Zypher Research: zkPrompt - Trustless AI 的安全互動協議
摘要:Felix(Zypher Network首席研究科學家)結合AI與區塊鏈技術,與Zypher Network團隊推出zkPrompt 系統。zkPrompt 系統是基於零知識證明的協議,確保用戶與LLM互動的響應真實、防篡改。涉及用戶、Prover、Proxy和LLM服務商四方,Prover生成證明驗證響應完整性。相比ZKML,系統開銷低,假設LLM可信,重點約束Prover。Proxy簽名和鏈上驗證防偽造,支持哈希上鏈保護隱私。適用於金融AI、鏈上資產管理等場景,助力可信去中心化AI生態。在 zkPrompt 協議中,系統互動涉及四個參與方:用戶(User)、證明者(Prover)、代理節點(Proxy)和大語言模型(LLM)服務提供方。
協議背景與對比
zkPrompt 的核心理念類似於 zkTLS [1],後者將零知識證明整合進 TLS 通信流程中,以確保數據完整性與真實性。在 zkPrompt 系統中,用戶通過 Prover 向 LLM 發起請求,Prover 再通過第三方 Proxy 將請求轉發至 LLM 服務提供方。
LLM 處理請求並通過 Proxy 將響應返回給 Prover,後者再將其傳回用戶。整個 TLS 通信只發生在 Prover、Proxy 與 LLM 服務商之間。由於用戶不直接參與這段通信,可能會擔心 Prover 篡改響應內容。為解決這一信任問題,zkPrompt 要求 Prover 生成零知識證明,證明其返回的響應確實由 LLM 生成,且未被篡改,從而實現高度防篡改的安全性。
該協議的實施可顯著增強 AI Agent 的可信度與安全性,釋放高價值應用場景,例如鏈上資產管理、對沖策略、金融 AI 助理、支付系統等,這些均依賴極高可信度的 AI 系統。
設計優勢
相較於現有的 ZKML 框架如 Ezkl [2],zkPrompt 顯著降低了系統開銷。例如,為一個簡單的 GPT-2 模型生成 Zk 證明,在 Ezkl 中可能需要數小時,這在面對 OpenAI 或 DeepSeek 等大型模型服務時幾乎無法實際部署。
我們提出了一個更為務實的信任模型:系統並不要求用戶驗證 LLM 的內部執行過程,而是假設大型 LLM 服務商是可信的,並重點確保 Prover 不得篡改輸出。這種設計反映了現實需求------主流 LLM 服務商因其聲譽和廣泛用戶基礎具有天然的可信性,而 Prover 節點通常對用戶不可見,更可能成為攻擊點,因此必須重點約束。
信任與安全模型
我們假設 Proxy 與 Prover 之間不存在串通行為。為進一步強化該假設,建議在真實部署中將 Proxy 去中心化,以避免單點信任或故障。
為簡化初期實現,我們暫時假設用戶的 Prompt 和最終響應以明文形式上鏈(隱私保護方法將在後續部分說明)。
技術挑戰與核心解決方案
主要技術挑戰在於 Prover 可以偽造密文。即使用戶看到某個密文,也無法判斷它是否確實通過 TLS 會話從 LLM 獲取,或只是 Prover 本地偽造並加密的。
為解決此問題,我們引入 Proxy 簽名機制:當 Proxy 從 LLM 接收到加密響應後,會對密文進行簽名,並將密文與簽名一並上傳鏈上。隨後,Prover 提供零知識證明,證明以下聲明成立:
解密該密文所得的明文,正是由 LLM 返回的響應。
該證明的核心在於驗證對稱解密過程的正確性,可以利用 Dubhe [3] 等現有成果高效實現。
驗證流程
由於 LLM 的響應通常包含用戶的 Prompt,驗證者(如礦工)僅需完成以下檢查:
- 驗證 Proxy 對密文的簽名是否有效;
- 檢查解密後的明文是否包含用戶原始 Prompt;
- 驗證 Prover 提供的零知識證明。
完成上述步驟後,礦工即可確認 Prover 誠實地返回了來自 LLM 的真實響應。
隱私保護設計
若用戶希望隱藏 Prompt 和響應內容,可採用如下方案:
在發送 Prompt 並收到響應後,用戶將其哈希值上傳鏈上,而非明文。設:
- H1 = Hash(Prompt)
- H2 = Hash(Response)
假設響應中的子串 [I:J] 恰好對應 Prompt。
此時,由 Proxy 將響應的密文上傳鏈上,Prover 使用響應明文 Www 作為 Witness,生成如下 Zk 證明:
- Hash(W) = H2
- Hash(W[I:J]) = H1
- Decrypt(Ciphertext) = W
驗證者只需確認 Proxy 簽名的密文有效,並驗證 Prover 提供的 Zk 證明,即可确信響應確實來源於 LLM,且未被篡改------無需透露任何明文內容。
作者簡介:
Felix Zypher Network 首席研究科學家
Felix 是 Zypher Network 人工智慧核心團隊的研究員,專注於下一代多模態大模型與可信 AI 系統。他目前主要致力於基於零知識證明(ZK)的模型壓縮方法,以提升去中心化環境中 AI Agent 的泛化能力與安全性。
在加入 Zypher 之前,Felix 曾在微軟亞洲研究院和加州大學伯克利分校參與多個前沿 AI 項目的研究和實習,積累了豐富的科研經驗。他的研究成果已發表在 NeurIPS、S\&P、CCS、Usenix Security 和 NDSS 等人工智慧與網絡安全頂級會議上。
Felix 目前是新加坡國立大學的博士候選人,其研究方向涵蓋高效模型推理優化、去中心化 AI 架構、模型魯棒性以及密碼學。憑藉 AI 與區塊鏈交叉領域的堅實背景,他致力於在 Zypher 推動 AI 與 ZK 技術的創新融合,助力構建可信、一體化且安全的去中心化 AI 生態系統。
參考文獻:
[1] zkTLS 詳細介紹:
++Https://Www.Blocmates.Com/Articles/What-Is-Zktls-A-Complete-Guide++
[2] Ezkl 項目首頁:
++Https://Github.Com/Zkonduit/Ezkl++
[3] Dubhe: 針對標準 AES 的簡潔零知識證明及其相關應用:
++Https://Homes.Luddy.Indiana.Edu/yh33/Mypub/Dubhe.Pdf++
