康奈爾大學等 13 所頂尖高校的最新研究：Crypto x AI 融合的現狀、挑戰與誤解

作者：IC3

編譯：佳歡，ChainCatcher

核心結論

AI 與 crypto 的有意義結合仍處在非常早期的階段，圍繞這一交叉領域的喧囂，已經蓋過了實際進展。

在 Crypto x AI 方向，AI 已能分析和檢測現有交易、事件與協議的關鍵性質，識別欺詐或有漏洞的智能合約。這類技術多採用簡單的機器學習方法，在數據充足的受控環境中最有效。

在 AI x Crypto 方向，crypto 工具為保護和治理 AI 流程提供了新途徑。零知識證明、可信計算等工具可被改用於降低 AI 結果被篡改的風險。而去中心化治理、去中心化基礎設施管理等設想，在主流 AI 圈尚未真正落地。

行業還需要證明兩件事。

第一，去中心化 AI 要與中心化方案做更嚴格、更直接的成本對比。目前行業主要在證明"能在分佈式環境訓出大模型"，但用成本在具體場景下與中心化平台競爭的機會，仍缺乏量化證據。

第二，crypto 支付要論證它在 agent 支付場景下相對中心化方案的真實效用。crypto 在支付領域一直缺乏實質起色，但 agent 支付費率低，又不必套用傳統金融中"賬戶必須歸屬某個人"的模式，因而具備潛力，行業應當用量化證明抓住機會，而非停留在可行性。

此外有兩個待解的研究難題。

一是 AI 安全需要系統層防禦：AI 圈通常在模型層面解決安全問題、圍繞輸入輸出語義設計護欄，但隨著 agent 自主性增強、並能直接觸及底層基礎設施，這種方式將不再夠用，crypto 的可驗證執行與認證流程能補上模型層做不到的系統層保障。

二是 crypto 與 AI 結合會催生新的威脅主體和攻擊向量，比如下文會講到的無法關停的自主 agent、失控的智能合約。

一個統一框架：AI 與 Crypto 互為"中間件"

一條自動化決策流程可拆為四環：人的意圖、輸入、程序、輸出，而這條鏈上每一環都未必可信。AI 與 crypto 在此框架中各管一段。

AI 是"翻譯中間件"，把人類模糊的意圖翻譯成機器可執行的程序，例如把"我想識別停車標誌"轉化為一個訓練好的模型，從而降低使用區塊鏈的門檻。

Crypto 是"取信中間件"，通過可信計算保證某段計算確實按約定執行、結果未被篡改（完整性），通過去中心化保證系統始終可用、抗審查（可用性），部分方案還能保證輸入輸出不洩露（保密性）。

可信計算有三條技術路線。

第一，可信執行環境（TEE），依賴專用硬件提供隔離與遠程證明（硬件出示一份可驗證的狀態證明，讓對方確認芯片真實、未被篡改）。借助英偉達機密計算，8B 參數模型推理的額外開銷低於 7%，70B 模型幾乎無損耗。代價是要信任硬件廠商，且不抵禦物理攻擊。

第二，零知識證明（ZK），僅依賴密碼學難題，安全假設最乾淨，但開銷極高。為約 1800 萬參數的小模型生成證明就需約一分鐘，離前沿大模型差好幾個數量級。

第三，多方計算（MPC），讓多方在不交出原始數據的前提下聯合計算，速度更慢。最先進的 MPC Transformer 推理框架，為 LLaMA-7B 生成單個 token 約需五分鐘。

預言機負責把鏈下數據可信地送上鏈。隱私預言機（如 Town Crier、DECO）進一步支持在不洩露隱私的前提下證明數據性質，例如證明"某人信用分高於 700"而不暴露其他信息。

行業把這套技術統稱 zkTLS，但其中基於 TEE 的方案並未使用任何零知識證明，屬於命名上的誤用。

Crypto x AI：用 AI 增強區塊鏈

AI 用於 crypto 的研究大致按時間分為三代。

第一代：分析檢測

十多年前起，機器學習被用於分析鏈上狀態：發現共識協議漏洞（如自私挖礦，即礦工藏起已挖出的區塊、擇機發布以多佔收益）、檢測 P2P 網絡的日蝕攻擊（用大量惡意節點包圍某節點、切斷它與誠實網絡的連接）、預測幣價、識別欺詐交易與洗錢。

局限在於，這類分析多依賴能獲取全局公開信息的場景，且受限於模擬數據、缺乏真實攻擊樣本。

當前最先進的合約漏洞檢測，已不是讓 AI 直接從代碼猜結論，而是先由 AI 提出可疑點，再用靜態分析、符號執行（不實際運行代碼，而是分析代碼結構來找漏洞）去驗證。

單純讓大模型當審計員會因幻覺產生大量誤報，GPT-4 與 Claude 在 52 個曾被攻擊的 DeFi 合約中僅 40% 正確識別出漏洞類型。

第二代：算法設計

近六年，強化學習被用於設計去中心化算法，覆蓋 P2P 網絡拓撲、共識協議參數與角色選擇、分片、DeFi 做市與借貸利率、MEV 競價策略等。

這些方法大多在能夠清晰建模的環境中有效，且多停留在研究階段，尚未在真實網絡中大規模部署、經受攻擊檢驗。

第三代：與現實世界交互

借助 AI 驅動的預言機，智能合約獲得三種增強能力：感知（理解非結構化數據與自然語言）、執行（調用鏈下 AI 模型與工具）、決策（作為 agent 依目標函數行動）。

AI 充當預言機的實測表現並不均衡。據 Chainlink Labs 的實驗，GPT-4o 在 1660 個預測市場問題上整體準確率 89.3%，UMA 的 Truth Bot 整體為 75%，而人工在 UMA 樂觀預言機（先默認答案為真、設爭議期，無人質疑即生效）上的準確率為 98.2%。

準確率高度依賴問題類型：體育賽果等有官方數據源的離散問題可達 99.7%，涉及時間先後或需轉錄視頻計數的問題錯誤率顯著上升。

應對方式有三種：一是設計成可容錯，僅用於低價值場景；二是引入人工仲裁，如設 48 小時爭議窗口，但會拖慢決策；三是讓模型在不確定時棄答，僅在此時才引入人工。

把資金池交給 AI 模型集體交易的"投資 DAO"，報告稱之為 CoinAlg，代表項目如 ElizaOS、AI XBT，峰值市值分別達到過 27 億、47 億美元。這類產品面臨一個無法回避的設計困境，可稱為"CoinAlg 死結"。

交易策略若透明，會被抄襲或被三明治攻擊（搶先在受害者交易前後各下一單、靠滑點套利）奪走利潤；若保密，掌握策略的內部人可借信息差提前獲利，等同內幕交易。兩條路都損害普通投資者。

一種初步緩解思路是用 TEE 包裹策略並對交易做隨機化處理，增加內部人的預測難度。

新風險：AI 驅動的作惡智能合約

智能合約用於替代人際信任，這也意味著最缺乏可信關係的犯罪者可能從中獲益。

一種機制是：合約為某項犯罪懸賞，作案者事先用密碼學承諾一張"暗記"、事後揭曉，由 AI 模型比對新聞報導、確認作案完成後自動支付賞金。AI 在此承擔了過去難以自動化的"裁定"角色，可被用於定向騷擾、竊取組織情報、揭穿舉報人身份等場景。

可行的反制包括鏈上分析追蹤、把涉案資金列入黑名單，以及讓部署 AI 模型的預言機在高風險請求時拒絕服務。

AI x Crypto：用 Crypto 增強 AI

crypto 對 AI 的潛在貢獻分兩類：一是去中心化 AI 生命週期的各環節，二是保護這些環節的安全。

去中心化基礎設施（DePIN）

去中心化物理基礎設施網絡讓節點以代幣激勵提供算力等資源。Theta、Akash 等宣稱比 AWS 節省 50% 到 85% 成本，主要瓶頸是節點間通過公網通信帶來的吞吐與延遲。

適配性按任務類型不同。訓練對延遲不敏感（離線進行），但跨地域同步通信是瓶頸，目前已有在分佈式硬件上訓出數十億參數模型的成果（Bittensor 上的 700M 與 7B、Prime Intellect 的 100 億參數 Intellect-1，最大為 Psyche 網絡上在訓的 400 億參數模型）。

推理對延遲更敏感，但吞吐要求低於訓練、且無需反向傳播（訓練時把誤差逐層回傳更新參數的核心步驟，只有訓練才需要），延遲不敏感的推理（會議紀要、文檔審閱）尤其適合 DePIN。

關鍵缺口在於，這些項目大多不報告端到端總成本。它們宣傳的是單塊 GPU 每小時的價格，而真正決定 ML 任務成本的是訓練效率（每單位成本的迭代次數）與推理效率（每單位成本的 token 數）。

去中心化數據與模型市場

AI 數據有幾個區別於普通商品的特性。它是數字商品，首次創造昂貴、複製卻近乎免費；多為非競爭性（一份數據可被多方同時使用而不損耗）；質量難以事先判斷，即"檸檬市場"問題（買方無法事先判斷質量，導致優質品被劣質品擠出），賣家需提供樣本，但樣本本身就有價值；且可被轉售，還難以界定兩份數據是否實質相同。

中心化市場的爭議在於定價不透明、限制用戶選擇，但中心化定價有時因掌握更多信息而更高效。

數據市場尚未出現壟斷巨頭，是用去中心化方式重做的窗口期，可借助的 crypto 工具包括微支付、TEE（限定數據僅在特定任務中使用）、零知識證明（向買家披露數據性質而不洩露數據本身）。

現狀是，多數平台只用加密貨幣完成了支付環節，定價機制要麼由協議方決定、要麼完全交給賣家，這兩種在中心化市場早已存在。去中心化究竟改善了什麼，仍研究不足。

Agent 支付軌道與 x402

agent 生態本身已是去中心化的：不同方用不同模型開發、優化不同目標，沒有天然的中央控制點。crypto 的密碼經濟學（用密碼學手段疊加經濟獎懲來約束參與者行為）思路可遷移到 agent 治理。

微支付是 agent 經濟的關鍵。互聯網歷史上微支付屢屢失敗，卡點在於人為每筆小額支付做判斷的決策成本，而非支付基礎設施。agent 評估微支付遠快於人類，用戶只需設定策略，這可能讓微支付首次跑通。

Cloudflare 已推出"按爬取付費"，x402（讓程序通過 HTTP 直接完成鏈上小額支付的開放協議）等協議正在開發。

這套體系底層資產以穩定幣為主（USDC、USDT、DAI），因為它們能給 agent 提供穩定的記帳單位（給所有商品統一標價的尺度），而 ETH、SOL 等原生代幣波動過大。

agent 之間的信任靠鏈上註冊表（如 ERC-8004，以太坊上為 agent 建立鏈上身份與聲譽的提案標準）記錄身份與聲譽，但這些本質是自我聲明，且聲譽滯後、利好既有玩家。

更進一步的方案是可驗證 agent 審計：在 TEE 內運行的 LLM 審查專有 agent 代碼、產出聲譽評分，審計結果綁定到代碼哈希，使代碼保持私有的同時讓驗證者獲得可信保證。

無法關停的自主 agent（UAA）是另一重風險。前沿 agent 能自主完成的任務時長，自 2019 年起約每七個月翻一倍。已有研究顯示模型在本地能突破自我複製紅線、造出獨立副本，但複製到外部基礎設施仍卡在身份驗證。

Anthropic 的 Mythos 模型已展示出自主發現並利用零日漏洞（廠商尚未知曉、還沒有補丁的漏洞）的能力。一個持有錢包、又關不掉的 agent，會落在以"運營者"為中心的現有監管框架的盲區。

去中心化治理

區塊鏈社區在分配系統控制權上有更長的實踐史，方式天然去中心化、力圖納入廣泛利益相關方，但也有公認短板：安全漏洞、投票冷漠、賄選。

社區治理在 AI 開發各環節的適配性不同：預訓練數據量太大，難以收集有效意見，價值更多體現在微調階段；底層架構選擇屬技術決策，不適合社區治理；評估與對齊環節混合了技術與規範判斷，社區輸入有價值。

Constitutional AI 用一部由人編寫的"憲法"確立模型應遵循的原則。Anthropic 參與的 Collective Constitutional AI 引入公眾投票生成原則，用公開來源原則訓練的模型社會偏見更低。但這類民主化治理實驗基本未被真正採用，AI 公司缺乏交出模型控制權的動力。

DAO 的代幣加權投票被公認為"金權政治"，由此衍生出二次方投票（追加票數的成本遞增以抑制巨鯨）、信念投票（按持票支持時長累積權重）、委託投票等機制，但有效性仍不明。

保護 AI 系統的執行完整性

當智能合約需借助超出自身能力的 ML 計算時，可作為"仲裁者"：各方先承諾所用模型與數據並質押抵押品，鏈下完成計算後把結果交給合約校驗，錯誤方被罰沒。校驗有四條路線，各有取舍。

第一，TEE，最高效，由可信硬件簽名證明計算完整性，但需信任運營方。

第二，樂觀執行，結果先視為非終局、留爭議窗口，爭議時用二分查找（把出錯範圍反復對半切分、快速定位出錯步驟）定位到單條出錯指令再罰沒。

難點在於 ML 浮點運算的非確定性，需用受控的運算順序或容差語義（不要求兩次計算分毫不差，允許在誤差範圍內即視為一致）來處理，代表方案有 Verde、TAO、Arbigraph、OPML 等。

第三，零知識證明（zkML，用零知識證明來證明 AI 推理過程正確），可在隱藏模型參數、甚至輸入輸出的前提下證明推理正確，已有針對 CNN、Transformer 的專用方案及通用編譯器（如 EZKL、ZKML、DeepProve）。

它的隱私目標其實有三層，分別是藏輸入、藏權重、藏模型結構，但隱私越強，電路約束越複雜、可優化空間越小，存在隱私與效率的根本張力。主要成本來自非線性層與數值表示，仍難以支撐長上下文、大模型與高吞吐服務。

第四，統計推理證明，原理是兩個功能不同的模型、內部算出的特徵也必然不同，因此只要抽樣比對這些特徵，就能概率性地判斷推理是否真由指定模型執行。

它證明開銷在毫秒級、且即時終局，適合高頻、低延遲場景。它能防住的是服務方偷換模型這類現實作惡（如換成更便宜的蒸餾版、或換掉已對齊的版本），但擋不住憑空偽造整條計算記錄的完全惡意者，後者仍是未解難題。

證明模型訓練（zkPoT，用零知識證明來證明訓練過程正確）比證明推理難得多：訓練過程持續時間長、中間狀態不斷累積、隨機性強，複雜度比推理高出若干數量級。相關工作（Garg 等、Kaizen）正在推進，並延伸出對訓練數據來源、公平性約束的可審計證明（ZkAudit、Confidential-PROFITT）。

保護訓練管道

單個機構用自己信任的數據訓練模型時，通常沒有即時的隱私或完整性顧慮。複雜的安全挑戰出現在多方聯合訓練、數據來源多元時。

典型場景是多家醫院聯合訓練診斷模型：合併各方電子病歷（EHR）能覆蓋更廣的患者群體、提升診斷精度，但受 HIPAA 等法規約束，各方不願也不便把原始數據直接交給彼此或第三方。

金融機構聯合訓練反欺詐模型、企業聯合訓練入侵檢測模型，也屬同類情況。

聯邦學習是為此設計的方案：訓練環境先初始化一個全局模型並分發給各方，各方在本地用私有數據訓練、只回傳模型更新，由訓練環境匯總成新的全局模型，數據全程不出本地。

但聯邦學習落地有限（最知名的應用是手機輸入法的預測）。它不保證數據和計算的完整性，即便各方誠實，通信開銷也很大、網絡與協調延遲會拖慢整體速度、模型精度低於集中訓練，惡意參與方還能給模型投毒或植入後門。

一種更簡單的替代是用 TEE 做集中訓練：訓練環境跑在可信機密計算環境裡，通過加密通道接收各方原始數據、集中訓練，只輸出訓練好的模型，數據彼此不可見，還能附帶一份模型溯源證明（誰提供了數據、模型怎麼訓的）。

代價是 TEE 固有的側信道風險和高 I/O 開銷。現實中機構目前多是把數據匯集到合規雲裡，靠隔離、訪問控制、加密和數據使用協議來滿足合規，但這需要信任雲服務商。

私域網絡數據是另一條思路。公開網絡的文本數據正逼近極限（有預測稱 2025 到 2030 年間耗盡），合成數據又有"模型崩潰"風險，且無法拓展已有領域之外的數據覆蓋。

而"私域網絡"（郵件、健康、財務等不對爬蟲開放的數據）據估計比公開網絡大兩個數量級，是尚未開採的富礦，但目前高度孤島化。

預言機能打開這道門。以患者上傳病歷訓練醫療模型為例，用戶可借預言機把自己的病歷從醫院門戶中轉給訓練方，並證明數據確實來自該門戶，全程無需醫院改動任何基礎設施，因為連接由用戶發起。

要同時保護隱私，需要疊加隱私預言機（數據走加密通道）和 TEE。TEE 還能向用戶出示證明，表明自己運行的就是那套"只輸出模型"的隱私訓練軟件，用戶在傳數據前即可核驗。

在此基礎上還能附加差分隱私（模型輸出對任一條訓練數據的依賴極小）、數據用後即刪、成品模型僅限白名單醫院使用等更細的承諾。

安全推理管道與受保護管道（Props）

同一套預言機加可信計算的組合，也能用於對私域數據做安全推理。

以銀行貸款審批為例：模型讀入申請人的財務文件、輸出批或拒。今天的流程是借款人自己下載或拍照上傳材料，由此帶來兩個問題，一是放貸方無法確認材料是否真實、未被篡改，二是借款人材料可能從放貸方的模型系統洩露，對雙方都是風險。

用隱私預言機解決來源真實性、用機密計算解決隱私，就能得到一條安全推理管道：放貸方只看到模型結論，同時确信輸入可信。

私域來源還能順帶充當身份與憑證系統。

借款人能中轉出帶本人身份的銀行流水、W-2 表，本身就是有力的身份證明，讓現有網絡服務變成對抗身份盜用與福利欺詐的臨時身份系統；模型也能據此簽發憑證，比如核驗小微企業的納稅與經營材料後，出具一份"符合某項資質"的證明並附上推理管道的證明。

整個過程可去中心化完成，理論上任何人都能搭起一條可信推理管道，無需數據源或既有權威配合。

對抗性輸入是個頑固難題。攻擊者可提交一份肉眼看著正常、卻被精心改造的銀行流水，騙過模型讀出虛高餘額、誤批貸款。學界對對抗樣本的研究一直是"破解---打補丁"的循環，至今沒有通用解。

安全推理管道提供了一條新思路：把輸入限定為來自認證網絡源，從而壓縮攻擊者構造對抗性輸入的空間，與模型層防禦互補。

模型本身的隱私也需保護。攻擊者可通過精心構造的查詢做模型竊取（提取特徵甚至整個模型）、成員推斷（判斷某人數據是否在訓練集裡）乃至還原原始訓練數據，也可藉此窺探系統的配置與預處理選擇。

研究者曾估算，約 8000 美元就能竊取某大模型一層的權重。開放系統裡常用的限速很脆弱，因為單個匿名用戶可偽裝成大量用戶發起女巫攻擊（Sybil 攻擊）。

安全推理管道能從兩頭緩解：用預言機限定輸入類型，遏制需要大量多樣化查詢的提取攻擊；再用管道內生成的強身份證明，對每個用戶施加查詢次數上限，且能在不向平台暴露用戶身份的前提下執行，從而壓制女巫攻擊。

agent 記憶是新出現的攻擊面。攻擊者通過工具調用或外部材料污染喂給 agent 的上下文（記憶注入），可誘導 agent 異常行事，比如在管理大量加密資產的 ElizaOS 框架中，被污染的上下文能誘使 agent 發起未授權交易。

TEE 能部分緩解：讓 agent 跑在 TEE 內、或只拉取認證過的上下文。

但即便有 TEE 仍有兩個難點。

第一，可信源裡也可能有被污染的內容，比如來自社交平台的內容由用戶自行產生，發帖人可輕易給自己的帖子投毒。

第二，TEE 運營方可發起回滾或分叉攻擊，把 TEE 狀態回退到舊檢查點、抹掉之後的記憶更新。

前者屬於內容檢測難題、密碼學解決不了；後者已可借共識思路應對，ROTE、Narrator 等系統用分佈式協議、甚至公鏈來保證 TEE 狀態的一致與新鮮。

把這一節的架構歸納起來，就是"受保護管道"（Props）這一通用框架，目標是在不改動現有基礎設施的前提下安全使用私域數據。

它把預言機和可信計算拼成三段：預言機從認證的私域源取數並證明來源、TEE 在加密邊界內完成訓練或推理、TEE 輸出模型或結論並附上一份說明管道屬性（數據源、軟件或模型的代碼哈希等）的證明。

Props 保證三條性質：端到端的輸入完整性（輸出只依賴來自可信私域源的認證數據）、默認保密（輸入和中間狀態不出受保護邊界，只公開輸出）、可證明而不洩露（證明讓數據提供方和結果使用方都确信完整性與保密性成立）。

它也有一個"透明版"，數據和計算不必保密、只需認證，來源可公可私。

關於 Crypto x AI 的五個誤解

圍繞 Crypto x AI 平台與應用，行業出現了若干常見誤解或誤導性說法。以下五條都不是徹頭徹尾的假話，關鍵在於釐清哪些部分當下成立、哪些仍需更多證據。

誤區一：區塊鏈能區分 AI 生成內容與人類生成內容

把內容登記上鏈、事後就能判斷它出自 AI 還是人類，這是常被引用的說法，已有項目（如 Everlyn AI）在把 AI 生成內容上鏈。但區塊鏈無法在一般意義上做到這件事，需要把"內容檢測"和"內容溯源"兩個問題分開看。

內容檢測是判斷一段內容由人還是 AI 生成。當前主流是事後檢測，不依賴預先植入的元數據或信號，分兩類：一類是 AI 分類器，用深度學習識別生成模型特有的統計特徵；一類是統計取證，分析像素級噪聲分佈、結構異常（如 AI 人臉的生理不一致）。

問題在於，區塊鏈本身無法感知這些鏈下信息，分類結果必須由外部分類器提供。上鏈只能錨定這個結果，保證記錄提交後不被篡改，卻無法保證記錄寫入時就是真的。外部檢測器若判斷錯誤，區塊鏈會把錯誤永久保存下來。也就是說，區塊鏈提供的是"聲明的完整性"，而非"聲明為真的驗證"。

內容溯源是記錄數字資產從創建起的歷史。C2PA 等行業標準讓創作者或設備給媒體附上密碼學簽名的元數據（內容憑證），記錄來源、作者與後續編輯，Numbers Protocol、Starling Lab 等用區塊鏈做這些憑證的公開不可篡改登記表。

但即便有錨定到鏈上的健全溯源系統，也無法保證內容最初是人還是 AI 生成的。

用戶完全可以把一張 AI 生成圖顯示在高清屏上、再用符合 C2PA 的相機拍下來，得到一份簽名有效、標註為"真實拍攝"的文件；文本同理，AI 生成後手動重打進合規編輯器，就會帶上"人類創作"的合法溯源信息。

此外，內容一旦被改到無法與鏈上記錄匹配，溯源就斷了，而覆蓋所有內容的通用登記表在可見的未來幾乎不可能出現，溯源體系必然存在大量缺口。

要點：在狹義上，區塊鏈能為溯源元數據提供健全的完整性保障，但遠不是 AI 生成內容檢測問題的完整解。

真正有效的方案需要一個通用生態，讓每份內容都用可信設備捕獲並即時上鏈，而現實中絕大多數內容由不支持密碼學錨定的工具創建和分享，未標註內容仍處於模糊地帶。

誤區二：區塊鏈或去中心化能解決 AI 的偏見與公平問題

"把模型推理和訓練放到鏈上就能解決 AI 的不公平和偏見"，要評估這個寬泛說法，需要先區分不同類型的偏見。

算法偏見是 AI 圈最常見的公平性概念。模型會學到甚至放大數據集裡的失衡，導致判別模型在弱勢群體上表現差、生成模型沿襲訓練數據中的不良傾向（如有害語言、固化刻板印象）。

學界已提出大量訓練時與推理時（護欄）的技術方案，但這些保護遠不完美，公平性至今不算已解決問題，甚至可能永遠無法徹底解決，連"如何定義公平"本身都需要做大量取舍。

去中心化解決不了算法偏見，因為它源於訓練過程本身，通常靠改進訓練或推理技術來緩解，去中心化觸及不到根源。

但偏見還有第二個來源，即影響模型表現的高層決策：用什麼數據、用什麼架構、如何補償貢獻者。這一層與 AI 圈通常理解的公平性正交，卻可能影響算法偏見，且部分能借去中心化的兩個特性來改善。

第一個特性是透明。開發者可用區塊鏈公開承諾訓練數據、訓練算法、模型檢查點和推理護欄，讓運營方可證明地追蹤某次訓練或推理的輸出。

但這難以擴展到大模型和檢查點這類訓練時產物（存儲與算力成本太高），現有系統裡這些數據大多本就存在鏈下、用戶也無法直接訪問，短期內透明的收益可能只限於推理環節。

更關鍵的是，除非行業想清楚這種透明要服務什麼用例、該配什麼接口（比如讓用戶舉報數據被不當使用，這又需要確立真正的數據所有權、配套機器遺忘等技術），否則透明本身未必能改變人們開發和使用 AI 的方式。

第二個特性是去中心化治理，需區分兩類。第一類是區塊鏈裡探索、採用過的社區治理機制（代幣加權投票、流動民主，後者指可把票委託給信任的人）；第二類是 DAO 所代表的去中心化自治治理，即由智能合約強制執行治理決定。

兩類的共同要害是，社區治理這類機制本身都不需要區塊鏈就能實現，所以把它們說成"被區塊鏈解決的 AI 問題"並不準確。其中技術性、性能敏感的 AI 決策不適合廣泛投票，但價值取向類決策（如模型對齊）較適合，主流 AI 開發者探索過、只是尚未真正落地。

而真正由智能合約強制執行的鏈上治理（直接執行或質押罰沒）能增強穩健性，但面臨與鏈上透明同樣的技術壁壘，當前基礎設施撐不起 AI 的存儲與算力需求，落地還需可驗證訓練的重大進展，是個自洽卻為時尚早的長期願景。

要點：區塊鏈本身並不能減少算法偏見，但能在 AI 生命週期各階段促進透明，並擴大 AI 治理的參與面。

誤區三：給 AI agent 一個錢包，就讓它"自主"了

做"agent 錢包"和支付協議的項目常宣稱，給 AI agent 一個錢包、讓它能自己賺、自己花、自己"活下去"，就讓它自主了。這種說法混淆了幾個不同的概念。

歧義首先來自"自主"在兩個領域含義不同。在 AI 語境裡，自主 agent 指能基於自身感知、學習、經驗行動，而非死守預設規則；智能合約也常被稱為自主，但強調的是抗篡改、抗審查、抗關停的韌性。

前者稱為"智能自主"，後者稱為"執行自主"。現代 AI agent 已具備相當的智能自主，但未必有執行自主，管理員仍能關掉運行它的伺服器。

而 agent 錢包帶來的，兩種自主都不是。擁有錢包不會讓 AI 更聰明，也不會讓它更能抵抗人為操縱或關停，它帶來的其實是自動化：agent 能以編程方式交易、轉帳、調用鏈上設施，不必走人工審批環節。

這種自動化也並非區塊鏈獨有，中心化金融基礎設施同樣能被 agent 以編程方式調用。一個更站得住的解讀是：區塊鏈支付系統本身比中心化方案提供更強的自主性（儘管不專為 agent 服務），比如能保證 agent 的交易不被區別對待，即中立性與抗審查。

要點：agent 錢包讓 AI agent 能便捷調用金融接口、把經濟交互自動化、免去人工審批，但自動化不等於自主。僅有錢包並不能讓 agent 擺脫人的控制（運營方仍能關停它依賴的模型或設施），自動化支付也不需要區塊鏈，中心化系統同樣能實現。

區塊鏈支付的真正賣點在於中立性與抗審查，適合擔心支付被壓制或干預的場景。

誤區四：透明的 AI 等於可信的 AI

把模型的數據來源和推理記錄上鏈，看起來是保障 AI 可信的理想工具，這一論點出自一篇廣為引用的 IBM 博客，並被引申到 AI agent。但需要分兩層拆解。

模型層透明方面，記錄訓練數據來源看似帶來了關於模型創建的透明，但"數據來源記錄"和"模型行為保證"之間隔著巨大鴻溝。

其一，鏈上記錄只是記錄、不等於來源的證明（對訓練集構成的證明另需專門技術）。

其二，即便完全掌握訓練數據，也不足以判定模型會如何表現，因為訓練流程和計算環境同樣決定模型行為。

其三，即便掌握從數據到模型的完整流程、足以復現模型，隨機訓練固有的非確定性也讓"用訓練流程去核驗模型權重"在原理上就不可行。

更何況，即使拿到權重，也沒有普遍有效的手段檢測訓練中植入的後門或對抗性操縱，而把模型數據和訓練信息記上鏈，並不能直接保證其行為特徵或不存在對抗性操縱。

推理層透明方面，把模型輸入和對應推理記上鏈，看似帶來了關於模型使用的透明，但區塊鏈讓交易透明、而非讓推理透明。一條寫著"模型 X 在輸入 Y 上得到推理 Z"的鏈上記錄，幾乎無法證明 Z 可信。

因為它既不能證明"正確執行"（要證明這個三元組確實由模型 X 按規格運算而來，需要 TEE 或昂貴的密碼學手段），也不能證明"模型可信"。

即便證明了執行正確，更根本的問題是：模型 X 的完整來源記錄，並不能在語義層面證明它符合用戶預期或行業規範；用權重哈希來指定模型，保證就更弱，因為模型的身份並不等於模型的可信。

區塊鏈對某些可信目標確實有用，比如機構把開源權重模型的哈希公布上鏈，作為不可篡改的參照，讓用戶確認自己用的是未被改動的真實模型；類似的防篡改日誌思路也用於固件更新記錄和證書透明（用類區塊鏈的只追加日誌維護可公開審計的證書簽發記錄）。

要點：把模型數據來源和推理記錄上鏈，與"模型及推理可信的有意義保證"之間，仍存在相當大的鴻溝。

誤區五：去中心化天然讓 AI 任務更省錢

一類項目把去中心化網絡當作更高效、更省錢的 AI 方案，典型是去中心化物理基礎設施網絡（DePIN），用戶把自己的硬件（如 GPU）租出去，主要賣點是成本更低，租一塊 DePIN 的 GPU 可能比在同檔雲服務商租便宜得多。

但便宜的機器不一定帶來更低的任務總成本。去中心化節點通過公網通信，AI 任務的吞吐和延遲需求會顯著影響總成本，而超大型任務（如訓練前沿模型）通常受吞吐瓶頸制約。

目前難以做直接成本對比，因為行業還缺乏系統性的基準測試，無法把 DePIN 上的 AI 任務與傳統雲做同口徑的性能與成本對比。

要點：去中心化網絡是高成本中心化雲的一個有吸引力的替代選項，但現有數據還不足以預測一個任務在 DePIN 或去中心化 AI 平台上何時會比中心化雲更便宜。

小任務（推理、小規模訓練）很可能更省錢，超大型任務（訓練基礎模型）則可能被節點間不穩定、低帶寬的通信拖累。要釐清這些權衡，仍需更多研究。

這五條誤區的共同點在於，區塊鏈能提供的更多是"完整性"和"可驗證性"，而非"真實性"或"可信性"本身。Crypto x AI 仍處在需要用證據說話、而非靠敘事推進的早期階段。