Vitalik新文：暢想Web3終景，「開源可驗證」將成為技術標配

原文標題：The importance of full-stack openness and verifiability

原文作者：Vitalik Buterin

原文編譯：Saoirse，Foresight News

原文編譯：Saoirse，Foresight News

這一趨勢始於電子郵件與即時通訊——數千年來，人們依靠口耳相傳、紙筆記錄完成的私密對話，如今已轉移到數位基礎設施上進行。隨後，數位金融應運而生，既包括加密貨幣金融，也涵蓋傳統金融本身的數位轉型。再到後來，數位科技滲透至健康領域：借助智慧型手機、個人健康追蹤手錶，以及從消費行為推斷出的數據，各類與我們身體相關的資訊正透過電腦及電腦網路處理。在未來二十年裡，我預期這一趨勢將席捲更多領域，包括各類政府事務（最終甚至可能延伸至選舉環節）、對公共環境中物理與生物指標及潛在威脅的監測，而最終，透過腦機介面技術，數位技術甚至可能觸及我們人類自身的思維層面。

我認為這些趨勢不可避免：其帶來的益處過於巨大，且在競爭激烈的全球環境中，拒絕這些技術的文明首先會喪失競爭力，進而向接納這些技術的文明讓出主權。然而，除了帶來強大益處外，這些技術也深刻影響國家內部及國家之間的權力格局。

能從新一波科技浪潮中獲益最多的文明，並非科技的「消費方」，而是科技的「生產者」。針對封閉平台與介面所設計的、由中央統籌的平等存取項目，充其量只能實現其中一小部分價值，且在預設的「常規」場景之外往往失效。此外，在未來的科技圖景中，我們對科技的信任度將大幅提升。一旦這種信任被打破（例如出現後門程序、安全漏洞），就會引發嚴重問題。即便只是存在信任被打破的「可能性」，也會迫使人們退回到本質上具有排他性的社會信任模式——即「這件東西是由我信任的人打造的嗎？」。這種情況會在技術棧的各個層面催生連鎖反應：所謂「主導者」，就是那些能定義「特殊狀況」的主體。

要規避這些問題，技術堆疊中的各類技術－包括軟體、硬體及生物領域技術－需具備兩個相互關聯的核心特性：真正的開放性（即開源，包括免費授權）與可驗證性（理想情況下，終端使用者應能直接進行驗證）。

網路即現實生活。我們希望它成為烏托邦，而不是反烏托邦。

健康領域中開放性與可驗證性的重要性

新冠疫情期間，技術生產手段獲取不平等所帶來的後果暴露無遺。疫苗僅在少數國家生產，這導致不同國家獲得疫苗的時間存在巨大差距：富裕國家在 2021 年就獲得了高品質疫苗，而其他國家直到 2022 年或 2023 年才拿到品質較低的疫苗。儘管當時有多項舉措試圖保障疫苗的平等獲取，但由於疫苗生產依賴資本密集的專有製造流程，且這類流程僅能在少數地區開展，這些舉措的效果十分有限。

2021-2023年新冠疫苗覆蓋率數據

疫苗面臨的第二個主要問題，在於其相關科學研究與資訊傳播策略的不透明性：相關方試圖向公眾宣稱疫苗「完全無風險、無任何副作用」，這一說法與事實不符，最終極大地加劇了公眾對疫苗的不信任感。如今，這種不信任感已升級，甚至演變為對半世紀以來科學成果的質疑。

事實上，這兩個問題都有解決之道。例如，由 Balvi 資助的 PopVax 等疫苗，不僅研發成本更低，且研發流程的開放性更高——這不僅能減少疫苗取得的不平等性，同時也讓其安全性與有效性的分析和驗證變得更加容易。未來，我們甚至可以在疫苗設計之初，就將「可驗證性」作為核心目標。

類似問題也存在於生物技術的數位化領域。當你與長壽研究學者交流時，他們幾乎都會提到：抗老醫療的未來方向是「個人化」與「數據驅動」。要為當下的人們提供精準的用藥建議與營養調整方案，就必須了解其身體的即時狀況；而要實現這一點，大規模、即時的數位資料收集與處理至關重要。

一款智慧手錶收集的個人資料量，是 Worldcoin（世界幣）的 1000 倍，這一現象利弊共存。

此邏輯同樣適用於以「防範風險」為目標的防禦性生物技術，例如疫情防治。疫情發現越早，就越有可能從源頭遏制；即便無法遏制，每提前一周發現，也能為防控準備與應對措施研發爭取更多時間。在疫情持續期間，即時掌握疫情發生地點，對於及時部署防控措施也具有重要價值：若感染疫情的普通人能在得知病情后 1 小時內自我隔離，疫情傳播範圍將比“帶病活動 3 天、傳染他人”的情況減少 72 倍；若能確定“20% 的地點導致了 80% 的情況減少 72 倍；若能確定“20% 的地點導致了 80% 的空氣傳播”，針對性地傳播這些區域的風險進一步發展。要實現這些目標，需滿足兩個條件：（1）部署大量感測器；（2）感測器具備即時通訊能力，能將資訊回饋至其他系統。

若進一步展望「科幻級」的技術方向，我們會看到腦機介面的潛力－它不僅能大幅提升人類的工作效率、透過「心靈感應式通訊」幫助人們更好地理解彼此，還能為更安全的高智慧人工智慧開闢路徑。

倘若生物與健康追蹤（包括個人層面與空間層面）的基礎設施為專有技術，那麼資料將預設流入大型企業手中。這些企業有權在基礎設施之上開發各類應用，而其他主體則被排除在外。儘管它們可能透過 API（應用程式介面）開放部分存取權限，但這類權限往往受限，且可能被用於「壟斷性尋租」，甚至隨時可能被收回。這意味著，少數個人與企業掌握 21 世紀某一重要技術領域的核心資源，進而限制了其他主體從中獲取經濟利益的可能性。

另一方面，若這類個人健康資料缺乏安全保障，駭客一旦入侵，便可能利用健康問題敲詐勒索、透過優化保險與醫療產品定價榨取利益；若資料中包含位置信息，駭客甚至能據此蹲點實施綁架。反之，你的位置資料（頻繁遭遇駭客攻擊）也可能被用來推論你的健康狀況。而若腦機介面被駭客入侵，代表惡意攻擊者能直接「讀取」（甚至更糟－「竄改」）你的思維。這已不再是科幻場景：有研究顯示，腦機介面遭駭客攻擊後，可能導致使用者喪失運動控制能力（相關攻擊案例可參考此處）。

總而言之，這些技術雖能帶來巨大益處，但也伴隨著顯著風險——而大力強調「開放性」與「可驗證性」，正是緩解這些風險的有效途徑。

個人與商業數位科技領域中開放性與可驗證性的重要性

本月初，我需要填寫並簽署一份具有法律效力的文件，但當時我身處國外。儘管該國設有全國性電子簽名系統，但我並未提前完成註冊。最終，我必須列印文件、手寫簽名，再前往附近的 DHL（敦豪快遞）網點，花大量時間填寫紙質快遞單，最後支付費用將文件跨國加急寄出。整個過程耗時半小時，花費 119 美元。而就在同一天，我還需要在以太坊區塊鏈上簽署數位交易——整個過程只花了 5 秒，成本僅 0.1 美元（公平地說，即便不依賴區塊鏈，數位簽名也可完全免費）。

這類案例在企業或非營利組織治理、智慧財產權管理等場景中十分常見。過去十年間，絕大多數區塊鏈新創企業的商業計畫書裡，都能看到類似的「效率對比」案例。除此之外，「透過數位方式行使個人權限」最核心的應用場景，便是支付與金融領域。

當然，這一切都伴隨著一個重大風險：若軟體或硬體遭遇駭客攻擊，該怎麼辦？加密貨幣領域很早就意識到了這一風險——區塊鏈具有「無需許可」與「去中心化」的特性，一旦你丟失資金訪問權限，便沒有任何「救星」可求助，即「沒有私鑰，就沒有資產所有權」。正因如此，加密貨幣領域早早開始探索「多簽錢包」「社群恢復錢包」與「硬體錢包」等解決方案。然而在現實中，許多場景下「缺乏可信賴第三方」並非出於意識形態選擇，而是場景本身的固有屬性。事實上，即便是在傳統金融領域，「可信任第三方」也難以保護大多數人——例如，僅有 4% 的詐騙受害者才能追回損失。而在涉及「個人資料託管」的場景中，資料一旦洩露，從原則上講便無法「撤回」。因此，我們需要真正的可驗證性與安全性——既包括軟體，最終也包括硬體。

一種用於檢測電腦晶片製造是否合規的技術方案

重要的是，在硬體領域，我們試圖防範惡意的風險遠不止「製造商是否惡意」這不止一點。更核心的問題在於：硬體研發依賴大量外部元件，且多數元件為閉源模式，只要其中任一元件存在疏漏，就可能導致無法接受的安全後果。有論文顯示，即便軟體在獨立模型中被證明「安全無虞」，微架構的選擇也可能破壞其側通道抗性。像 EUCLEAK（一種攻擊方式）這類安全漏洞，正因其依賴的組件多為專有技術，才更難被發現。此外，若人工智慧模型在受損硬體上訓練，訓練過程中可能被植入後門。

另一個問題在於：即便封閉的集中式系統本身安全無虞，也會帶來其他弊端。集中化會在個人、企業或國家之間形成「持續的權力槓桿」－若你的核心基礎設施由某一「潛在不可信國家」的「潛在不可信企業」搭建與維護，你便容易面臨外部施壓（例如，可參考

2014 年對愛沙尼亞互聯網投票系統的批判性分析

這些反對理由，同樣適用於其他類似場景。但我預測，隨著科技發展，在越來越多領域中，「完全拒絕數位化」的態度將變得不再現實。科技正推動世界向更高效率發展（無論利弊），若某一體系拒絕順應這一趨勢，人們將逐漸繞過它開展活動，其在個人與集體事務中的影響力也會不斷減弱。因此，我們需要另一個方案：直面難題，探索如何讓複雜的技術解決方案具備「安全性」與「可驗證性」。

理論上，「安全可驗證」與「開源」是兩個不同概念。專有技術完全可能具備安全性——例如，飛機技術高度專有，但商業航空仍是安全性極高的出行方式。然而，專有模式無法實現的，是「安全共識」──也就是讓相互不信任的主體都能認可其安全性的能力。

選舉等公民系統，正是需要「安全共識」的典型場景。另一個場景是法庭證據收集。最近，美國馬薩諸塞州法院裁定，大量酒精測試儀證據無效——原因是州犯罪實驗室被發現隱瞞了測試儀存在普遍故障的資訊。判決文件中提到：

「所有測試結果都存在問題嗎？並非如此。事實上，多數案件中的酒精測試儀並未出現校準問題。但調查人員隨後發現，州犯罪實驗室隱瞞了『故障範圍比聲稱更廣泛』的證據，因此 Frank Gaziano法官認為，所有相關被告的正當程序權利均受到了侵犯。

此外，「開放性」本身也具有固有價值。開放效能讓本地群體依照自身目標，設計適配的治理、身分認證等系統。若投票系統為專有技術，某一國家（或省份、城市）若想嘗試新的投票模式，將面臨巨大障礙：要么說服企業將其偏好的規則開發為“新功能”，要么從零開始研發並完成安全驗證——這無疑大幅增加了政治體系創新的成本。

在這些領域中，採用「開源駭客倫理」（即鼓勵共享、協作與創新的理念），能賦予本地實施者更多自主權——無論他們是以個人身份、還是作為政府或企業的一員開展工作。要實現這一點，需滿足兩個條件：一是廣泛提供「便於建置的開源工具」，二是基礎設施與程式碼庫需採用「免費授權」模式，允許他人在此基礎上二次開發。若目標是「縮小權力差距」，則「copyleft」模式尤為重要。

未來幾年，公民科技領域另一個重要方向是實體安全。過去二十年間，監視器遍佈各地，引發了許多公民自由擔憂。但不幸的是，無人機 warfare 的興起，已讓「不採用高科技安全手段」不再是可行選項。即便某國法律不侵犯公民自由，若該國無法保護公民免受「其他國家（或惡意企業、個人）」的非法幹預，所謂的「自由」也無從談起——而無人機讓這類攻擊變得更加容易。因此，我們需要相應的防禦措施，其中可能包括大量「反無人機系統」、感測器與攝影機。

若這些工具為專有技術，資料收集將既不透明又高度集中；若這些工具具備「開放性」與「可驗證性」，我們便能探索更優方案：安全設備僅在有限場景下輸出有限數據，並自動刪除其餘資料。如此一來，數位化實體安全的未來，將更像「數位看門狗」，而非「數位全景監獄」。我們可以構想這樣一個世界：公共監控設備必須開源且可驗證，任何公民都擁有「隨機選取公共監控設備、拆解並驗證其合規性」的法律權利；大學電腦社團甚至可以將這類驗證作為教學實踐活動。

開源且可驗證的實現路徑

我們無法避免數位電腦技術深度嵌入個人與集體生活的各個層面。若順其自然，未來的數位技術很可能呈現這樣的形態：由中心化企業開發運營，為少數人的盈利目標服務，被所在國政府植入後門，而全球多數人既無法參與技術創造，也無從判斷其安全性。但我們完全可以努力轉向一條更優的路。

不妨構想這樣一個世界：

· 你擁有一台安全的個人電子設備－它兼具手機的運算能力、加密硬體錢包的安全性，可檢查程度雖不及機械手錶，卻已十分接近。

· 你所有的即時通訊應用程式都已加密，訊息傳播軌跡透過混網技術隱藏，且所有程式碼都經過形式化驗證。

· 你完全可以確信，私人對話真正做到了私密無洩漏。

· 你的財務資產是鏈上標準化的 ERC-20 代幣（或儲存於向區塊鏈發布哈希值與驗證證明以確保準確性的伺服器中），由個人電子設備控制的錢包管理。

· 若設備遺失，你可透過自主選擇的方式（例如結合你的其他設備、家人、朋友或機構的設備－不一定是政府機構：若操作夠便捷，教會等組織也可能提供此類服務）恢復資產存取權。

· 開源版 Starlink 等級基礎設施已投入使用，確保全球通訊穩定可靠，無需依賴少數營運主體。

· 你的裝置搭載本地運行的開源權重大型語言模型（LLM），可即時掃描你的操作、提供建議、自動完成任務，並在你可能獲取錯誤訊息或即將犯錯時發出預警。

· 裝置的作業系統同樣開源，且經過形式化驗證。

· 你戴著 24 小時不間斷工作的個人健康追蹤設備，這類設備同樣具備開源性與可檢查性－你能隨時取得自己的健康數據，且可確保未經你許可，任何人都無法取得這些資訊。

· 我們擁有更先進的治理模式：採用抽籤代表制、公民議會、二次投票等機制，透過巧妙結合的民主投票方式設定目標，並藉助特定方法篩選專家方案以確定目標的實現路徑。

· 身為參與者，你完全可以確信，系統正按照你所理解的規則運作。公共場所配備用於追蹤生物變數的監測設備（如監測二氧化碳濃度、空氣品質指數、空氣傳播疾病存在、廢水指標等）。

· 但這類設備（以及所有監視攝影機、防禦性無人機）均具備開源性與可驗證性，且有相應法律體系保障公眾可對其進行隨機檢查。

在這樣的世界裡，我們將擁有比當下更高的安全性、更多的自由，以及更平等的全球經濟參與機會。但要實現這個願景，還需在以下各類技術領域加大投入：

· 更先進的加密技術：我將零知識證明（ZK-SNARKs）、全同態加密、混淆技術稱為加密領域的“埃及神祇保證卡牌”——它們的強大數據之處在於，能在多方狀態加密、混淆技術稱為加密領域的“埃及神祇保證卡牌”——它們的強大數據之處在於，能在多方狀態下對數據運算的私密性，同時保證這為開發更強大的隱私保護應用奠定了基礎。與加密技術相關的工具（如能確保資料不會被竄改、用戶不被排斥的區塊鏈，以及透過向資料添加雜訊進一步保護隱私的差分隱私技術）也將在此發揮重要作用。

· 應用程式與使用者級安全：只有當應用程式的安全承諾能被使用者理解並驗證時，它才稱得上真正安全。這需要藉助軟體框架，降低高安全性屬性應用的開發難度。更重要的是，瀏覽器、作業系統及其他中間件（如本地運行的監控型大型語言模型）需協同發力：驗證應用程式安全性、判定風險等級，並將這些資訊清晰地呈現給使用者。

· 形式化驗證：我們可利用自動化證明方法，透過演算法驗證程序是否滿足關鍵特性（如不洩漏資料、防止未授權第三方修改）。 Lean 語言近來已成為該領域的熱門工具。目前，這些技術已開始用於驗證以太坊虛擬機器（EVM）的零知識證明演算法，以及加密領域其他高價值、高風險用例，在更廣泛的領域也有類似應用。除此之外，我們還需在其他更基礎的安全實踐中取得進一步突破。

21 世紀初「網路安全無法根治」的宿命論是錯誤的：漏洞（及後門）並非無法解決。我們「只需」學習將安全置於其他競爭目標之上。

· 開源且以安全為核心的作業系統：這類系統正不斷湧現，例如專注安全的安卓衍生系統 GrapheneOS、主打極簡安全的核心（如 Asterinas），以及華為的鴻溝操作系統——鴻鴻正採用形式化驗證版本，且正採用形式化驗證技術。或許很多讀者會質疑：「既然是華為的系統，肯定有後門吧？」但這種觀點恰恰忽略了核心邏輯：無論產品由誰開發，只要具備開放性且任何人都能對其進行驗證，開發者身份就不應成為顧慮。此案例充分說明，開放性與可驗證性能夠有效對抗全球技術分裂趨勢。

· 安全的開源硬體：若無法確保硬體真正運行指定軟體，且不會在後台擅自洩露數據，那麼再安全的軟體也形同虛設。在這一領域，我專注於兩個短期目標：

a. 個人安全電子設備：區塊鏈領域將其稱為“硬體錢包”，開源愛好者則稱之為“安全手機”——但只要理解了對“安全性”與“通用性”的雙重需求，就會發現這兩類設備的核心功能最終會趨於統一。

b. 公共場所實體基礎設施：包括智慧鎖、前文提及的生物監測設備，以及各類物聯網技術。要讓大眾信任這類設施，開源與可驗證性是不可或缺的前提。

· 用於建立開源硬體的安全開源工具鏈：如今，硬體設計依賴大量閉源元件。這不僅大幅推高硬體研發成本、增加開發權限門檻，也讓硬體驗證難以落地——若產生晶片設計的工具為閉源，開發者根本無法確定驗證標準。即使像掃描鏈這樣已有的技術，也常因關鍵配套工具閉源而無法實際應用。不過，這種現狀並非無法改變。

· 硬體驗證技術（如 IRIS 技術、X 光掃描）：我們需要透過掃描晶片，確認其邏輯與設計完全一致，且不存在可被惡意篡改、擷取資料的額外元件。驗證可透過兩種方式實現：

a. 破壞性驗證：稽核人員以一般終端使用者身分隨機購買含晶片的產品，拆解晶片後驗證其邏輯是否與設計相符。

b. 非破壞性驗證：借助 IRIS 或 X 射線掃描技術，理論上可對每一顆晶片進行檢測。

要實現「安全共識」，理想狀態是讓廣大群體都能掌握硬體驗證技術。目前，X 光設備尚未普及，可透過兩方面改善：一方面優化驗證設備（及晶片的可驗證性設計），降低使用門檻；另一方面，以更簡易的驗證方式補充「全量驗證」－例如在智慧型手機上就能完成的 ID 標籤驗證、基於實體不可複製功能產生金鑰的簽章驗證。這類方式可有效驗證「設備是否來自已知廠商批次，且該批次已通過第三方隨機抽樣詳細驗證」等關鍵資訊。

· 開源、低成本的本地環境與生物監測設備：社區與個人應能自主監測環境與自身健康狀況，識別生物風險。這類設備形態多樣，包括 OpenWater 等個人醫療設備、空氣品質感測器、Varro 等通用空氣傳播疾病感測器，以及更大規模的環境監測設備。

技術全端的每一層，都需要開放性與可驗證性。

從願景到落地：路徑與挑戰

與傳統科技發展願景相比，「全端開源可驗證」的願景有一個關鍵不同──它更注重地方主權的保障、個人權利的賦能與自由的實現。在安全建構邏輯上，它不再追求「徹底清除全球所有威脅」，而是轉向「提昇技術堆疊各層級系統的穩健性」；在「開放性」的定義上，它不止於「由中央規劃的 API開放存取」，而是延伸到「技術全棧的每一層都能被改進、優化與二次開發」；在「驗證」的屬性上，它不再是專有審計機構的專屬權力（這些機構甚至可能與技術廠商、政府存在利益勾結），而是成為公眾的基本權利，甚至是受社會鼓勵的實踐活動——任何人都能參與，而非接受被動」，而非接受被動」。

這種願景更能適應 21 世紀全球格局碎片化的現實，但落地的時間窗口十分緊迫。目前，集中式安全方案正以驚人的速度推進，其核心邏輯是「增加集中化資料收集節點、預設後門，同時將驗證簡化為單一標準—『是否來自可信任開發者或製造商』」。事實上，數十年來，用集中式方案取代「真正開放存取」的嘗試從未停止：從早期 Facebook 推出的「網路計畫」（internet.org），到如今更複雜的科技壟斷模式，每一次嘗試都比前一次更具迷惑性。因此，我們面臨雙重任務：一方面要加速開源可驗證技術的研發與落地，與集中式方案形成競爭；另一方面要向公眾與機構清晰傳遞理念－「更安全、更公平的技術方案並非空想，而是切實可行」。

若能實現這個願景，我們將迎來一個可被稱為「復古未來主義」的世界：一方面，我們能享受前沿技術的紅利——透過更強大的工具改善健康、用更高效穩健的方式組織社會、抵禦新舊威脅（如流行病、無人機攻擊）；另一方面，我們能重拾 1900年代技術生態的核心特質－基礎設施不再是「普通人無法觸碰的黑箱」，而是可被拆解、驗證、改造以適配自身需求的工具；任何人都能突破「消費者」或「應用開發者」的身份局限，在技術全能的任意一層參與創新（無論是優化晶片設計，或是作業系統安全邏輯）；更重要的是指在技術全能的任意一層參與創新（無論是優化晶片設計，或是

實現「全端開源可驗證」並非無成本－軟硬體的效能最佳化往往以「降低可理解性、增加系統脆弱性」為代價，而開源模式也與多數傳統商業獲利邏輯衝突。儘管這些問題的影響被過度誇大，但公眾與市場對「開源可驗證」的認知轉變需要時間，無法一蹴可幾。因此，我們需要明確一個務實的短期目標：優先為「高安全需求、非效能關鍵型應用」建構全端開源可驗證技術體系，涵蓋消費級與機構級場景、遠端與本地場景，以及軟硬體與生物監測領域。

這個選擇的合理性在於：多數對「安全性」有極高要求的場景（如健康資料儲存、選舉投票系統、金融金鑰管理），對「效能」的需求其實並不嚴苛；即便部分場景需要一定效能，也可透過「高效能不可信組件 +低效能可信任元件」的組合策略實現平衡－例如，用高性能晶片處理普通數據，用經過開源驗證的安全晶片處理敏感訊息，最終在保障安全的同時滿足效率需求。

我們不必追求「為所有領域實現極致的安全與開放」－這既不現實，也無必要。但我們必須確保：在那些直接關係個人權利、社會公平與公共安全的核心領域（如醫療健康、民主參與、金融安全），「開源可驗證」成為技術標配，讓每個人都能享受安全、可信賴的數位服務。

特別感謝 Ahmed Ghappour、bunnie、Daniel Genkin、Graham Liu、Michael Gao、mlsudo、Tim Ansell、Quintus Kilbourn、Tina Zhen、Balvi 志工以及 GrapheneOS 開發人員提供的回饋和參與的討論。

原文連結