto 与 AI 结合会催生新的威胁主体和攻击向量,比如下文会讲到的无法关停的自主 agent、失控的智能合约。
一个统一框架:AI 与 Crypto 互为"中间件"
一条自动化决策流程可拆为四环:人的意图、输入、程序、输出,而这条链上每一环都未必可信。AI 与 crypto 在此框架中各管一段。
AI 是"翻译中间件",把人类模糊的意图翻译成机器可执行的程序,例如把"我想识别停车标志"转化为一个训练好的模型,从而降低使用区块链的门槛。
Crypto 是"取信中间件",通过可信计算保证某段计算确实按约定执行、结果未被篡改(完整性),通过去中心化保证系统始终可用、抗审查(可用性),部分方案还能保证输入输出不泄露(保密性)。
可信计算有三条技术路线。
第一,可信执行环境(TEE),依赖专用硬件提供隔离与远程证明(硬件出示一份可验证的状态证明,让对方确认芯片真实、未被篡改)。借助英伟达机密计算,8B 参数模型推理的额外开销低于 7%,70B 模型几乎无损耗。代价是要信任硬件厂商,且不抵御物理攻击。
第二,零知识证明(ZK),仅依赖密码学难题,安全假设最干净,但开销极高。为约 1800 万参数的小模型生成证明就需约一分钟,离前沿大模型差好几个数量级。
第三,多方计算(MPC),让多方在不交出原始数据的前提下联合计算,速度更慢。最先进的 MPC Transformer 推理框架,为 LLaMA-7B 生成单个 token 约需五分钟。
预言机负责把链下数据可信地送上链。隐私预言机(如 Town Crier、DECO)进一步支持在不泄露隐私的前提下证明数据性质,例如证明"某人信用分高于 700"而不暴露其他信息。
行业把这套技术统称 zkTLS,但其中基于 TEE 的方案并未使用任何零知识证明,属于命名上的误用。
Crypto x AI:用 AI 增强区块链
AI 用于 crypto 的研究大致按时间分为三代。
第一代:分析检测
十多年前起,机器学习被用于分析链上状态:发现共识协议漏洞(如自私挖矿,即矿工藏起已挖出的区块、择机发布以多占收益)、检测 P2P 网络的日蚀攻击(用大量恶意节点包围某节点、切断它与诚实网络的连接)、预测币价、识别欺诈交易与洗钱。
局限在于,这类分析多依赖能获取全局公开信息的场景,且受限于模拟数据、缺乏真实攻击样本。
当前最先进的合约漏洞检测,已不是让 AI 直接从代码猜结论,而是先由 AI 提出可疑点,再用静态分析、符号执行(不实际运行代码,而是分析代码结构来找漏洞)去验证。
单纯让大模型当审计员会因幻觉产生大量误报,GPT-4 与 Claude 在 52 个曾被攻击的 DeFi 合约中仅 40% 正确识别出漏洞类型。
第二代:算法设计
近六年,强化学习被用于设计去中心化算法,覆盖 P2P 网络拓扑、共识协议参数与角色选择、分片、DeFi 做市与借贷利率、MEV 竞价策略等。
这些方法大多在能够清晰建模的环境中有效,且多停留在研究阶段,尚未在真实网络中大规模部署、经受攻击检验。
第三代:与现实世界交互
借助 AI 驱动的预言机,智能合约获得三种增强能力:感知(理解非结构化数据与自然语言)、执行(调用链下 AI 模型与工具)、决策(作为 agent 依目标函数行动)。
AI 充当预言机的实测表现并不均衡。据 Chainlink Labs 的实验,GPT-4o 在 1660 个预测市场问题上整体准确率 89.3%,UMA 的 Truth Bot 整体为 75%,而人工在 UMA 乐观预言机(先默认答案为真、设争议期,无人质疑即生效)上的准确率为 98.2%。
准确率高度依赖问题类型:体育赛果等有官方数据源的离散问题可达 99.7%,涉及时间先后或需转录视频计数的问题错误率显著上升。
应对方式有三种:一是设计成可容错,仅用于低价值场景;二是引入人工仲裁,如设 48 小时争议窗口,但会拖慢决策;三是让模型在不确定时弃答,仅在此时才引入人工。
把资金池交给 AI 模型集体交易的"投资 DAO",报告称之为 CoinAlg,代表项目如 ElizaOS、AI XBT,峰值市值分别达到过 27 亿、47 亿美元。这类产品面临一个无法回避的设计困境,可称为"CoinAlg 死结"。
交易策略若透明,会被抄袭或被三明治攻击(抢先在受害者交易前后各下一单、靠滑点套利)夺走利润;若保密,掌握策略的内部人可借信息差提前获利,等同内幕交易。两条路都损害普通投资者。
一种初步缓解思路是用 TEE 包裹策略并对交易做随机化处理,增加内部人的预测难度。
新风险:AI 驱动的作恶智能合约
智能合约用于替代人际信任,这也意味着最缺乏可信关系的犯罪者可能从中获益。
一种机制是:合约为某项犯罪悬赏,作案者事先用密码学承诺一张"暗记"、事后揭晓,由 AI 模型比对新闻报道、确认作案完成后自动支付赏金。AI 在此承担了过去难以自动化的"裁定"角色,可被用于定向骚扰、窃取组织情报、揭穿举报人身份等场景。
可行的反制包括链上分析追踪、把涉案资金列入黑名单,以及让部署 AI 模型的预言机在高风险请求时拒绝服务。
AI x Crypto:用 Crypto 增强 AI
crypto 对 AI 的潜在贡献分两类:一是去中心化 AI 生命周期的各环节,二是保护这些环节的安全。
去中心化基础设施(DePIN)
去中心化物理基础设施网络让节点以代币激励提供算力等资源。Theta、Akash 等宣称比 AWS 节省 50% 到 85% 成本,主要瓶颈是节点间通过公网通信带来的吞吐与延迟。
适配性按任务类型不同。训练对延迟不敏感(离线进行),但跨地域同步通信是瓶颈,目前已有在分布式硬件上训出数十亿参数模型的成果(Bittensor 上的 700M 与 7B、Prime Intellect 的 100 亿参数 Intellect-1,最大为 Psyche 网络上在训的 400 亿参数模型)。
推理对延迟更敏感,但吞吐要求低于训练、且无需反向传播(训练时把误差逐层回传更新参数的核心步骤,只有训练才需要),延迟不敏感的推理(会议纪要、文档审阅)尤其适合 DePIN。
关键缺口在于,这些项目大多不报告端到端总成本。它们宣传的是单块 GPU 每小时的价格,而真正决定 ML 任务成本的是训练效率(每单位成本的迭代次数)与推理效率(每单位成本的 token 数)。
去中心化数据与模型市场
AI 数据有几个区别于普通商品的特性。它是数字商品,首次创造昂贵、复制却近乎免费;多为非竞争性(一份数据可被多方同时使用而不损耗);质量难以事先判断,即"柠檬市场"问题(买方无法事先判断质量,导致优质品被劣质品挤出),卖家需提供样本,但样本本身就有价值;且可被转售,还难以界定两份数据是否实质相同。
中心化市场的争议在于定价不透明、限制用户选择,但中心化定价有时因掌握更多信息而更高效。
数据市场尚未出现垄断巨头,是用去中心化方式重做的窗口期,可借助的 crypto 工具包括微支付、TEE(限定数据仅在特定任务中使用)、零知识证明(向买家披露数据性质而不泄露数据本身)。
现状是,多数平台只用加密货币完成了支付环节,定价机制要么由协议方决定、要么完全交给卖家,这两种在中心化市场早已存在。去中心化究竟改善了什么,仍研究不足。
Agent 支付轨道与 x402
agent 生态本身已是去中心化的:不同方用不同模型开发、优化不同目标,没有天然的中央控制点。crypto 的密码经济学(用密码学手段叠加经济奖惩来约束参与者行为)思路可迁移到 agent 治理。
微支付是 agent 经济的关键。互联网历史上微支付屡屡失败,卡点在于人为每笔小额支付做判断的决策成本,而非支付基础设施。agent 评估微支付远快于人类,用户只需设定策略,这可能让微支付首次跑通。
Cloudflare 已推出"按爬取付费",x402(让程序通过 HTTP 直接完成链上小额支付的开放协议)等协议正在开发。
这套体系底层资产以稳定币为主(USDC、USDT、DAI),因为它们能给 agent 提供稳定的记账单位(给所有商品统一标价的尺度),而 ETH、SOL 等原生代币波动过大。
agent 之间的信任靠链上注册表(如 ERC-8004,以太坊上为 agent 建立链上身份与声誉的提案标准)记录身份与声誉,但这些本质是自我声明,且声誉滞后、利好既有玩家。
更进一步的方案是可验证 agent 审计:在 TEE 内运行的 LLM 审查专有 agent 代码、产出声誉评分,审计结果绑定到代码哈希,使代码保持私有的同时让验证者获得可信保证。
无法关停的自主 agent(UAA)是另一重风险。前沿 agent 能自主完成的任务时长,自 2019 年起约每七个月翻一倍。已有研究显示模型在本地能突破自我复制红线、造出独立副本,但复制到外部基础设施仍卡在身份验证。
Anthropic 的 Mythos 模型已展示出自主发现并利用零日漏洞(厂商尚未知晓、还没有补丁的漏洞)的能力。一个持有钱包、又关不掉的 agent,会落在以"运营者"为中心的现有监管框架的盲区。
去中心化治理
区块链社区在分配系统控制权上有更长的实践史,方式天然去中心化、力图纳入广泛利益相关方,但也有公认短板:安全漏洞、投票冷漠、贿选。
社区治理在 AI 开发各环节的适配性不同:预训练数据量太大,难以收集有效意见,价值更多体现在微调阶段;底层架构选择属技术决策,不适合社区治理;评估与对齐环节混合了技术与规范判断,社区输入有价值。
Constitutional AI 用一部由人编写的"宪法"确立模型应遵循的原则。Anthropic 参与的 Collective Constitutional AI 引入公众投票生成原则,用公开来源原则训练的模型社会偏见更低。但这类民主化治理实验基本未被真正采用,AI 公司缺乏交出模型控制权的动力。
DAO 的代币加权投票被公认为"金权政治",由此衍生出二次方投票(追加票数的成本递增以抑制巨鲸)、信念投票(按持票支持时长累积权重)、委托投票等机制,但有效性仍不明。
保护 AI 系统的执行完整性
当智能合约需借助超出自身能力的 ML 计算时,可作为"仲裁者":各方先承诺所用模型与数据并质押抵押品,链下完成计算后把结果交给合约校验,错误方被罚没。校验有四条路线,各有取舍。
第一,TEE,最高效,由可信硬件签名证明计算完整性,但需信任运营方。
第二,乐观执行,结果先视为非终局、留争议窗口,争议时用二分查找(把出错范围反复对半切分、快速定位出错步骤)定位到单条出错指令再罚没。
难点在于 ML 浮点运算的非确定性,需用受控的运算顺序或容差语义(不要求两次计算分毫不差,允许在误差范围内即视为一致)来处理,代表方案有 Verde、TAO、Arbigraph、OPML 等。
第三,零知识证明(zkML,用零知识证明来证明 AI 推理过程正确),可在隐藏模型参数、甚至输入输出的前提下证明推理正确,已有针对 CNN、Transformer 的专用方案及通用编译器(如 EZKL、ZKML、DeepProve)。
它的隐私目标其实有三层,分别是藏输入、藏权重、藏模型结构,但隐私越强,电路约束越复杂、可优化空间越小,存在隐私与效率的根本张力。主要成本来自非线性层与数值表示,仍难以支撑长上下文、大模型与高吞吐服务。
第四,统计推理证明,原理是两个功能不同的模型、内部算出的特征也必然不同,因此只要抽样比对这些特征,就能概率性地判断推理是否真由指定模型执行。
它证明开销在毫秒级、且即时终局,适合高频、低延迟场景。它能防住的是服务方偷换模型这类现实作恶(如换成更便宜的蒸馏版、或换掉已对齐的版本),但挡不住凭空伪造整条计算记录的完全恶意者,后者仍是未解难题。
证明模型训练(zkPoT,用零知识证明来证明训练过程正确)比证明推理难得多:训练过程持续时间长、中间状态不断累积、随机性强,复杂度比推理高出若干数量级。相关工作(Garg 等、Kaizen)正在推进,并延伸出对训练数据来源、公平性约束的可审计证明(ZkAudit、Confidential-PROFITT)。
保护训练管道
单个机构用自己信任的数据训练模型时,通常没有即时的隐私或完整性顾虑。复杂的安全挑战出现在多方联合训练、数据来源多元时。
典型场景是多家医院联合训练诊断模型:合并各方电子病历(EHR)能覆盖更广的患者群体、提升诊断精度,但受 HIPAA 等法规约束,各方不愿也不便把原始数据直接交给彼此或第三方。
金融机构联合训练反欺诈模型、企业联合训练入侵检测模型,也属同类情况。
联邦学习是为此设计的方案:训练环境先初始化一个全局模型并分发给各方,各方在本地用私有数据训练、只回传模型更新,由训练环境汇总成新的全局模型,数据全程不出本地。
但联邦学习落地有限(最知名的应用是手机输入法的预测)。它不保证数据和计算的完整性,即便各方诚实,通信开销也很大、网络与协调延迟会拖慢整体速度、模型精度低于集中训练,恶意参与方还能给模型投毒或植入后门。
一种更简单的替代是用 TEE 做集中训练:训练环境跑在可信机密计算环境里,通过加密通道接收各方原始数据、集中训练,只输出训练好的模型,数据彼此不可见,还能附带一份模型溯源证明(谁提供了数据、模型怎么训的)。
代价是 TEE 固有的侧信道风险和高 I/O 开销。现实中机构目前多是把数据汇集到合规云里,靠隔离、访问控制、加密和数据使用协议来满足合规,但这需要信任云服务商。
私域网络数据是另一条思路。公开网络的文本数据正逼近极限(有预测称 2025 到 2030 年间耗尽),合成数据又有"模型崩溃"风险,且无法拓展已有领域之外的数据覆盖。
而"私域网络"(邮件、健康、财务等不对爬虫开放的数据)据估计比公开网络大两个数量级,是尚未开采的富矿,但目前高度孤岛化。
预言机能打开这道门。以患者上传病历训练医疗模型为例,用户可借预言机把自己的病历从医院门户中转给训练方,并证明数据确实来自该门户,全程无需医院改动任何基础设施,因为连接由用户发起。
要同时保护隐私,需要叠加隐私预言机(数据走加密通道)和 TEE。TEE 还能向用户出示证明,表明自己运行的就是那套"只输出模型"的隐私训练软件,用户在传数据前即可核验。
在此基础上还能附加差分隐私(模型输出对任一条训练数据的依赖极小)、数据用后即删、成品模型仅限白名单医院使用等更细的承诺。
安全推理管道与受保护管道(Props)
同一套预言机加可信计算的组合,也能用于对私域数据做安全推理。
以银行贷款审批为例:模型读入申请人的财务文件、输出批或拒。今天的流程是借款人自己下载或拍照上传材料,由此带来两个问题,一是放贷方无法确认材料是否真实、未被篡改,二是借款人材料可能从放贷方的模型系统泄露,对双方都是风险。
用隐私预言机解决来源真实性、用机密计算解决隐私,就能得到一条安全推理管道:放贷方只看到模型结论,同时确信输入可信。
私域来源还能顺带充当身份与凭证系统。
借款人能中转出带本人身份的银行流水、W-2 表,本身就是有力的身份证明,让现有网络服务变成对抗身份盗用与福利欺诈的临时身份系统;模型也能据此签发凭证,比如核验小微企业的纳税与经营材料后,出具一份"符合某项资质"的证明并附上推理管道的证明。
整个过程可去中心化完成,理论上任何人都能搭起一条可信推理管道,无需数据源或既有权威配合。
对抗性输入是个顽固难题。攻击者可提交一份肉眼看着正常、却被精心改造的银行流水,骗过模型读出虚高余额、误批贷款。学界对对抗样本的研究一直是"破解—打补丁"的循环,至今没有通用解。
安全推理管道提供了一条新思路:把输入限定为来自认证网络源,从而压缩攻击者构造对抗性输入的空间,与模型层防御互补。
模型本身的隐私也需保护。攻击者可通过精心构造的查询做模型窃取(提取特征甚至整个模型)、成员推断(判断某人数据是否在训练集里)乃至还原原始训练数据,也可借此窥探系统的配置与预处理选择。
研究者曾估算,约 8000 美元就能窃取某大模型一层的权重。开放系统里常用的限速很脆弱,因为单个匿名用户可伪装成大量用户发起女巫攻击(Sybil 攻击)。
安全推理管道能从两头缓解:用预言机限定输入类型,遏制需要大量多样化查询的提取攻击;再用管道内生成的强身份证明,对每个用户施加查询次数上限,且能在不向平台暴露用户身份的前提下执行,从而压制女巫攻击。
agent 记忆是新出现的攻击面。攻击者通过工具调用或外部材料污染喂给 agent 的上下文(记忆注入),可诱导 agent 异常行事,比如在管理大量加密资产的 ElizaOS 框架中,被污染的上下文能诱使 agent 发起未授权交易。
TEE 能部分缓解:让 agent 跑在 TEE 内、或只拉取认证过的上下文。
但即便有 TEE 仍有两个难点。
第一,可信源里也可能有被污染的内容,比如来自社交平台的内容由用户自行产生,发帖人可轻易给自己的帖子投毒。
第二,TEE 运营方可发起回滚或分叉攻击,把 TEE 状态回退到旧检查点、抹掉之后的记忆更新。
前者属于内容检测难题、密码学解决不了;后者已可借共识思路应对,ROTE、Narrator 等系统用分布式协议、甚至公链来保证 TEE 状态的一致与新鲜。
把这一节的架构归纳起来,就是"受保护管道"(Props)这一通用框架,目标是在不改动现有基础设施的前提下安全使用私域数据。
它把预言机和可信计算拼成三段:预言机从认证的私域源取数并证明来源、TEE 在加密边界内完成训练或推理、TEE 输出模型或结论并附上一份说明管道属性(数据源、软件或模型的代码哈希等)的证明。
Props 保证三条性质:端到端的输入完整性(输出只依赖来自可信私域源的认证数据)、默认保密(输入和中间状态不出受保护边界,只公开输出)、可证明而不泄露(证明让数据提供方和结果使用方都确信完整性与保密性成立)。
它也有一个"透明版",数据和计算不必保密、只需认证,来源可公可私。
关于 Crypto x AI 的五个误解
围绕 Crypto x AI 平台与应用,行业出现了若干常见误解或误导性说法。以下五条都不是彻头彻尾的假话,关键在于厘清哪些部分当下成立、哪些仍需更多证据。
误区一:区块链能区分 AI 生成内容与人类生成内容
把内容登记上链、事后就能判断它出自 AI 还是人类,这是常被引用的说法,已有项目(如 Everlyn AI)在把 AI 生成内容上链。但区块链无法在一般意义上做到这件事,需要把"内容检测"和"内容溯源"两个问题分开看。
内容检测是判断一段内容由人还是 AI 生成。当前主流是事后检测,不依赖预先植入的元数据或信号,分两类:一类是 AI 分类器,用深度学习识别生成模型特有的统计特征;一类是统计取证,分析像素级噪声分布、结构异常(如 AI 人脸的生理不一致)。
问题在于,区块链本身无法感知这些链下信息,分类结果必须由外部分类器提供。上链只能锚定这个结果,保证记录提交后不被篡改,却无法保证记录写入时就是真的。外部检测器若判断错误,区块链会把错误永久保存下来。也就是说,区块链提供的是"声明的完整性",而非"声明为真的验证"。
内容溯源是记录数字资产从创建起的历史。C2PA 等行业标准让创作者或设备给媒体附上密码学签名的元数据(内容凭证),记录来源、作者与后续编辑,Numbers Protocol、Starling Lab 等用区块链做这些凭证的公开不可篡改登记表。
但即便有锚定到链上的健全溯源系统,也无法保证内容最初是人还是 AI 生成的。
用户完全可以把一张 AI 生成图显示在高清屏上、再用符合 C2PA 的相机拍下来,得到一份签名有效、标注为"真实拍摄"的文件;文本同理,AI 生成后手动重打进合规编辑器,就会带上"人类创作"的合法溯源信息。
此外,内容一旦被改到无法与链上记录匹配,溯源就断了,而覆盖所有内容的通用登记表在可见的未来几乎不可能出现,溯源体系必然存在大量缺口。
要点:在狭义上,区块链能为溯源元数据提供健全的完整性保障,但远不是 AI 生成内容检测问题的完整解。
真正有效的方案需要一个通用生态,让每份内容都用可信设备捕获并即时上链,而现实中绝大多数内容由不支持密码学锚定的工具创建和分享,未标注内容仍处于模糊地带。
误区二:区块链或去中心化能解决 AI 的偏见与公平问题
"把模型推理和训练放到链上就能解决 AI 的不公平和偏见",要评估这个宽泛说法,需要先区分不同类型的偏见。
算法偏见是 AI 圈最常见的公平性概念。模型会学到甚至放大数据集里的失衡,导致判别模型在弱势群体上表现差、生成模型沿袭训练数据中的不良倾向(如有害语言、固化刻板印象)。
学界已提出大量训练时与推理时(护栏)的技术方案,但这些保护远不完美,公平性至今不算已解决问题,甚至可能永远无法彻底解决,连"如何定义公平"本身都需要做大量取舍。
去中心化解决不了算法偏见,因为它源于训练过程本身,通常靠改进训练或推理技术来缓解,去中心化触及不到根源。
但偏见还有第二个来源,即影响模型表现的高层决策:用什么数据、用什么架构、如何补偿贡献者。这一层与 AI 圈通常理解的公平性正交,却可能影响算法偏见,且部分能借去中心化的两个特性来改善。
第一个特性是透明。开发者可用区块链公开承诺训练数据、训练算法、模型检查点和推理护栏,让运营方可证明地追踪某次训练或推理的输出。
但这难以扩展到大模型和检查点这类训练时产物(存储与算力成本太高),现有系统里这些数据大多本就存在链下、用户也无法直接访问,短期内透明的收益可能只限于推理环节。
更关键的是,除非行业想清楚这种透明要服务什么用例、该配什么接口(比如让用户举报数据被不当使用,这又需要确立真正的数据所有权、配套机器遗忘等技术),否则透明本身未必能改变人们开发和使用 AI 的方式。
第二个特性是去中心化治理,需区分两类。第一类是区块链里探索、采用过的社区治理机制(代币加权投票、流动民主,后者指可把票委托给信任的人);第二类是 DAO 所代表的去中心化自治治理,即由智能合约强制执行治理决定。
两类的共同要害是,社区治理这类机制本身都不需要区块链就能实现,所以把它们说成"被区块链解决的 AI 问题"并不准确。其中技术性、性能敏感的 AI 决策不适合广泛投票,但价值取向类决策(如模型对齐)较适合,主流 AI 开发者探索过、只是尚未真正落地。
而真正由智能合约强制执行的链上治理(直接执行或质押罚没)能增强稳健性,但面临与链上透明同样的技术壁垒,当前基础设施撑不起 AI 的存储与算力需求,落地还需可验证训练的重大进展,是个自洽却为时尚早的长期愿景。
要点:区块链本身并不能减少算法偏见,但能在 AI 生命周期各阶段促进透明,并扩大 AI 治理的参与面。
误区三:给 AI agent 一个钱包,就让它"自主"了
做"agent 钱包"和支付协议的项目常宣称,给 AI agent 一个钱包、让它能自己赚、自己花、自己"活下去",就让它自主了。这种说法混淆了几个不同的概念。
歧义首先来自"自主"在两个领域含义不同。在 AI 语境里,自主 agent 指能基于自身感知、学习、经验行动,而非死守预设规则;智能合约也常被称为自主,但强调的是抗篡改、抗审查、抗关停的韧性。
前者称为"智能自主",后者称为"执行自主"。现代 AI agent 已具备相当的智能自主,但未必有执行自主,管理员仍能关掉运行它的服务器。
而 agent 钱包带来的,两种自主都不是。拥有钱包不会让 AI 更聪明,也不会让它更能抵抗人为操纵或关停,它带来的其实是自动化:agent 能以编程方式交易、转账、调用链上设施,不必走人工审批环节。
这种自动化也并非区块链独有,中心化金融基础设施同样能被 agent 以编程方式调用。一个更站得住的解读是:区块链支付系统本身比中心化方案提供更强的自主性(尽管不专为 agent 服务),比如能保证 agent 的交易不被区别对待,即中立性与抗审查。
要点:agent 钱包让 AI agent 能便捷调用金融接口、把经济交互自动化、免去人工审批,但自动化不等于自主。仅有钱包并不能让 agent 摆脱人的控制(运营方仍能关停它依赖的模型或设施),自动化支付也不需要区块链,中心化系统同样能实现。
区块链支付的真正卖点在于中立性与抗审查,适合担心支付被压制或干预的场景。
误区四:透明的 AI 等于可信的 AI
把模型的数据来源和推理记录上链,看起来是保障 AI 可信的理想工具,这一论点出自一篇广为引用的 IBM 博客,并被引申到 AI agent。但需要分两层拆解。
模型层透明方面,记录训练数据来源看似带来了关于模型创建的透明,但"数据来源记录"和"模型行为保证"之间隔着巨大鸿沟。
其一,链上记录只是记录、不等于来源的证明(对训练集构成的证明另需专门技术)。
其二,即便完全掌握训练数据,也不足以判定模型会如何表现,因为训练流程和计算环境同样决定模型行为。
其三,即便掌握从数据到模型的完整流程、足以复现模型,随机训练固有的非确定性也让"用训练流程去核验模型权重"在原理上就不可行。
更何况,即使拿到权重,也没有普遍有效的手段检测训练中植入的后门或对抗性操纵,而把模型数据和训练信息记上链,并不能直接保证其行为特征或不存在对抗性操纵。
推理层透明方面,把模型输入和对应推理记上链,看似带来了关于模型使用的透明,但区块链让交易透明、而非让推理透明。一条写着"模型 X 在输入 Y 上得到推理 Z"的链上记录,几乎无法证明 Z 可信。
因为它既不能证明"正确执行"(要证明这个三元组确实由模型 X 按规格运算而来,需要 TEE 或昂贵的密码学手段),也不能证明"模型可信"。
即便证明了执行正确,更根本的问题是:模型 X 的完整来源记录,并不能在语义层面证明它符合用户预期或行业规范;用权重哈希来指定模型,保证就更弱,因为模型的身份并不等于模型的可信。
区块链对某些可信目标确实有用,比如机构把开源权重模型的哈希公布上链,作为不可篡改的参照,让用户确认自己用的是未被改动的真实模型;类似的防篡改日志思路也用于固件更新记录和证书透明(用类区块链的只追加日志维护可公开审计的证书签发记录)。
要点:把模型数据来源和推理记录上链,与"模型及推理可信的有意义保证"之间,仍存在相当大的鸿沟。
误区五:去中心化天然让 AI 任务更省钱
一类项目把去中心化网络当作更高效、更省钱的 AI 方案,典型是去中心化物理基础设施网络(DePIN),用户把自己的硬件(如 GPU)租出去,主要卖点是成本更低,租一块 DePIN 的 GPU 可能比在同档云服务商租便宜得多。
但便宜的机器不一定带来更低的任务总成本。去中心化节点通过公网通信,AI 任务的吞吐和延迟需求会显著影响总成本,而超大型任务(如训练前沿模型)通常受吞吐瓶颈制约。
目前难以做直接成本对比,因为行业还缺乏系统性的基准测试,无法把 DePIN 上的 AI 任务与传统云做同口径的性能与成本对比。
要点:去中心化网络是高成本中心化云的一个有吸引力的替代选项,但现有数据还不足以预测一个任务在 DePIN 或去中心化 AI 平台上何时会比中心化云更便宜。
小任务(推理、小规模训练)很可能更省钱,超大型任务(训练基础模型)则可能被节点间不稳定、低带宽的通信拖累。要厘清这些权衡,仍需更多研究。
这五条误区的共同点在于,区块链能提供的更多是"完整性"和"可验证性",而非"真实性"或"可信性"本身。Crypto x AI 仍处在需要用证据说话、而非靠叙事推进的早期阶段。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
