黑盒对抗性机器学习
现在,让我们来讨论另一个重要问题:即使模型的内容保持私密,你只能通过「API 访问」模型,你仍然可以进行的攻击类型。引用一篇 2016 年的论文:
许多机器学习模型容易受到对抗性示例的影响:专门设计的输入会导致机器学习模型产生不正确的输出。影响一个模型的对抗性示例通常会影响另一个模型,即使这两个模型具有不同的架构或在不同的训练集上进行训练,只要两个模型都经过训练以执行相同的任务即可。因此,攻击者可以训练自己的替代模型,针对替代模型制作对抗性示例,并将其转移到受害者模型,而有关受害者的信息很少。
潜在地,即使你对要攻击的模型的访问非常有限或没有访问权限,你甚至可以仅仅通过训练数据来创建攻击。截至 2023 年,这类攻击仍然是一个重大问题。
为了有效遏制此类黑盒攻击,我们需要做两件事:
- 真正限制谁或什么可以查询模型以及查询的数量。具有无限制 API 访问权限的黑盒是不安全的; 具有非常受限的 API 访问权限的黑盒可能是安全的。
- 隐藏训练数据的同时,确保训练数据创建过程的不被损坏是一个重要目标。
就前者而言,在这方面做得最多的项目可能是 Worldcoin,我在这里详细分析了它的早期版本(以及其他协议)。Worldcoin 在协议级别广泛使用 AI 模型,以(i)将虹膜扫描转换为易于比较相似性的简短「虹膜代码」,以及(ii)验证其扫描的物体实际上是人类。
Worldcoin 所依赖的主要防御措施是,不允许任何人简单地调用 AI 模型:相反,它使用可信硬件来确保该模型只接受由 orb 相机数字签名的输入。
这种方法并不保证有效:事实证明,你可以通过物理贴片或佩戴在脸上的珠宝等方式对生物特征识别 AI 进行对抗性攻击。

在额头上戴上额外的东西,可以规避检测甚至冒充别人。来源:https://arxiv.org/pdf/2109.09320.pdf
但是我们的希望是,如果将所有防御措施综合起来,包括隐藏 AI 模型本身、严格限制查询数量,并要求每个查询以某种方式进行身份验证,那么对抗性攻击就会变得非常困难,从而使系统更加安全。
这就引出了第二个问题:我们如何隐藏训练数据?这就是「由 DAO 民主管理 AI」实际上可能有意义的地方:我们可以创建一个链上的 DAO,来管理允许谁提交训练数据(以及对数据本身所需的陈述),谁可以进行查询以及查询的数量,并使用诸如 MPC 的密码学技术来加密从每个个体用户的训练输入到每个查询的最终输出的整个 AI 创建和运行流程。这个 DAO 可以同时满足广受欢迎的目标,即对提交数据的人进行补偿。

需要重申的是,这个计划是非常雄心勃勃的,并且有很多方面可以证明它是不切实际的:
- 对于这种完全黑盒架构来说,加密开销仍然可能太高,无法与传统的封闭式「trust me」方法竞争。
- 事实可能是,没有一种好的方法可以使训练数据提交过程去中心化并防止中毒攻击。
- 由于参与者串通,多方计算设备可能会破坏其安全或隐私保证:毕竟,这种情况在跨链桥上一再发生过。
我没有在本节开头警告「不要做 AI 法官,那是反乌托邦」的原因之一是,我们的社会已经高度依赖于不可问责的集中式 AI 法官:决定哪种类型的算法帖子和政治观点在社交媒体上得到提升和降低,甚至受到审查。
我确实认为,在当前阶段进一步扩大这一趋势是一个相当糟糕的想法,但我并不认为区块链社区对 AI 进行更多的实验会是使情况变得更糟糕的主要原因。
实际上,加密技术有一些非常基本且低风险的方式可以改进甚至是现有的集中式系统,我对此非常有信心。其中一种简单的技术是延迟发布的验证 AI:当社交媒体网站使用基于 AI 的帖子排名时,它可以发布一个 ZK-SNARK,证明生成该排名的模型的哈希值。该网站可以承诺在一定延迟后(例如一年)公开其 AI 模型。
一旦模型被公开,用户可以检查哈希值以验证是否发布了正确的模型,并且社区可以对模型进行测试以验证其公平性。发布延迟将确保模型发布时,它已经过时了。
因此,与中心化世界相比,问题不在于我们是否能够做得更好,而在于我们能够做到多好。然而,对于去中心化的世界来说,需要谨慎行事:如果有人构建了一个使用 AI 预言机的预测市场或稳定币,然后有人发现预言机是可以攻击的,那将有一大笔资金可能会在瞬间消失。