隨著 AI Agent 成為 AI 領域的主要敘事,AI 賽道的發展也逐漸進入到 2.0 時代。聚焦於 AI Agent 概念本身,它是一種具備感知環境、進行決策和執行任務或服務的智能系統,它們通常能夠理解自然語言指令,學習用戶偏好,並在某些情況下,能夠自主地做出決策。
AI Agent 的工作僅需給定一個目標,它就能夠針對目標獨立思考並做出行動,根據給定任務詳細拆解出每一步的計劃步驟,依靠來自外界的反饋和自主思考,自己給自己創建 prompt,實現目標。我們可以理解為 AI Agent = 問答機器人(交互入口)+ 全自動工作流(感知、思考、行動)+ 靜態知識庫(記憶)。
一些典型的 AI Agent 用例比如自動駕駛,當用戶進行目的地輸入時,AI Agent 就會基於 AI 算法和多種視覺技術的組合代替人類完成駕駛任務,在該過程中主動進行決策與執行,展示出真正的自主性和適應性。而遊戲領域目前也在積極的嘗試 AI Agent 方案,比如使用 AI Agent 模擬真人玩家,充當遊戲中的對手、在遊戲中自主執行任務(如 NPC 的行為、劇情發展),甚至其還能夠根據玩家的表現調整遊戲的難度,確保玩家體驗不失挑戰性。除了上述領域外,生產製造、金融、醫療、農業、網絡安全等眾多領域也在紛紛嘗試應用 AI Agent。
當然,隨著 AI Agent 在不同領域的廣泛探索,AI 領域的關注點也從最初的算力、算法和數據,逐漸擴展至隱私和安全等更為重要的議題。
AI Agent 的可信隱憂
事實上,現階段的 AI Agent 通常是半自主性的,即具備一定自主決策和任務執行能力,但其運行過程仍需人類提供明確指令、反饋或監督。通常,AI Agent 能夠在預設範圍內獨立完成任務或調整行為,但遇到複雜場景或超出設定範圍時,需要人類干預以確保安全性和準確性。
這就意味著,絕大多數 AI Agent 在很大程度上依賴於 AI Prompt 來實現人類與 AI 之間的有效交互。對於不了解什麼是 Prompt 的讀者,Prompt 指的是用戶提供給 AI 模型的一段輸入指令或 Prompt,用於引導 AI 生成相應的輸出結果。Prompt 可以是一個問題、一個描述、一段文本,甚至是代碼片段。
比如我想讓 ChatGPT 來寫一篇新聞稿,我以文本的形式向 GPT 描述的要求或者需求,就是一個 Prompt,或者一台具備自動駕駛能力的汽車,我需要向其提出我的目的地以及路線偏好,這都是一個 Prompt。
那麼問題,或許恰恰就出在這裡。
現階段半自主的 AI Agent 通常依賴於中心化的實體,作為用戶,通常其只關注 Prompt 以及推理執行結果,但用戶通過 Prompt 與 AI Agent 交互的過程以及 AI 模型推理的過程是處於 “黑箱” 中的,我們無法對其進行可信化的驗證。
所以對於用戶的 Prompt 在 AI Agent 執行過程中是否被篡改?AI Agent 在搜集信息的過程中是否訪問了惡意程序?AI Agent 生成的輸出是否符合預定的規則或預期,產生虛假的或不可靠的信息?用戶向 AI 模型所輸入的 Prompt 所涉及的敏感數據(加密錢包的私鑰、醫療數據、個人身份信息等等)是否是能夠保證隱私且安全的?這些或許都說不太清楚。
同樣,AI Agent 過度依賴於中心化的伺服器,並且其部署者,伺服器的管理者有著至高的權限,某種程度上實控 AI agent 持有的用戶資產和隱私數據,影響 AI agent 的行為。也有一些觀點認為,當前的 AI 生態系統正朝著少數公司控制的方向發展,這些上游公司存在壟斷 AI 模型的開發和使用動機,這或許會導致 AI 模型更具一定的指向性,並在倫理、道德等方面持續的引發一些擔憂。
即便是一些面向 Web3 的 AI Agent 比如 AI16z 的 Eliza、Virtuals 協議等,僅僅是將身份管理、經濟活動以及治理等部分放在鏈上,而 AI Agent 的核心推理與計算、數據存儲以及實時交互與反饋仍舊依賴於鏈下伺服器,本質上上述問題仍舊是存在的。
所以對於用戶而言,使用絕大多數的 AI Agent 服務時,潛規則是無條件的選擇對其信任,並且又無法對任何一個環節進行可信驗證。這樣導致越來越多的人對於 AI Agent 是否可靠的問題始終存疑,至少對於一些涉及到錢、人身安全等方面的用例,比如 AI Agent 自動化執行的鏈上交易通常就不太敢切身嘗試。
所以對於 AI Agent 本身缺乏一種機制來驗證這些操作的合法性和安全性,在這個問題沒有得到完美解決前,該領域將始終處於 “亂紀元” 狀態。
當然,AI Agent 所面臨的上述可信隱憂也並非是無解的,Zypher Network 構建了一套基於零知識證明的協處理基建設施,來為 AI Agent 時代所面臨的可信困境破局。
Zypher Network:Make Agent Secure Again!
Zypher Network 本身是一個以零知識證明方案為核心的協處理基建設施,能夠為所有具備零知識證明需求的應用場景以及設施提供 ZK 服務。
Zypher Network 本身包含了一個由分佈式計算節點構成的鏈下計算網絡,以及一個鏈上引擎 Zytron。當 Zypher 網絡中有零知識計算任務時,Zypher 系統會為計算礦工們委派計算任務並生成 ZKP,該 ZKP 能夠在 Zytron 鏈上進行驗證,以保證數據、交易、行為等是可信誠實的。Zypher 系統在 Web3 遊戲領域已經有所實踐,並且已經有數十個 Web3 遊戲在運行,這些遊戲是由 AI 驅動(由 AI Agent 完成遊戲的邏輯),並且能夠在無需依賴於中心化伺服器的情況下保證高效、安全可信的運行。
在近期,Zypher 發布的全新的零知識計算層,通過為 AI Agent 領域提供 Proof of Prompt 和 Proof of Inference 兩個主要的核心能力,通過向公眾證明 Prompt 和推理是正確且未經篡改的,同時不透露底層敏感數據,以保證 AI Agent 運行過程中 Prompt 以及推理的可驗證性與可信性。
值得一提的是,雖然現階段也有眾多的方案試圖為 AI Agent 帶來可信性,但 Zypher 是唯一一個不依賴於硬件,僅通過 ZK 密碼學手段就能達到效果的方案。
Zk Prompt
上文我們提到,在傳統的 AI Agent 模型中,最大問題在於無法保證 Prompt 的可信,包括 Prompt 是否被篡改、是否是由準確的 Prompt 驅動模型推理、Prompt 中的敏感信息是否會被洩露等等。
Zypher 正在通過計算層中的 zk Prompt 方案來保證 Prompt 的可驗證與可信性,目標是保證 Prompt 的正確性和一致性,同時無需向公眾或用戶暴露底層數據,其是不僅是為無信任 AI Agent 和去中心化應用邏輯打造的關鍵產品之一,也是其無信任 AI Agent 開發框架的重要組成部分。
zk Prompt 本身以易用的 SDK 形式呈現,其核心依托於一套先進的加密方案,包括強加密、Pedersen 承諾和 zkSnarks(Plonk)等原語。它與系統 Prompt 的初始化流程緊密協作,將初始化的 Prompt 作為輸入,通過 Zypher 的 ZK 礦工網絡生成加密承諾,並構建零知識證明(ZKP)。
這些 ZKP 允許任何用戶或第三方進行驗證,通過與經過審計的初始承諾對比,確保 Prompt 內容的正確性和一致性。如果系統 Prompt 的實際初始化內容與審計樣本存在不一致,驗證過程將立即失敗,從而快速定位和發現潛在問題,確保系統行為的透明性和可靠性。
從運行過程上看,AI Agent 開發者和 AI Prompt 應用開發者可以利用 zk Prompt 來創建和定義 System Prompt,以確保 AI 模型能夠按照預期執行特定任務。
在 System Prompt 初始化後,Prompt 會被傳遞到 LLM 模型中進行加載,同時通過承諾方案生成一個加密承諾,並借助 Zypher 的 ZK 計算網絡生成不可篡改的證明。這一過程將記錄 Prompt 的完整性和一致性,確保 Prompt 能夠指導模型產生符合預期的行為。
對於使用 Prompt 的用戶,他們可以下載承諾的 Prompt 和相應的證明文件,並將當前使用的模型與承諾的 Prompt 進行驗證。驗證結果會明確 Prompt 用戶 Prompt 是否被篡改,從而確保 Prompt 和模型的行為與開發者的原始設定一致。
交互示例
zk Prompt 在 AI Agent、ZK 計算網絡、DApp 和智能合約之間構建了一套可靠的交互機制,確保 Prompt 的完整性和一致性,為 AI 模型的行為提供可信保障。
當 AI Agent 開發者通過 zkPrompt 定義並提交 System Prompt 後,Prompt 會被加密處理,生成一個加密承諾(Commitment),同時初始化 AI Agent 並生成與提示相關的加密電路,確保 Prompt 內容在系統中具備不可篡改的特性。與此同時,AI Agent 會將驗證密鑰發送至 Zypher 的 ZK 計算網絡,作為後續驗證的依據。
當 DApp 發起消息或交易請求時,AI Agent 將接收請求並委派計算任務至 ZK 計算網絡處理。在 ZK 計算網絡中,Prompt 的執行結果通過零知識證明的形式被加密驗證,該證明不僅記錄了任務的執行過程,還保證 Prompt 提示與行為的一致性,生成的證明文件隨後被返回給智能合約或 DApp,用於進一步驗證。
Zypher 的 Zytron 引擎鏈上智能合約會核驗零知識證明與加密承諾,確認提示內容和執行行為的準確性。如果提示內容被篡改或執行不符合原始設定,驗證將失敗,從而有效防止潛在問題。這種驗證機制,為 Prompt 的可靠性提供了強有力的支持,並保障了 AI 模型能夠始終按照開發者的預期運行。
所以通過與智能合約及其他區塊鏈對象協作,Zypher 能夠實現更加透明且可驗證的安全目標,並能夠為諸多 Web3 用例所便捷集成。
從特點上看,zk Prompt 能確保 AI Agent:
數據隱私:用戶可以驗證提示的正確性,而無需看到或了解系統提示的具體內容,保護提示的敏感性。
可信性與透明度:通過零知識證明,用戶可以信任 AI 的行為未被惡意篡改。
分佈式驗證:任何用戶或第三方都可以通過驗證過程確認提示和模型的一致性,而不依賴於中心化實體。
以 zk Prompt 為基礎,其不僅能夠保證 Prompt 的可信性,同時還能進一步向 Proof of Inference 延伸,同樣能夠確保 AI Agent 的推理過程是可信的,推理結果是基於合法輸入生成的。
總體而言,zk Prompt 方案特別適用於關鍵任務場景,例如涉及財務敏感信息或需要明確行動導向的 AI Agent,以確保可靠性提供了高度安全的保障。
更優的安全性
在構建可信 AI Agent 的賽道中,TEE 方案因其通過硬件構建的隔離環境而被廣泛採用,能夠在一定程度上實現數據的隱私保護與執行可驗證性。儘管 TEE 是一種經過驗證並在多個領域廣泛應用的主流隱私方案,但在構建可信 AI Agent 方面仍然存在一定的局限性。
事實上,TEE 方案通常依賴於諸如 Intel SGX 和 ARM TrustZone 等硬件廠商提供的可信環境和密鑰管理服務。這種中心化的信任機制使得系統的安全性高度依賴特定廠商,帶來了集中化的風險,Intel SGX 此前就曾多次被曝光存在漏洞,直接威脅其可信基礎。此外,儘管 TEE 提供了隔離的運行環境,其數據隱私保護能力仍存在不足。例如,在數據傳輸至 TEE 環境過程中可能面臨竊聽風險,而 TEE 外部的攻擊者也可能通過交互接口獲取敏感信息。此外,TEE 的設計主要面向預定義的計算任務,缺乏動態調整能力。而 AI Agent 通常需要應對多變的任務和複雜的上下文場景,這種剛性架構同樣也難以滿足實際需求。
相較之下,Zypher 的零知識證明方案具備去中心化特性,無需依賴任何集中式實體,其安全性源於鏈下分佈式且大規模的計算網絡集群。這不僅賦予其輕量化優勢,在可擴展性和動態靈活性方面也明顯優於 TEE,使其能夠更高效地適配 AI Agent 的多樣化應用場景。無論是 ChatGPT 還是當前熱度飆升的 Deepseek 等大語言模型,Zypher 都能實現無縫兼容。值得一提的是,Zypher 方案完全基於 ZK 設計,以純粹的密碼學創新為核心,在可信 AI Agent 解決方案領域獨樹一幟。
總體而言,儘管 AI 技術正在以驚人的速度不斷迭代和發展,但在安全與倫理問題、實用性考量等方面的限制下,全自主的 AI Agent 要實現全面普及依然面臨諸多挑戰。相比之下,半自主的 AI Agent 因其平衡了自動化與人為監督的特點,仍將是未來發展的主流方向。同樣,這也就意味著 AI Agent 在規模性採用前亟需在可信、隱私上有所進展,而 Zypher Network 憑藉其完全基於 ZK 的密碼學方案正在加速這一進程,並為 AI Agent 賽道向下一階段發展提供堅實的基礎。
作為 AI 時代最重要的密碼學基建設施,Zypher Network 正在 “Make Agent Secure Again”!