Vitalik:打造一個(gè)面向高安全性完全開源且易驗(yàn)證的堆棧
原標(biāo)題:全棧開放性和可驗(yàn)證性的重要性
作者:VitalikButerin,Ethereum創(chuàng)始人;編譯:金色財(cái)經(jīng)
或許本世紀(jì)迄今為止最大的趨勢(shì)可以用“互聯(lián)網(wǎng)已成為現(xiàn)實(shí)生活”這句話來概括。它始于電子郵件和即時(shí)通訊。幾千年來,人類的私人交流都是用嘴、耳、筆和紙進(jìn)行的,如今則依托數(shù)字基礎(chǔ)設(shè)施運(yùn)行。之后,我們迎來了數(shù)字金融——既有加密金融,也有傳統(tǒng)金融本身的數(shù)字化。接著是我們的健康狀況:得益于智能手機(jī)、個(gè)人健康追蹤手表以及從購(gòu)買行為中推斷出的數(shù)據(jù),各種關(guān)于我們自身身體的信息正在通過計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行處理。在接下來的二十年里,我預(yù)計(jì)這一趨勢(shì)將覆蓋其他各種領(lǐng)域,包括各類政府流程(最終甚至包括投票)、公共環(huán)境中物理和生物指標(biāo)及威脅的監(jiān)測(cè),以及最終借助腦機(jī)接口,甚至我們自己的思維。
我認(rèn)為這些趨勢(shì)是無法避免的;它們帶來的好處實(shí)在太大,而且在競(jìng)爭(zhēng)激烈的全球環(huán)境中,拒絕這些技術(shù)的文明首先會(huì)失去競(jìng)爭(zhēng)力,而那些接受這些技術(shù)的文明則會(huì)占據(jù)優(yōu)勢(shì)。然而,這些技術(shù)除了帶來巨大的好處之外,還深刻地影響著國(guó)家內(nèi)部和國(guó)家之間的權(quán)力格局。
從新技術(shù)浪潮中獲益最多的文明并非那些消費(fèi)科技的文明,而是那些創(chuàng)造科技的文明。中央計(jì)劃的平等獲取方案對(duì)于封閉平臺(tái)和應(yīng)用程序編程接口而言,充其量只能提供其中的一小部分,而且在超出預(yù)設(shè)“常態(tài)”的情況下也會(huì)失效。此外,這種未來需要人們對(duì)科技抱有極大的信任。如果這種信任被打破(例如存在后門、安全漏洞),就會(huì)引發(fā)非常嚴(yán)重的問題。即使只是存在這種信任被打破的可能性,也會(huì)迫使人們退回到從根本上排他性的社會(huì)信任模式(“這是不是我信任的人制造的?”)。這會(huì)產(chǎn)生一種激勵(lì)機(jī)制,這種機(jī)制會(huì)沿著整個(gè)技術(shù)棧向上蔓延:擁有決定權(quán)的人就是主權(quán)者。
要避免這些問題,需要整個(gè)技術(shù)棧(包括軟件、硬件和生物技術(shù))具備兩個(gè)相互交織的特性:真正的開放性(即開源,包括免費(fèi)授權(quán))和可驗(yàn)證性(理想情況下,包括直接由終端用戶進(jìn)行驗(yàn)證)。
2021-2023年新冠疫苗覆蓋率。
疫苗的第二個(gè)主要問題是其科學(xué)和傳播策略的不透明性 ,試圖向公眾隱瞞疫苗存在任何風(fēng)險(xiǎn)或弊端,這與事實(shí)不符,最終極大地加劇了公眾的不信任。如今,這種不信任已經(jīng)演變?yōu)閷?duì)半個(gè)世紀(jì)以來科學(xué)研究成果的近乎排斥。
事實(shí)上,這兩個(gè)問題都是可以解決的。像巴爾維資助的PopVax這樣的疫苗開發(fā)成本更低,而且研發(fā)生產(chǎn)流程更加公開透明,減少了獲取途徑的不平等,同時(shí)也更容易分析和驗(yàn)證其安全性和有效性。我們可以在疫苗設(shè)計(jì)上更進(jìn)一步,優(yōu)先考慮可驗(yàn)證性。
類似的問題也存在于生物技術(shù)的數(shù)字化領(lǐng)域。當(dāng)你與長(zhǎng)壽研究人員交談時(shí),你首先會(huì)聽到的普遍說法之一就是抗衰老醫(yī)學(xué)的未來是個(gè)性化和數(shù)據(jù)驅(qū)動(dòng)的。為了知道今天應(yīng)該向患者推薦哪些藥物和哪些營(yíng)養(yǎng)成分的變化,你需要了解他們目前的身體狀況。如果能夠?qū)崟r(shí)以數(shù)字化方式收集和處理大量數(shù)據(jù),這將更加有效。
一種檢查計(jì)算機(jī)芯片是否正確制造的技術(shù)。
重要的是,就硬件而言,我們?cè)噲D防范的風(fēng)險(xiǎn)遠(yuǎn)不止“制造商是邪惡的嗎?“這類問題。問題在于存在大量的依賴關(guān)系,其中大多數(shù)是閉源的,任何一個(gè)環(huán)節(jié)疏忽都可能導(dǎo)致不可接受的安全后果。本文展示了一些近期的例子,說明微架構(gòu)的選擇如何破壞那些在僅考慮軟件的模型中可證明安全的設(shè)計(jì)的抗側(cè)信道攻擊能力。像EUCLEAK這樣的攻擊依賴于那些由于大量組件為專有而更難發(fā)現(xiàn)的漏洞。如果在受損硬件上進(jìn)行訓(xùn)練, AI模型可能會(huì)在訓(xùn)練時(shí)被植入后門。
所有這些案例中的另一個(gè)問題是,即使封閉和中心化的系統(tǒng)絕對(duì)安全,也存在一些弊端。中心化會(huì)在個(gè)人、公司或國(guó)家之間產(chǎn)生持續(xù)的影響力:如果你的核心基礎(chǔ)設(shè)施是由一個(gè)可能不值得信任的國(guó)家中一家可能不值得信任的公司構(gòu)建和維護(hù)的,那么你很容易受到壓力。這正是Crypto旨在解決的問題——但這類問題存在的領(lǐng)域遠(yuǎn)不止金融領(lǐng)域。數(shù)字公民技術(shù)中開放性和可驗(yàn)證性的重要意義
我經(jīng)常與各行各業(yè)的人士交談,他們正試圖探索出更適合21世紀(jì)背景下不同國(guó)情的更好的政府形式。一些人,試圖將現(xiàn)有的政治體系提升到一個(gè)新的水平,賦能地方開源社區(qū),并使用公民大會(huì)、抽簽和二次投票等機(jī)制。其他人,比如研究土地增值稅或擁堵收費(fèi)的經(jīng)濟(jì)學(xué)家,則試圖改善他們國(guó)家的經(jīng)濟(jì)。
不同的人對(duì)每個(gè)想法的熱情程度可能不同。但它們都有一個(gè)共同點(diǎn),那就是都需要高帶寬的參與,因此任何現(xiàn)實(shí)的實(shí)施都必須是數(shù)字化的。紙筆記錄誰(shuí)擁有什么以及每四年舉行一次選舉這樣的基本事項(xiàng)是可以的,但對(duì)于任何需要更高帶寬或更頻繁地征求我們意見的事情來說,就不行了。
然而,從歷史上看,安全研究人員對(duì)諸如電子投票之類的想法的接受程度從懷疑到敵視不等。以下是對(duì)反對(duì)電子投票的案例的一個(gè)很好的總結(jié)。引自該文件的內(nèi)容:
首先,這種技術(shù)是“黑匣子軟件”,這意味著公眾無法訪問控制投票機(jī)的軟件。盡管公司會(huì)保護(hù)其軟件以防止欺詐(并打擊競(jìng)爭(zhēng)對(duì)手),但這也使得公眾對(duì)投票軟件的工作原理一無所知。公司很容易操縱軟件來產(chǎn)生欺詐性結(jié)果。此外,銷售這些機(jī)器的供應(yīng)商彼此競(jìng)爭(zhēng),無法保證他們生產(chǎn)的機(jī)器符合選民的最佳利益并保證選票的準(zhǔn)確性。
現(xiàn)實(shí)世界中有很多案例可以證明這種懷疑是合理的。
未來幾年,公民科技的另一個(gè)重要領(lǐng)域?qū)⑹俏锢戆踩2恍业氖牵翌A(yù)測(cè)近期無人機(jī)戰(zhàn)爭(zhēng)的興起將使“不搞高科技安保”不再可行。即使一個(gè)國(guó)家的法律沒有侵犯?jìng)(gè)人自由,但如果這個(gè)國(guó)家無法保護(hù)你免受其他國(guó)家(或不法企業(yè)或個(gè)人)將其法律強(qiáng)加于你,那也毫無意義。無人機(jī)使此類攻擊變得更容易。因此,我們需要采取應(yīng)對(duì)措施,這很可能涉及大量的反無人機(jī)系統(tǒng)、傳感器和攝像頭。
如果這些工具是專有的,數(shù)據(jù)收集將是不透明且中心化的。如果這些工具是開放且可驗(yàn)證的,那么我們就有機(jī)會(huì)找到更好的方法:安全設(shè)備可以證明在有限的情況下只輸出有限量的數(shù)據(jù),并刪除其余數(shù)據(jù)。我們可以擁有一個(gè)數(shù)字化的物理安全未來,它更像是數(shù)字護(hù)衛(wèi)犬,而不是數(shù)字全景監(jiān)獄。我們可以想象這樣一個(gè)世界:公共監(jiān)控設(shè)備必須開源且可驗(yàn)證,任何人都有合法權(quán)利在公共場(chǎng)合隨機(jī)選擇一個(gè)監(jiān)控設(shè)備,然后將其拆解并進(jìn)行驗(yàn)證。大學(xué)計(jì)算機(jī)科學(xué)俱樂部可以經(jīng)常將此作為一種教育活動(dòng)。開源且可驗(yàn)證的方式
我們無法避免數(shù)字計(jì)算機(jī)深深嵌入我們(個(gè)人和集體)生活的各個(gè)方面。默認(rèn)情況下,我們很可能會(huì)得到由中心化公司構(gòu)建和運(yùn)行的數(shù)字計(jì)算機(jī),它們?yōu)樯贁?shù)人的利益動(dòng)機(jī)而優(yōu)化,被其所在國(guó)政府設(shè)置后門,世界上大多數(shù)人無法參與它們的創(chuàng)建,也無法知道它們是否安全。但我們可以嘗試找到更好的替代方案。
想象這樣一個(gè)世界:
您擁有一個(gè)安全的個(gè)人電子設(shè)備——它具有手機(jī)的功能、加密硬件錢包的安全性以及與機(jī)械表不太一樣但非常接近的可檢查性。
您的消息應(yīng)用程序均已加密,消息模式已通過混合網(wǎng)絡(luò)進(jìn)行混淆,并且所有代碼均經(jīng)過形式化驗(yàn)證。您可以放心,您的私人通信確實(shí)是私密的。
您的財(cái)務(wù)是鏈上(或某個(gè)將哈希值和證明發(fā)布到鏈上以保證正確性的服務(wù)器)的標(biāo)準(zhǔn)化ERC20資產(chǎn),由您個(gè)人電子設(shè)備控制的錢包管理。如果您丟失了設(shè)備,可以通過您選擇的其他設(shè)備、家人、朋友或機(jī)構(gòu)(不一定是政府:如果任何人都可以輕松做到這一點(diǎn),例如教堂也可以提供)的設(shè)備進(jìn)行恢復(fù)。
類似Starlink的基礎(chǔ)設(shè)施的開源版本已經(jīng)存在,因此我們可以獲得強(qiáng)大的全球連接,而無需依賴少數(shù)個(gè)體參與者。
您設(shè)備上的開放式LLM會(huì)掃描您的活動(dòng),提供建議和自動(dòng)完成任務(wù),并在您可能獲取不正確的信息或即將犯錯(cuò)誤時(shí)向您發(fā)出警告。
該操作系統(tǒng)也是開源的并經(jīng)過正式驗(yàn)證。
您佩戴的是全天候個(gè)人健康追蹤設(shè)備,該設(shè)備也是開源且可檢查的,可讓您獲取數(shù)據(jù)并確保沒有其他人在未經(jīng)您同意的情況下獲取數(shù)據(jù)。
我們擁有更先進(jìn)的治理形式,這些治理形式運(yùn)用抽簽、公民大會(huì)、二次投票以及通常巧妙的民主投票組合來設(shè)定目標(biāo),并通過某種方法從專家中篩選意見,以確定如何實(shí)現(xiàn)目標(biāo)。作為參與者,您可以確信系統(tǒng)正在按照您理解的方式執(zhí)行規(guī)則。
公共場(chǎng)所配備了監(jiān)測(cè)設(shè)備,用于追蹤生物變量(例如二氧化碳和空氣質(zhì)量指數(shù)水平、空氣傳播疾病的存在情況、廢水)。然而,這些設(shè)備(以及任何監(jiān)控?cái)z像頭和防御無人機(jī))都是開源且可驗(yàn)證的,并且存在法律制度,公眾可以通過法律制度隨機(jī)檢查這些設(shè)備。
與今天相比,這個(gè)世界更加安全、自由,也更加平等地參與全球經(jīng)濟(jì)。但要實(shí)現(xiàn)這樣的世界,需要在各種技術(shù)上投入更多資金:
更高級(jí)的密碼學(xué)形式。我稱之為密碼學(xué)的“埃及神牌” ——ZK-SNARK, 即完全同態(tài)加密和混淆技術(shù) ——之所以如此強(qiáng)大,是因?yàn)樗鼈冊(cè)试S你在多方環(huán)境下對(duì)數(shù)據(jù)進(jìn)行任意程序計(jì)算,并保證輸出結(jié)果,同時(shí)保持?jǐn)?shù)據(jù)和計(jì)算過程的私密性。這使得更強(qiáng)大的隱私保護(hù)應(yīng)用程序成為可能。與密碼學(xué)相關(guān)的工具(例如,Blockchain可以為應(yīng)用程序提供強(qiáng)大的保障,確保數(shù)據(jù)不被篡改,用戶不會(huì)被排除在外;差分隱私技術(shù)可以為數(shù)據(jù)添加噪聲,從而進(jìn)一步保護(hù)隱私)也適用于此。
應(yīng)用程序和用戶級(jí)安全。只有當(dāng)應(yīng)用程序所提供的安全保證真正能夠被用戶理解和驗(yàn)證時(shí),應(yīng)用程序才是安全的。這將需要軟件框架,使具有強(qiáng)大安全屬性的應(yīng)用程序易于構(gòu)建。重要的是,它還需要瀏覽器、操作系統(tǒng)和其他中間件(例如本地運(yùn)行的觀察者LLM)各自發(fā)揮作用,驗(yàn)證應(yīng)用程序,確定其風(fēng)險(xiǎn)級(jí)別,并將這些信息呈現(xiàn)給用戶。
形式化驗(yàn)證。我們可以使用自動(dòng)化證明方法,通過算法驗(yàn)證程序是否滿足我們關(guān)心的屬性,例如,不泄露數(shù)據(jù)或不易受到未經(jīng)授權(quán)的第三方修改。Lean最近已成為一種流行的形式化驗(yàn)證語(yǔ)言。這些技術(shù)已經(jīng)開始用于驗(yàn)證Ethereum虛擬機(jī)( EVM)和其他高價(jià)值高風(fēng)險(xiǎn)加密用例的ZK-SNARK證明算法,并且正在更廣泛的領(lǐng)域得到應(yīng)用。除此之外,我們還需要在其他更常見的安全實(shí)踐方面取得進(jìn)一步進(jìn)展。
堆棧每一層的開放性和可驗(yàn)證性都很重要
從這里到那里
這一愿景與更“傳統(tǒng)”的技術(shù)愿景之間的一個(gè)關(guān)鍵區(qū)別在于,它對(duì)地方主權(quán)、個(gè)人賦權(quán)和自由更加友好。安全并非通過搜索整個(gè)世界并確保任何地方都沒有壞人來實(shí)現(xiàn),而是通過讓世界在各個(gè)層面都更加穩(wěn)健來實(shí)現(xiàn)。開放意味著開放地構(gòu)建和改進(jìn)每一層技術(shù),而不僅僅是集中規(guī)劃的開放訪問API程序。驗(yàn)證并非專屬于專有蓋章審計(jì)員(他們很可能與推出該技術(shù)的公司和政府勾結(jié))的專利——它是人民的一項(xiàng)權(quán)利,也是一項(xiàng)受社會(huì)鼓勵(lì)的愛好。
我相信,這一愿景更加強(qiáng)大,也更符合我們這個(gè)支離破碎的21世紀(jì)全球格局。但我們沒有無限的時(shí)間來執(zhí)行這一愿景。中心化的安全手段,包括更加中心化的數(shù)據(jù)收集和后門,以及將驗(yàn)證完全簡(jiǎn)化為“這是否由值得信賴的開發(fā)者或制造商制造”等,正在迅速發(fā)展。幾十年來,人們一直在嘗試用中心化的方式取代真正的開放訪問。這種嘗試或許始于Facebook的internet.org,并且還會(huì)持續(xù)下去,每次嘗試都比上一次更加復(fù)雜。我們既需要迅速采取行動(dòng)與這些方法競(jìng)爭(zhēng),也需要向公眾和機(jī)構(gòu)公開證明,更好的解決方案是可能的。
如果我們能夠成功實(shí)現(xiàn)這一愿景,那么理解我們所處世界的一種方式就是,它是一種復(fù)古未來主義。一方面,我們受益于更強(qiáng)大的技術(shù),這些技術(shù)使我們能夠改善健康,以更高效、更具韌性的方式組織起來,并保護(hù)我們免受新舊威脅的侵害。另一方面,我們所獲得的世界又恢復(fù)了1900年時(shí)人們習(xí)以為常的一些特性:基礎(chǔ)設(shè)施可供人們自由拆卸、驗(yàn)證和修改,以滿足自身需求;任何人都可以參與其中,不僅僅是作為消費(fèi)者或“應(yīng)用程序開發(fā)者”,而是可以參與到堆棧的任何層級(jí);任何人都可以確信設(shè)備能夠按照其宣稱的那樣運(yùn)行。
可驗(yàn)證性設(shè)計(jì)是有代價(jià)的:許多軟硬件優(yōu)化雖然帶來了人們迫切需要的速度提升,但代價(jià)是設(shè)計(jì)變得更加難以捉摸或更加脆弱。開源使得在許多標(biāo)準(zhǔn)商業(yè)模式下盈利變得更加困難。我認(rèn)為這兩個(gè)問題都被夸大了——但這并非一朝一夕就能讓世界信服的。這就引出了一個(gè)問題:我們短期內(nèi)應(yīng)該追求的務(wù)實(shí)目標(biāo)是什么?
我將提出一個(gè)解決方案:致力于打造一個(gè)完全開源且易于驗(yàn)證的堆棧,面向高安全性、對(duì)性能要求不高的應(yīng)用——無論是面向消費(fèi)者的還是機(jī)構(gòu)的,遠(yuǎn)程的還是面對(duì)面的。這將涵蓋硬件、軟件和生物識(shí)別技術(shù)。大多數(shù)真正需要安全性的計(jì)算通常并不需要速度,即使在需要速度的情況下,也常常有方法將高性能但不可信的組件和可信但不高性能的組件相結(jié)合, 從而為許多應(yīng)用程序?qū)崿F(xiàn)高水平的性能和信任。實(shí)現(xiàn)所有事物的最高安全性和開放性是不現(xiàn)實(shí)的。但我們可以從確保這些特性在真正重要的領(lǐng)域可用開始做起。