Zypher Research: zkPrompt - 신뢰 없는 AI의 안전한 상호작용 프로토콜
요약: Felix(자이퍼 네트워크 수석 연구 과학자)는 AI와 블록체인 기술을 결합하여 자이퍼 네트워크 팀과 함께 zkPrompt 시스템을 출시했습니다. zkPrompt 시스템은 제로 지식 증명을 기반으로 한 프로토콜로, 사용자가 LLM과 상호작용할 때 응답의 진실성과 변조 방지를 보장합니다. 사용자, Prover, Proxy 및 LLM 서비스 제공자의 네 가지가 관련되어 있으며, Prover는 응답의 완전성을 검증하는 증명을 생성합니다. ZKML에 비해 시스템 오버헤드가 낮고, LLM이 신뢰할 수 있다고 가정하며, Prover에 대한 제약이 중점입니다. Proxy 서명과 체인 상 검증은 위조 방지를 지원하며, 해시 상의 체인 보호를 통해 개인 정보를 보호합니다. 금융 AI, 체인 상 자산 관리 등 다양한 상황에 적합하며, 신뢰할 수 있는 탈중앙화 AI 생태계를 지원합니다.在 zkPrompt 프로토콜에서 시스템 상호작용은 네 명의 참여자가 포함됩니다: 사용자(User), 증명자(Prover), 프록시 노드(Proxy), 그리고 대형 언어 모델(LLM) 서비스 제공자.
프로토콜 배경 및 비교
zkPrompt의 핵심 개념은 zkTLS [1]와 유사하며, 후자는 제로 지식 증명을 TLS 통신 프로세스에 통합하여 데이터의 무결성과 진정성을 보장합니다. zkPrompt 시스템에서 사용자는 Prover를 통해 LLM에 요청을 시작하고, Prover는 제3자 Proxy를 통해 요청을 LLM 서비스 제공자에게 전달합니다.
LLM은 요청을 처리하고 Proxy를 통해 응답을 Prover에게 반환하며, Prover는 이를 사용자에게 다시 전달합니다. 전체 TLS 통신은 Prover, Proxy 및 LLM 서비스 제공자 간에만 발생합니다. 사용자가 이 통신에 직접 참여하지 않기 때문에 Prover가 응답 내용을 변조할 수 있다는 우려가 있을 수 있습니다. 이러한 신뢰 문제를 해결하기 위해 zkPrompt는 Prover가 제로 지식 증명을 생성하여 반환된 응답이 실제로 LLM에 의해 생성되었고 변조되지 않았음을 증명하도록 요구합니다. 이를 통해 높은 수준의 변조 방지 보안을 실현합니다.
이 프로토콜의 구현은 AI 에이전트의 신뢰성과 안전성을 크게 향상시킬 수 있으며, 체인 상 자산 관리, 헤지 전략, 금융 AI 어시스턴트, 결제 시스템 등과 같은 고부가가치 응용 시나리오를 해방시킵니다. 이러한 응용은 매우 높은 신뢰성을 요구하는 AI 시스템에 의존합니다.
설계 장점
기존의 ZKML 프레임워크인 Ezkl [2]에 비해 zkPrompt는 시스템 오버헤드를 크게 줄였습니다. 예를 들어, 간단한 GPT-2 모델에 대한 Zk 증명을 생성하는 데 Ezkl에서는 수 시간이 걸릴 수 있으며, 이는 OpenAI 또는 DeepSeek와 같은 대형 모델 서비스에 직면했을 때 거의 실제 배포가 불가능합니다.
우리는 보다 실용적인 신뢰 모델을 제안합니다: 시스템은 사용자가 LLM의 내부 실행 과정을 검증할 것을 요구하지 않으며, 대신 대형 LLM 서비스 제공자가 신뢰할 수 있다고 가정하고 Prover가 출력을 변조하지 않도록 보장하는 데 중점을 둡니다. 이러한 설계는 현실적인 요구를 반영합니다. 주류 LLM 서비스 제공자는 그들의 명성과 광범위한 사용자 기반으로 인해 자연적인 신뢰성을 가지며, Prover 노드는 일반적으로 사용자에게 보이지 않기 때문에 공격 지점이 될 가능성이 높아 반드시 제약해야 합니다.
신뢰 및 안전 모델
우리는 Proxy와 Prover 간에 공모 행위가 없다고 가정합니다. 이 가정을 더욱 강화하기 위해 실제 배포에서는 Proxy를 탈중앙화하여 단일 신뢰 지점이나 고장을 피하는 것이 좋습니다.
초기 구현을 단순화하기 위해, 우리는 사용자의 프롬프트와 최종 응답이 명문 형태로 체인에 올라간다고 가정합니다(개인정보 보호 방법은 후속 부분에서 설명됩니다).
기술적 도전 과제 및 핵심 해결책
주요 기술적 도전 과제는 Prover가 암호문을 위조할 수 있다는 것입니다. 사용자가 특정 암호문을 보더라도 그것이 실제로 TLS 세션을 통해 LLM에서 가져온 것인지, 아니면 Prover가 로컬에서 위조하고 암호화한 것인지 판단할 수 없습니다.
이 문제를 해결하기 위해 우리는 Proxy 서명 메커니즘을 도입합니다: Proxy가 LLM으로부터 암호화된 응답을 받은 후, 암호문에 서명하고 암호문과 서명을 함께 체인에 업로드합니다. 이후 Prover는 제로 지식 증명을 제공하여 다음 주장이 성립함을 증명합니다:
해당 암호문을 복호화하여 얻은 명문은 LLM이 반환한 응답입니다.
이 증명의 핵심은 대칭 복호화 과정의 정확성을 검증하는 것으로, Dubhe [3]와 같은 기존의 성과를 활용하여 효율적으로 구현할 수 있습니다.
검증 프로세스
LLM의 응답에는 일반적으로 사용자의 프롬프트가 포함되므로, 검증자(예: 채굴자)는 다음 검사를 수행하기만 하면 됩니다:
- Proxy의 암호문 서명이 유효한지 확인합니다;
- 복호화된 명문이 사용자의 원래 프롬프트를 포함하는지 확인합니다;
- Prover가 제공한 제로 지식 증명을 검증합니다.
위 단계를 완료한 후, 채굴자는 Prover가 LLM으로부터 온 진짜 응답을 정직하게 반환했음을 확인할 수 있습니다.
개인정보 보호 설계
사용자가 프롬프트와 응답 내용을 숨기고 싶다면 다음과 같은 방법을 사용할 수 있습니다:
프롬프트를 전송하고 응답을 받은 후, 사용자는 명문 대신 해시 값을 체인에 업로드합니다. 설정:
- H1 = Hash(Prompt)
- H2 = Hash(Response)
응답의 부분 문자열 [I:J]가 정확히 프롬프트에 해당한다고 가정합니다.
이 경우 Proxy가 응답의 암호문을 체인에 업로드하고, Prover는 응답 명문 Www를 증인으로 사용하여 다음 Zk 증명을 생성합니다:
- Hash(W) = H2
- Hash(W[I:J]) = H1
- Decrypt(Ciphertext) = W
검증자는 Proxy 서명의 암호문이 유효한지 확인하고 Prover가 제공한 Zk 증명을 검증하기만 하면 응답이 실제로 LLM에서 온 것이며 변조되지 않았음을 확신할 수 있습니다. ------ 어떤 명문 내용도 공개하지 않고.
저자 소개:
Felix Zypher Network 수석 연구 과학자
Felix는 Zypher Network 인공지능 핵심 팀의 연구원으로, 차세대 다중 모달 대형 모델 및 신뢰할 수 있는 AI 시스템에 집중하고 있습니다. 그는 현재 제로 지식 증명(ZK)을 기반으로 한 모델 압축 방법을 연구하여 탈중앙화 환경에서 AI 에이전트의 일반화 능력과 안전성을 향상시키고 있습니다.
Zypher에 합류하기 전, Felix는 마이크로소프트 아시아 연구소와 캘리포니아 대학교 버클리 캠퍼스에서 여러 최전선 AI 프로젝트의 연구 및 인턴십에 참여하여 풍부한 연구 경험을 쌓았습니다. 그의 연구 결과는 NeurIPS, S&P, CCS, Usenix Security 및 NDSS와 같은 인공지능 및 사이버 보안 최고의 회의에서 발표되었습니다.
Felix는 현재 싱가포르 국립대학교의 박사 후보자로, 그의 연구 방향은 효율적인 모델 추론 최적화, 탈중앙화 AI 아키텍처, 모델 강건성 및 암호학을 포함합니다. AI와 블록체인 교차 분야의 탄탄한 배경을 바탕으로, 그는 Zypher에서 AI와 ZK 기술의 혁신적인 융합을 추진하여 신뢰할 수 있고 통합된 안전한 탈중앙화 AI 생태계를 구축하는 데 기여하고 있습니다.
참고 문헌:
[1] zkTLS 상세 소개:
++Https://Www.Blocmates.Com/Articles/What-Is-Zktls-A-Complete-Guide++
[2] Ezkl 프로젝트 홈페이지:
++Https://Github.Com/Zkonduit/Ezkl++
[3] Dubhe: 표준 AES에 대한 간결한 제로 지식 증명 및 관련 응용:
++Https://Homes.Luddy.Indiana.Edu/yh33/Mypub/Dubhe.Pdf++
