Vitalik 推零知识证明护 AI 隐私！聊天记录匿名付费反滥用

以太坊基金会 AI 负责人 Davide Crapis 和以太坊联合创始人 Vitalik Buterin 提出利用零知识证明确保用户与大型语言模型互动私密，同时防止垃圾邮件和滥用。每次用户向 AI 聊天机器人发送消息都会触发 API 调用。他们称用户和供应商面临的核心挑战是隐私、安全和效率。

AI 聊天记录的隐私与法律风险

（来源：Davide Crapis）

每次用户向软件应用程序（例如 AI 聊天机器人）发送消息时，都会触发 API 调用。Crapis 和 Vitalik Buterin 在周三的一篇博客文章中指出，使用者和供应商面临的核心挑战是隐私、安全和效率。他们说：「我们需要一个系统，用户可以一次性存入资金，然后匿名、安全、高效地进行数千次 API 调用。」他们补充说：「必须保证服务提供者获得付款和免受垃圾邮件的侵害，同时必须保证用户的请求不会与其身份或其他用户关联起来。」

随着 AI 聊天机器人的广泛应用，LLM（大型语言模型）资料外泄问题日益令人担忧。聊天机器人通常处理高度敏感的数据，而将使用情况与身份关联起来可能会造成严重的隐私、法律和安全风险。使用日志甚至可以在法庭诉讼中作为证据。这种风险并非理论上的，已有实际案例。

例如，某人在 ChatGPT 中询问「如何合法避税」或「如何处理与前任的财产纠纷」，这些对话记录若被传唤，可能在离婚诉讼或税务调查中对其不利。更极端的情况，若有人询问敏感政治话题或在威权国家被视为非法的内容，这些记录可能导致政治迫害。目前的 AI 服务通常会保存用户对话记录，虽然声称加密和匿名，但在政府传票或黑客攻击面前，这些保护可能失效。

当前 AI API 调用的三大问题

隐私风险：服务商知道谁问了什么，可能泄露或被迫交出

可追踪性：基于身份的访问要求邮箱或信用卡，泄露真实身份

低效昂贵：按请求链上支付速度慢成本高且可追踪

Crapis 和 Buterin 表示，目前服务提供者被迫在两种「次优路径」之间做出选择：一种是基于身份的访问，用户被迫交出电子邮件或信用卡等敏感信息，这会造成隐私风险；另一种是按请求进行的链上支付，这种方式速度慢、成本高且可追踪。两者都无法真正保护用户隐私。

零知识证明的存款匿名查询方案

Crapis 和 Buterin 提出了一种系统，用户可以将资金存入智能合约，然后在不透露身份或关联请求的情况下进行 API 调用，利用零知识证明和速率限制取消器进行支付和反垃圾邮件执行。Crapis 和 Buterin 表示：「用户向智能合约存入 100 USDC，并向托管的 LLM 发出 500 次查询。提供者收到 500 个有效的、已支付的请求，但无法将它们与同一存款人关联起来，也无法将它们彼此关联起来，同时用户的请求仍然无法与用户身份关联起来。」

这种方案的技术逻辑如下：用户在智能合约中存入 100 USDC（或其他加密货币），合约为用户生成一组匿名凭证（基于零知识证明）。每次用户向 AI 发送查询时，使用一个匿名凭证证明「我已支付但不告诉你我是谁」。AI 服务商验证凭证有效后提供服务，但无法知道这个请求来自哪个用户，也无法将 500 次请求关联到同一个人。

「该模型通过要求用户证明其累计支出（以当前票务指数表示）严格保持在初始存款和已核实的退款记录范围内来强制执行偿付能力。」这种设计防止了双花攻击。用户不能用 100 USDC 的存款发出超过 500 次查询（假设每次 0.2 USDC），零知识证明会确保支出不超过存款，但不会泄露具体是谁在花钱。

双重质押反滥用的创新机制

为了阻止诈骗者、非法内容产生、越狱尝试和其他违反服务条款的行为，Crapis 和 Vitalik Buterin 提出了双重质押系统。如果用户被发现试图进行双花操作，其存款可被任何人（包括服务器）扣押。但是，违反服务条款的用户，其存款将被发送到销毁地址，并且该扣押事件将被记录在链上。

Crapis 和 Buterin 表示：「例如，用户可能会提交一个请求，要求模型生成制造武器的说明，或者帮助他们绕过安全控制，这些请求会违反许多提供者的使用政策。虽然用户的身份仍然隐藏，但社区可以审核服务器焚烧质押的频率以及这些焚烧行为所发布的证据。」

这种机制的巧妙之处在于它平衡了隐私和责任。用户享有完全的匿名性，但若滥用服务（如生成非法内容、进行越狱攻击），会失去存款作为惩罚。这种经济惩罚虽然无法完全阻止所有滥用，但提高了滥用的成本。重要的是，整个过程仍保持匿名，服务商和社区虽然可以看到「有人因违规被罚」，但看不到具体是谁。

这种「匿名但可问责」的设计，可能成为隐私保护技术的新范式。它证明了隐私和安全不是绝对对立的，通过密码学创新可以同时实现两者。若这种方案被 OpenAI、Anthropic 等 AI 公司采用，可能彻底改变 AI 服务的隐私模型。

对用户而言，这种方案的实际体验可能是：一次性在钱包中存入 100 USDC，然后可以匿名使用 AI 服务数月甚至数年（取决于使用频率），无需每次登录或绑定信用卡。若不小心违规，最多损失存款，但身份仍受保护。这种「用钱买匿名」的模式，可能吸引大量重视隐私的专业用户和机构。

对 AI 服务商而言，这种方案也有吸引力。它解决了当前「要隐私就没收入、要收入就没隐私」的两难。通过智能合约自动处理支付，省去了信用卡手续费和争议处理成本。通过零知识证明的匿名性，降低了数据泄露的法律风险（因为根本不收集用户身份信息）。通过质押惩罚机制，提供了比传统封号更有效的反滥用手段。