Bài viết mới nhất của Vitalik: Điểm giao thoa hiệu quả nhất giữa tiền mã hóa và AI là gì?

2024.01.31

Chia sẻ đến

Tuyển chọn TechFlowTuyển chọn TechFlow

Bài viết mới nhất của Vitalik: Điểm giao thoa hiệu quả nhất giữa tiền mã hóa và AI là gì?

Bài viết này sẽ phân loại các cách khác nhau mà Crypto và AI có thể giao thoa, đồng thời thảo luận về triển vọng và thách thức của từng phân loại.

2024.01.31 - 02:21:06

Chuyên sâu báo cáo Web3

Bài viết này sẽ phân loại các cách khác nhau mà Crypto và AI có thể giao thoa, đồng thời thảo luận về triển vọng và thách thức của từng phân loại.

Tác giả: Vitalik Buterin

Biên dịch: Karen, Foresight News

Xin chân thành cảm ơn đội ngũ Worldcoin và Modulus Labs, Xinyuan Sun, Martin Koeppelmann và Illia Polosukhin đã cung cấp phản hồi và tham gia thảo luận.

Trong nhiều năm qua, rất nhiều người đã hỏi tôi một câu hỏi: "Điểm giao thoa hiệu quả nhất giữa tiền mã hóa và AI nằm ở đâu?" Đây là một câu hỏi hợp lý: tiền mã hóa và AI là hai xu hướng công nghệ phần mềm sâu (deep software) chủ đạo trong thập kỷ vừa qua, chắc chắn phải có mối liên hệ nào đó giữa chúng.

Trông bề ngoài, dễ dàng tìm thấy những điểm cộng hưởng giữa hai lĩnh vực này: tính phi tập trung của tiền mã hóa có thể cân bằng sự tập trung hóa của AI, AI thường thiếu minh bạch thì tiền mã hóa lại mang đến tính minh bạch; AI cần dữ liệu, còn blockchain giỏi trong việc lưu trữ và theo dõi dữ liệu. Tuy nhiên, trong nhiều năm, khi mọi người yêu cầu tôi đi sâu vào các ứng dụng cụ thể, câu trả lời của tôi luôn khá thất vọng: "Vâng, đúng là có một vài ứng dụng đáng để bàn, nhưng không nhiều".

Trong ba năm trở lại đây, cùng với sự nổi lên của các công nghệ AI mạnh mẽ hơn như mô hình ngôn ngữ lớn (LLM), cũng như các công nghệ mã hóa mạnh mẽ hơn không chỉ dừng lại ở giải pháp mở rộng blockchain mà còn bao gồm chứng minh kiến thức không tiết lộ (zero-knowledge proof), mã hóa đồng dạng toàn phần (fully homomorphic encryption), và tính toán an toàn đa bên (secure multi-party computation - MPC), tôi bắt đầu nhận thấy sự thay đổi. Thật sự tồn tại một số ứng dụng AI đầy hứa hẹn bên trong hệ sinh thái blockchain hoặc khi kết hợp AI với mật mã học, dù cần thận trọng khi triển khai. Một thách thức đặc biệt là: trong mật mã học, mã nguồn mở là cách duy nhất để đảm bảo tính an toàn thực sự, nhưng trong AI, mô hình mở (kể cả dữ liệu huấn luyện) sẽ làm tăng đáng kể nguy cơ bị tấn công học máy đối kháng. Bài viết này sẽ phân loại các phương thức giao thoa tiềm năng giữa Crypto và AI, đồng thời phân tích triển vọng và thách thức của từng loại.

Tóm tắt điểm giao thoa Crypto+AI từ bài viết trên blog uETH. Nhưng làm thế nào để hiện thực hóa những điểm cộng hưởng này trong các ứng dụng cụ thể?

Bốn điểm giao thoa chính của Crypto+AI

AI là một khái niệm rất rộng: bạn có thể coi AI như một tập hợp các thuật toán, thứ mà bạn tạo ra không phải thông qua việc chỉ định rõ ràng từng bước, mà bằng cách khuấy động một "nồi súp tính toán" lớn và áp lực tối ưu hóa để thúc đẩy nồi súp đó tạo ra các thuật toán có thuộc tính mong muốn.

Mô tả này tuyệt đối không nên bị xem nhẹ, vì nó bao gồm cả quá trình tạo ra con người chúng ta! Nhưng điều đó cũng có nghĩa là các thuật toán AI sở hữu một số đặc điểm chung: chúng cực kỳ mạnh mẽ, nhưng lại có giới hạn trong việc hiểu hay nắm rõ cách vận hành nội bộ của chúng.

Có nhiều cách để phân loại trí tuệ nhân tạo. Đối với mục đích bài viết này về tương tác giữa AI và blockchain (theo tư tưởng trong bài viết của Virgil Griffith "Ethereum is Game-Changing Technology, Literally"), tôi sẽ phân loại như sau:

AI là người chơi trong trò chơi (khả thi cao nhất): Trong cơ chế có sự tham gia của AI, động lực cuối cùng đến từ giao thức do con người đưa vào.
AI là giao diện của trò chơi (tiềm năng lớn nhưng tiềm ẩn rủi ro): AI giúp người dùng hiểu thế giới tiền mã hóa xung quanh, và đảm bảo hành vi của họ (ví dụ: tin nhắn ký và giao dịch) phù hợp với ý định, tránh bị lừa đảo.
AI là luật lệ của trò chơi (cần cực kỳ thận trọng): Blockchain, DAO và các cơ chế tương tự trực tiếp gọi đến AI. Ví dụ: "AI làm trọng tài".
AI là mục tiêu của trò chơi (dài hạn và thú vị): Thiết kế blockchain, DAO và các cơ chế tương tự nhằm xây dựng và duy trì một AI có thể dùng cho mục đích khác, sử dụng công nghệ mã hóa để hoặc khuyến khích tốt hơn quá trình huấn luyện, hoặc ngăn AI rò rỉ dữ liệu cá nhân hoặc bị lạm dụng.

Hãy lần lượt xem xét từng loại.

AI là người chơi trong trò chơi

Thực tế, danh mục này đã tồn tại gần một thập kỷ, ít nhất là kể từ khi sàn giao dịch phi tập trung (DEX) được sử dụng rộng rãi. Mỗi khi có thị trường giao dịch, sẽ có cơ hội kiếm lợi nhuận từ chênh lệch giá (arbitrage), và robot có thể làm điều này tốt hơn con người.

Ứng dụng kiểu này đã tồn tại lâu dài, thậm chí với các AI đơn giản hơn hiện nay rất nhiều, nhưng rốt cuộc đây vẫn là điểm giao thoa thực sự giữa AI và tiền mã hóa. Gần đây, chúng ta thường thấy các bot MEV (giá trị khả thu tối đa) cạnh tranh khai thác lẫn nhau. Bất kỳ ứng dụng blockchain nào liên quan đến đấu giá hay giao dịch đều sẽ có sự hiện diện của các bot arbitrage.

Tuy nhiên, bot arbitrage AI chỉ là ví dụ đầu tiên của một nhóm lớn hơn, và tôi dự đoán rằng sớm thôi nó sẽ bao gồm nhiều ứng dụng khác. Hãy cùng xem AIOmen, một bản demo về thị trường dự báo với AI là người tham gia:

Thị trường dự báo từ lâu đã là "chiếc cốc thánh" của công nghệ tri thức. Ngay từ năm 2014, tôi đã rất hào hứng với việc sử dụng thị trường dự báo làm đầu vào cho quản trị (governance), và đã thử nghiệm rộng rãi trong các cuộc bầu cử gần đây. Tuy nhiên, đến nay thị trường dự báo vẫn chưa đạt được tiến triển lớn nào trong thực tiễn, vì nhiều lý do: người chơi lớn nhất thường thiếu lý trí, những người có nhận thức đúng lại không muốn bỏ thời gian đặt cược trừ khi có nhiều tiền tham gia, thị trường thường không đủ sôi động, v.v.

Một phản hồi trước vấn đề này là chỉ ra các cải tiến trải nghiệm người dùng đang diễn ra trên Polymarket hoặc các thị trường dự báo mới khác, hy vọng rằng chúng sẽ hoàn thiện và thành công nơi những phiên bản trước đã thất bại. Người ta sẵn sàng đặt cược hàng trăm tỷ đô la vào thể thao, vậy tại sao lại không đầu tư đủ tiền để dự báo cuộc bầu cử tổng thống Mỹ hay LK99, khiến những người chơi nghiêm túc bắt đầu tham gia? Nhưng lập luận này phải đối mặt với thực tế rằng các phiên bản trước chưa đạt được quy mô đó (ít nhất là so với giấc mơ của những người ủng hộ), do đó dường như cần một yếu tố mới để thị trường dự báo thành công. Vì vậy, một phản hồi khác là nhấn mạnh vào một đặc điểm cụ thể của hệ sinh thái thị trường dự báo mà chúng ta có thể kỳ vọng sẽ thấy trong những năm 2020, chứ không phải trong những năm 2010: khả năng tham gia rộng rãi của AI.

AI sẵn sàng hoặc có thể làm việc với chi phí dưới 1 đô la mỗi giờ và sở hữu kiến thức bách khoa. Nếu điều đó chưa đủ, chúng thậm chí có thể tích hợp chức năng tìm kiếm web theo thời gian thực. Nếu bạn tạo một thị trường và cung cấp trợ cấp thanh khoản 50 đô la, con người sẽ chẳng quan tâm, nhưng hàng ngàn AI sẽ đổ xô tới và đưa ra dự đoán tốt nhất có thể.

Động lực để làm tốt trên bất kỳ câu hỏi riêng lẻ nào có thể rất nhỏ, nhưng động lực để tạo ra một AI có thể đưa ra dự đoán chính xác có thể lên tới hàng triệu. Lưu ý rằng bạn thậm chí không cần con người phán quyết hầu hết các vấn đề: bạn có thể sử dụng hệ thống tranh chấp nhiều vòng giống như Augur hoặc Kleros, nơi AI cũng sẽ tham gia vào các vòng đầu tiên. Con người chỉ cần phản ứng trong một số ít trường hợp khi xảy ra chuỗi nâng cấp và cả hai bên đã đầu tư một lượng lớn tiền bạc.

Đây là một nguyên mẫu mạnh mẽ, bởi vì một khi bạn có thể làm cho "thị trường dự báo" hoạt động hiệu quả ở quy mô vi mô như vậy, bạn có thể tái sử dụng nguyên mẫu "thị trường dự báo" này cho nhiều loại vấn đề khác, ví dụ:

Theo [điều khoản sử dụng], bài đăng mạng xã hội này có được chấp nhận không?
Giá cổ phiếu X sẽ thay đổi như thế nào? (ví dụ, xem Numerai)
Tài khoản đang nhắn tin cho tôi lúc này thật sự là Elon Musk không?
Công việc được gửi trên thị trường nhiệm vụ trực tuyến này có được chấp nhận không?
DApp trên https://examplefinance.network là lừa đảo không?
0x1b54....98c3 có phải là địa chỉ token ERC20 "Casinu In" không?

Bạn có thể nhận thấy rằng nhiều ý tưởng trong số này đang hướng tới khái niệm "phòng thủ thông tin" (info defense) mà tôi đã đề cập trước đó. Về cơ bản, câu hỏi là: Làm thế nào để giúp người dùng phân biệt thông tin thật và giả, nhận diện gian lận, mà không trao quyền cho một cơ quan tập trung nào đó để quyết định đúng sai — quyền lực mà có thể bị lạm dụng? Ở cấp độ vi mô, câu trả lời có thể là "AI".

Nhưng ở cấp độ vĩ mô, câu hỏi lại là: Ai xây dựng AI? AI là sản phẩm của quá trình tạo ra nó, do đó tất yếu mang thiên kiến. Cần một "trò chơi cấp cao hơn" để đánh giá hiệu suất của các AI khác nhau, để AI có thể tham gia như người chơi trong trò chơi đó.

Việc sử dụng AI theo cách này, trong đó AI tham gia vào một cơ chế và cuối cùng nhận thưởng hoặc bị phạt (một cách xác suất) từ con người thông qua cơ chế trên chuỗi, theo tôi là rất đáng nghiên cứu. Giờ đây là thời điểm thích hợp để nghiên cứu sâu hơn các trường hợp sử dụng như vậy, vì khả năng mở rộng của blockchain cuối cùng đã thành công, khiến mọi thứ "vi mô" trước đây thường không khả thi trên chuỗi nay có thể thực hiện được.

Một lớp ứng dụng liên quan đang phát triển theo hướng các tác nhân tự trị cao độ, sử dụng blockchain để hợp tác tốt hơn, dù là qua thanh toán hay sử dụng hợp đồng thông minh để cam kết đáng tin cậy.

AI là giao diện của trò chơi

Một ý tưởng tôi đã đưa ra trong bài viết "My techno-optimism" là có cơ hội thị trường để phát triển phần mềm dành cho người dùng, phần mềm này bảo vệ lợi ích người dùng bằng cách giải thích và nhận diện các mối nguy hiểm trong thế giới trực tuyến mà họ đang duyệt. Chức năng phát hiện lừa đảo của MetaMask là một ví dụ đã tồn tại.

Một ví dụ khác là chức năng mô phỏng của ví Rabby, cho người dùng thấy kết quả dự kiến của giao dịch mà họ sắp ký.

Các công cụ này có tiềm năng được tăng cường bởi AI. AI có thể cung cấp lời giải thích phong phú hơn, dễ hiểu hơn cho con người, về DApp mà bạn đang tham gia, hậu quả của các thao tác phức tạp mà bạn đang ký, liệu một token cụ thể có thật hay không (ví dụ: BITCOIN không chỉ là một chuỗi ký tự, mà là tên của một loại tiền mã hóa thực sự, không phải token ERC20, và giá trị của nó xa hơn mức 0,045 đô la), v.v. Đã có một số dự án bắt đầu theo hướng này (ví dụ: ví LangChain sử dụng AI làm giao diện chính). Quan điểm cá nhân tôi là hiện tại giao diện AI thuần túy có thể quá rủi ro, vì nó làm tăng nguy cơ mắc các lỗi khác, nhưng sự kết hợp giữa AI và giao diện truyền thống lại rất khả thi.

Có một rủi ro cụ thể đáng được nhắc đến. Tôi sẽ nói chi tiết hơn về điều này ở phần dưới về "AI là luật lệ của trò chơi", nhưng vấn đề chung là học máy đối kháng: nếu người dùng có trợ lý AI trong ví mã nguồn mở, kẻ xấu cũng sẽ có cơ hội tiếp cận trợ lý AI đó, do đó họ sẽ có vô số cơ hội để tối ưu hóa hành vi lừa đảo nhằm tránh khỏi biện pháp phòng thủ của ví. Mọi AI hiện đại đều có những lỗ hổng ở đâu đó, và ngay cả với quyền truy cập mô hình hạn chế, cũng dễ dàng tìm ra những lỗ hổng đó trong quá trình huấn luyện.

Có một rủi ro đặc biệt đáng chú ý. Tôi sẽ thảo luận chi tiết hơn về điều này ở phần "AI là luật lệ của trò chơi" bên dưới, nhưng vấn đề chung là học máy đối kháng: nếu người dùng có thể truy cập trợ lý AI bên trong ví mã nguồn mở, thì kẻ xấu cũng có thể truy cập trợ lý AI đó, do đó họ sẽ có vô số cơ hội tối ưu hóa lừa đảo để tránh kích hoạt cơ chế phòng thủ của ví. Mọi AI hiện đại đều có lỗi ở đâu đó, và ngay cả với quyền truy cập mô hình hạn chế trong quá trình huấn luyện, việc tìm ra chúng cũng không quá khó.

Đây là nơi mà "AI tham gia vào thị trường vi mô trên chuỗi" hoạt động tốt hơn: mỗi AI riêng lẻ đều đối mặt với rủi ro tương tự, nhưng bạn cố ý tạo ra một hệ sinh thái mở với hàng chục người liên tục lặp lại và cải tiến.

Hơn nữa, mỗi AI riêng lẻ đều đóng kín: tính an toàn của hệ thống đến từ sự minh bạch của luật chơi, chứ không phải từ vận hành nội bộ của từng người tham gia.

Tóm lại: AI có thể giúp người dùng hiểu những gì đang diễn ra bằng ngôn ngữ đơn giản, đóng vai trò như một người hướng dẫn thời gian thực, bảo vệ người dùng khỏi những sai lầm, nhưng cần thận trọng trước những kẻ gây hiểu lầm ác ý và kẻ lừa đảo.

AI là luật lệ của trò chơi

Bây giờ, hãy nói đến ứng dụng mà nhiều người rất hào hứng, nhưng theo tôi lại là nguy hiểm nhất và chúng ta cần hành động cực kỳ thận trọng: tôi đang nói đến AI như một phần của luật lệ trò chơi. Điều này liên quan đến sự hào hứng của giới tinh hoa chính trị mainstream về "AI làm trọng tài" (ví dụ: có thể xem bài viết trên website "Hội nghị Thượng đỉnh Chính phủ Thế giới"), và trong các ứng dụng blockchain cũng tồn tại những mong muốn tương tự. Nếu một hợp đồng thông minh hoặc DAO dựa trên blockchain cần đưa ra quyết định chủ quan, liệu bạn có thể để AI đơn giản trở thành một phần của hợp đồng hoặc DAO để hỗ trợ thực thi các quy tắc không?

Đây là nơi học máy đối kháng sẽ là một thách thức cực kỳ nan giải. Dưới đây là một lập luận đơn giản:

Nếu một mô hình AI đóng vai trò then chốt trong cơ chế lại là mô hình đóng, bạn không thể kiểm chứng cách vận hành nội bộ của nó, do đó nó không tốt hơn một ứng dụng tập trung.
Nếu mô hình AI là mã nguồn mở, kẻ tấn công có thể tải xuống và mô phỏng nó tại chỗ, thiết kế các cuộc tấn công được tối ưu hóa cao để đánh lừa mô hình, rồi sau đó tái hiện cuộc tấn công đó trên mạng thực tế.

Ví dụ về học máy đối kháng. Nguồn: researchgate.net

Hiện tại, độc giả thường xuyên đọc blog này (hoặc là cư dân bản địa crypto) có lẽ đã hiểu được ý tôi và bắt đầu suy nghĩ. Nhưng hãy đợi đã.

Chúng ta sở hữu các công cụ chứng minh kiến thức không tiết lộ (zero-knowledge proof) tiên tiến và các dạng mật mã học rất tuyệt vời khác. Chúng ta chắc chắn có thể thực hiện một vài phép "ma thuật mã hóa", che giấu cách vận hành nội bộ của mô hình để kẻ tấn công không thể tối ưu hóa cuộc tấn công, đồng thời chứng minh rằng mô hình đang thực thi đúng và được xây dựng trên tập dữ liệu hợp lý thông qua quá trình huấn luyện hợp lý.

Thông thường, đây chính xác là cách suy nghĩ mà tôi thường khuyến khích trên blog và các bài viết khác. Tuy nhiên, khi liên quan đến tính toán AI, tồn tại hai phản biện chính:

Chi phí mật mã: Thực hiện một nhiệm vụ trong SNARK (hoặc MPC...) kém hiệu quả hơn rất nhiều so với thực hiện trong văn bản rõ. Khi mà AI bản thân đã đòi hỏi tính toán rất cao, liệu việc thực hiện tính toán AI trong hộp đen mật mã có khả thi về mặt tính toán không?
Tấn công học máy đối kháng hộp đen: Ngay cả khi không biết cách vận hành nội bộ của mô hình, vẫn tồn tại các phương pháp để tối ưu hóa tấn công vào mô hình AI. Nếu che giấu quá kỹ, bạn có thể khiến người chọn dữ liệu huấn luyện dễ dàng làm tổn hại tính toàn vẹn của mô hình thông qua tấn công đầu độc.

Cả hai đều là những chủ đề phức tạp, cần được khám phá sâu từng cái một.

Chi phí mật mã

Các công cụ mật mã học, đặc biệt là ZK-SNARK và MPC, có chi phí cao. Việc xác minh khối Ethereum trực tiếp trên client mất vài trăm mili giây, nhưng việc tạo ZK-SNARK để chứng minh tính đúng đắn của khối đó có thể mất hàng giờ. Các công cụ mã hóa khác (ví dụ: MPC) có thể còn tốn kém hơn.

Bản thân tính toán AI đã rất tốn kém: các mô hình ngôn ngữ mạnh nhất chỉ tạo ra từ nhanh hơn một chút so với tốc độ đọc của con người, chứ chưa nói đến việc huấn luyện các mô hình này thường tốn hàng triệu đô la chi phí tính toán. Sự khác biệt về chất lượng giữa các mô hình hàng đầu và các mô hình cố gắng tiết kiệm chi phí huấn luyện hoặc số lượng tham số là rất lớn. Nhìn sơ qua, đây là lý do thuyết phục để nghi ngờ toàn bộ dự án bao bọc AI trong mật mã để thêm các đảm bảo.

May mắn thay, AI là một loại tính toán rất đặc biệt, cho phép nhiều tối ưu hóa mà các loại tính toán "phi cấu trúc" hơn như ZK-EVM không thể hưởng lợi. Hãy xem cấu trúc cơ bản của mô hình AI:

Thông thường, mô hình AI chủ yếu bao gồm một chuỗi các phép nhân ma trận, xen kẽ các phép toán phi tuyến trên từng phần tử như hàm ReLU (y = max(x, 0)). Về mặt tiệm cận, phép nhân ma trận chiếm phần lớn công việc. Điều này rất thuận tiện cho mật mã học, vì nhiều dạng mật mã có thể thực hiện các thao tác tuyến tính gần như "miễn phí" (ít nhất là khi nhân ma trận với mô hình được mã hóa chứ không phải đầu vào).

Nếu bạn là một nhà mật mã học, có lẽ đã từng nghe về hiện tượng tương tự trong mã hóa đồng dạng: việc thực hiện phép cộng trên văn bản mã hóa rất dễ dàng, nhưng phép nhân lại rất khó khăn, mãi đến năm 2009 chúng ta mới tìm ra phương pháp thực hiện phép nhân với độ sâu vô hạn.

Đối với ZK-SNARK, có giao thức năm 2013 có chi phí dưới 4 lần khi chứng minh phép nhân ma trận. Tiếc thay, chi phí cho các tầng phi tuyến vẫn rất lớn, các triển khai tốt nhất trong thực tế cho thấy chi phí khoảng 200 lần.

Tuy nhiên, với nghiên cứu tiếp theo, có hy vọng giảm đáng kể chi phí này. Có thể tham khảo bài thuyết trình của Ryan Cao, giới thiệu một phương pháp mới dựa trên GKR, cũng như phần giải thích đơn giản hóa của chính tôi về các thành phần chính của GKR.

Tuy nhiên, đối với nhiều ứng dụng, chúng ta không chỉ muốn chứng minh tính toán đầu ra AI là đúng, mà còn muốn che giấu mô hình. Có một vài cách đơn giản: bạn có thể chia nhỏ mô hình, để một nhóm máy chủ khác nhau lưu trữ dư thừa từng tầng, và hy vọng rằng việc rò rỉ một số tầng từ một số máy chủ sẽ không làm lộ quá nhiều dữ liệu. Nhưng cũng có những giải pháp MPC chuyên biệt đáng ngạc nhiên.

Trong cả hai trường hợp, bài học rút ra là như nhau: phần lớn công việc tính toán AI là phép nhân ma trận, và có thể thiết kế các ZK-SNARK, MPC (thậm chí FHE) cực kỳ hiệu quả cho phép nhân ma trận, do đó tổng chi phí khi đặt AI vào khuôn khổ mật mã thấp hơn mong đợi. Thông thường, các tầng phi tuyến là nút thắt cổ chai lớn nhất, mặc dù kích thước của chúng nhỏ. Có lẽ các công nghệ mới như lookup arguments có thể giúp ích.

Học máy đối kháng hộp đen

Bây giờ, hãy thảo luận về vấn đề quan trọng khác: ngay cả khi nội dung mô hình được giữ bí mật, bạn chỉ có thể truy cập mô hình thông qua "API", bạn vẫn có thể thực hiện các kiểu tấn công nào. Trích dẫn một bài báo năm 2016:

Nhiều mô hình học máy dễ bị ảnh hưởng bởi các ví dụ đối kháng: các đầu vào được thiết kế đặc biệt khiến mô hình học máy đưa ra đầu ra sai. Một ví dụ đối kháng ảnh hưởng đến một mô hình thường cũng ảnh hưởng đến mô hình khác, ngay cả khi hai mô hình có kiến trúc khác nhau hoặc được huấn luyện trên các tập dữ liệu khác nhau, miễn là cả hai mô hình đều được huấn luyện để thực hiện cùng một nhiệm vụ. Do đó, kẻ tấn công có thể huấn luyện một mô hình thay thế riêng, tạo ra các ví dụ đối kháng cho mô hình thay thế, rồi chuyển chúng sang mô hình nạn nhân với rất ít thông tin về nạn nhân.

Tiềm năng, ngay cả khi bạn có rất ít hoặc không có quyền truy cập vào mô hình cần tấn công, bạn thậm chí có thể tạo ra cuộc tấn công chỉ bằng dữ liệu huấn luyện. Tính đến năm 2023, các cuộc tấn công kiểu này vẫn là một vấn đề lớn.

Để kiềm chế hiệu quả các cuộc tấn công hộp đen này, chúng ta cần làm hai việc:

Hạn chế thực sự ai hoặc cái gì có thể truy vấn mô hình và số lượng truy vấn. Một hộp đen có API truy cập không giới hạn là không an toàn; một hộp đen có API truy cập rất hạn chế có thể an toàn.
Che giấu dữ liệu huấn luyện đồng thời đảm bảo quá trình tạo dữ liệu huấn luyện không bị làm hỏng là một mục tiêu quan trọng.

Về điểm đầu tiên, dự án làm nhiều nhất trong lĩnh vực này có lẽ là Worldcoin, tôi đã phân tích chi tiết phiên bản ban đầu của nó (và các giao thức khác) ở đây. Worldcoin sử dụng rộng rãi mô hình AI ở cấp độ giao thức, để (i) chuyển đổi quét mống mắt thành "mã mống mắt" ngắn gọn dễ so sánh độ tương đồng, và (ii) xác minh vật thể mà nó quét thực sự là con người.

Biện pháp phòng thủ chính mà Worldcoin dựa vào là không cho phép ai đó đơn giản gọi mô hình AI: thay vào đó, nó sử dụng phần cứng đáng tin cậy để đảm bảo rằng mô hình chỉ chấp nhận đầu vào được ký số bởi camera orb.

Phương pháp này không đảm bảo hiệu quả: hóa ra bạn có thể tấn công AI nhận dạng sinh trắc học bằng miếng dán vật lý hoặc đồ trang sức đeo trên mặt.

Đeo thêm vật thể trên trán có thể né tránh phát hiện và thậm chí giả mạo người khác. Nguồn: https://arxiv.org/pdf/2109.09320.pdf

Tuy nhiên, hy vọng của chúng ta là nếu kết hợp tất cả các biện pháp phòng thủ, bao gồm che giấu bản thân mô hình AI, giới hạn chặt chẽ số lượng truy vấn, và yêu cầu mỗi truy vấn phải được xác thực theo cách nào đó, thì các cuộc tấn công đối kháng sẽ trở nên rất khó khăn, khiến hệ thống an toàn hơn.

Điều này dẫn đến câu hỏi thứ hai: Làm thế nào để che giấu dữ liệu huấn luyện? Đây là nơi mà "DAO quản lý AI một cách dân chủ" thực sự có thể hợp lý: chúng ta có thể tạo một DAO trên chuỗi để quản lý việc cho phép ai nộp dữ liệu huấn luyện (và các tuyên bố cần thiết về dữ liệu), ai có thể thực hiện truy vấn và số lượng truy vấn, và sử dụng các công nghệ mật mã như MPC để mã hóa toàn bộ quy trình tạo và chạy AI, từ đầu vào huấn luyện của từng người dùng cá nhân đến đầu ra cuối cùng của từng truy vấn. DAO này có thể đồng thời đạt được mục tiêu phổ biến là bồi thường cho những người nộp dữ liệu.

Cần nhấn mạnh lại rằng kế hoạch này rất tham vọng và có nhiều khía cạnh có thể chứng minh là không thực tế:

Chi phí mã hóa đối với kiến trúc hộp đen hoàn toàn như vậy vẫn có thể quá cao để cạnh tranh với phương pháp đóng "tin tôi đi" truyền thống.
Có thể là không tồn tại cách nào tốt để phi tập trung hóa quá trình nộp dữ liệu huấn luyện và ngăn chặn tấn công đầu độc.
Thiết bị MPC có thể làm hỏng đảm bảo an toàn hoặc riêng tư do thông đồng giữa các bên tham gia:畢竟, điều này đã xảy ra nhiều lần trên các cầu nối chuỗi (cross-chain bridge).

Một lý do tôi không cảnh báo ở đầu phần này "đừng làm AI trọng tài, đó là phản utopia" là vì xã hội chúng ta đã phụ thuộc rất nhiều vào các AI trọng tài tập trung không thể trách nhiệm: quyết định loại bài đăng và quan điểm chính trị nào trên mạng xã hội được nâng cao, hạ thấp hoặc thậm chí bị kiểm duyệt.

Tôi thực sự cho rằng việc mở rộng xu hướng này thêm ở giai đoạn hiện tại là một ý tưởng khá tệ, nhưng tôi không nghĩ rằng cộng đồng blockchain thử nghiệm nhiều hơn với AI sẽ là nguyên nhân chính làm tình hình tồi tệ hơn.

Thực tế, mật mã học có một vài cách rất cơ bản và ít rủi ro để cải thiện ngay cả các hệ thống tập trung hiện tại, và tôi rất tin tưởng vào điều đó. Một kỹ thuật đơn giản là công bố mô hình AI đã được xác minh với độ trễ: khi một trang mạng xã hội sử dụng xếp hạng bài đăng dựa trên AI, nó có thể công bố một ZK-SNARK chứng minh hash của mô hình tạo ra xếp hạng đó. Trang web có thể cam kết công bố mô hình AI của mình sau một độ trễ nhất định (ví dụ: một năm).

Khi mô hình được công bố, người dùng có thể kiểm tra hash để xác minh mô hình đúng đã được công bố, và cộng đồng có thể kiểm tra mô hình để xác minh tính công bằng. Việc công bố có độ trễ sẽ đảm bảo rằng khi mô hình được công bố, nó đã lỗi thời.

Do đó, so với thế giới tập trung, vấn đề không phải là liệu chúng ta có thể làm tốt hơn không, mà là chúng ta có thể làm tốt đến mức nào. Tuy nhiên, đối với thế giới phi tập trung, cần hành động thận trọng: nếu ai đó xây dựng một thị trường dự báo hoặc stablecoin sử dụng oracles AI, rồi ai đó phát hiện oracle đó có thể bị tấn công, một lượng lớn tiền có thể biến mất trong chớp mắt.

AI là mục tiêu của trò chơi

Nếu các kỹ thuật nói trên để tạo ra AI phi tập trung có thể mở rộng và riêng tư (nội dung là hộp đen không ai biết) thực sự hoạt động, thì chúng cũng có thể được dùng để tạo ra AI có tính hữu dụng vượt ra ngoài blockchain. Nhóm NEAR đang lấy điều này làm mục tiêu cốt lõi cho công việc hiện tại của họ.

Có hai lý do:

Nếu quá trình huấn luyện và suy luận được thực hiện thông qua sự kết hợp giữa blockchain và tính toán đa bên, có thể tạo ra "AI hộp đen đáng tin cậy", thì nhiều ứng dụng mà người dùng lo ngại về hệ thống có thiên kiến hoặc gian lận sẽ được hưởng lợi. Nhiều người bày tỏ mong muốn quản trị dân chủ đối với AI mà chúng ta phụ thuộc; mật mã học và công nghệ dựa trên blockchain có thể là con đường để thực hiện điều đó.

Về góc nhìn an toàn AI, đây sẽ là một công nghệ để tạo ra AI phi tập trung, đồng thời có công tắc dừng khẩn cấp tự nhiên, và có thể hạn chế các truy vấn nhằm sử dụng AI cho hành vi ác ý.

Lưu ý rằng, "sử dụng động lực mã hóa để khuyến khích tạo ra AI tốt hơn" có thể thực hiện mà không cần hoàn toàn rơi vào cái hang thỏ mã hóa hoàn toàn: các phương pháp như BitTensor thuộc về danh mục này.

Kết luận

Khi blockchain và AI tiếp tục phát triển, các trường hợp ứng dụng trong lĩnh vực giao thoa giữa hai công nghệ này cũng ngày càng tăng, trong đó một số ứng dụng có ý nghĩa hơn và bền vững hơn.

Nhìn chung, những trường hợp ứng dụng mà cơ chế nền tảng về cơ bản giữ nguyên thiết kế, nhưng các cá thể tham gia trở thành AI, và cơ chế hoạt động hiệu quả ở cấp độ vi mô, là những ứng dụng có triển vọng tức thì cao nhất và dễ thực hiện nhất.

Thử thách lớn nhất là những ứng dụng cố gắng sử dụng công nghệ blockchain và mật mã để tạo ra "thực thể đơn nhất" (singleton): một AI đáng tin cậy, phi tập trung duy nhất mà một số ứng dụng nào đó phụ thuộc vào cho một mục đích nào đó.

Các ứng dụng này đều có tiềm năng về tính năng và cải thiện an toàn AI, đồng thời tránh được rủi ro tập trung.

Nhưng các giả định nền tảng cũng có thể thất bại theo nhiều cách. Do đó, cần hành động thận trọng, đặc biệt là khi triển khai các ứng dụng này trong môi trường có giá trị cao và rủi ro cao.

Tôi mong chờ được thấy thêm nhiều thử nghiệm ứng dụng AI xây dựng trong tất cả các lĩnh vực này, để chúng ta có thể thấy những trường hợp nào thực sự khả thi ở quy mô lớn.

Chào mừng tham gia cộng đồng chính thức TechFlow

Nhóm Telegram:https://t.me/TechFlowDaily

Tài khoản Twitter chính thức:https://x.com/TechFlowPost

Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News

Liên kết gốc

Thêm vào mục ưa thích

Chia sẻ lên mạng xã hội

Tác giả

Vitalik Buterin

@VitalikButerin

Bài viết mới nhất của Vitalik: Điểm giao thoa hiệu quả nhất giữa tiền mã hóa và AI là gì?

Tuyển chọn TechFlowTuyển chọn TechFlow