著者： IC3

編集：Jia Huan、ChainCatcher

主な結論

AIと暗号通貨の有意義な統合はまだ非常に初期段階にあり、この分野を巡る過剰な期待が実際の進歩を覆い隠してしまっている。

暗号技術とAIの融合分野では、AIは既に既存のトランザクション、イベント、プロトコルの主要な特性を分析・検出することで、不正または脆弱なスマートコントラクトを特定できる。これらの技術は多くの場合、シンプルな機械学習手法を採用しており、十分なデータが存在する管理された環境で最も効果を発揮する。

AIと暗号技術の分野では、暗号ツールがAIプロセスの保護と管理のための新たな道筋を提供します。ゼロ知識証明やトラステッドコンピューティングといったツールは、AIの結果が改ざんされるリスクを軽減するために活用できます。しかしながら、分散型ガバナンスや分散型インフラ管理といった概念は、主流のAIコミュニティではまだ本格的に導入されていません。

業界はまだ2つのことを証明する必要がある。

まず、分散型AIは、集中型ソリューションとのより厳密かつ直接的なコスト比較を必要としています。現在、業界では主に「大規模モデルは分散環境で学習できる」ことを証明している段階ですが、特定のシナリオにおける集中型プラットフォームとのコスト競争力に関する定量的な証拠はまだ不足しています。

第二に、暗号通貨決済は、中央集権型ソリューションと比較して、エージェント決済シナリオにおける真の有効性を実証する必要がある。暗号通貨は決済分野で大きな進歩を遂げていないが、エージェント決済は手数料が低く、「口座は特定の人物に帰属しなければならない」という従来の金融モデルを必要としないため、大きな可能性を秘めている。業界は、実現可能性の段階にとどまるのではなく、定量的な証拠を用いてこの機会を捉えるべきである。

さらに、未解決の研究課題が2つ存在する。

まず、AIのセキュリティにはシステムレベルの防御が必要です。AIコミュニティは通常、モデルレベルでセキュリティ問題を解決し、入出力のセマンティクスに関するガードレールを設計します。しかし、エージェントがより自律的になり、基盤となるインフラストラクチャに直接アクセスできるようになると、このアプローチではもはや十分ではなくなります。暗号技術の検証可能な実行と認証プロセスは、モデルレベルでは提供できないシステムレベルの保護を補うことができます。

第二に、暗号技術とAIの組み合わせは、止められない自律型エージェントや制御不能なスマートコントラクトなど、新たな脅威主体や攻撃ベクトルを生み出すことになるでしょう。これについては後述します。

統一されたフレームワーク：AIと暗号技術は互いに「ミドルウェア」として機能する。

自動化された意思決定プロセスは、人間の意図、入力、プログラム、出力という4つの段階に分解できますが、この連鎖の各段階は必ずしも信頼できるとは限りません。AIと暗号技術は、それぞれこの枠組みの中で特定のセグメントを管理します。

AIは、曖昧な人間の意図を機械が実行可能なプログラムに変換する「翻訳ミドルウェア」であり、例えば「駐車標識を認識したい」という意図を訓練済みのモデルに変換することで、ブロックチェーンの利用障壁を低くする。

暗号技術は、信頼できるコンピューティングを用いて、特定の計算が合意どおりに実行され、結果が改ざんされていないことを保証する「信頼構築ミドルウェア」です（完全性）。また、分散化によってシステムが常に利用可能であり、検閲に強いことを保証します（可用性）。さらに、一部の方式では、入力と出力が漏洩しないことも保証できます（機密性）。

信頼できるコンピューティングを実現するには、3つの技術的な方法がある。

まず、Trusted Execution Environment (TEE) は、専用ハードウェアを使用して分離とリモート検証を提供します（ハードウェアはチップの真正性を検証可能な形で証明し、改ざんされていないことを確認します）。NVIDIA の機密コンピューティングを活用することで、8B パラメータモデルの推論におけるオーバーヘッドは 7% 未満となり、70B モデルではほぼロスレスとなります。ただし、ハードウェアベンダーを信頼する必要があり、物理的な攻撃に対する保護が不十分であるというトレードオフがあります。

第二に、ゼロ知識証明（ZK）は暗号学的問題のみに依存し、最もクリーンなセキュリティ上の仮定に基づいているが、非常にコストがかかる。約1800万個のパラメータを持つ小規模モデルの証明を生成するには約1分かかるが、これは最先端の大規模モデルの場合よりも数桁遅い。

第三に、マルチパーティ計算（MPC）は、複数の当事者が元のデータを渡すことなく共同で計算することを可能にするが、処理速度は遅い。最先端のMPC Transformer推論フレームワークでは、LLaMA-7Bのトークンを1つ生成するのに約5分かかる。

オラクルは、オフチェーンデータをブロックチェーンに確実に送信する役割を担います。プライバシーオラクル（Town CrierやDECOなど）は、プライバシーを損なうことなくデータの性質を証明することをさらにサポートします。例えば、他の情報を公開することなく「誰かの信用スコアが700より高い」ことを証明できます。

業界では一般的にこの技術をzkTLSと呼んでいるが、TEEベースのソリューションはゼロ知識証明を一切使用していないため、これは誤称である。

Crypto x AI：AIでブロックチェーンを強化する

暗号通貨向けAIの研究は、おおまかに3つの世代に分けられる。

第一世代：分析と検出

10年以上にわたり、機械学習はオンチェーンの状態を分析するために使用されてきました。例えば、コンセンサスプロトコルの脆弱性（マイナーが採掘したブロックを隠し、より多くの利益を得るために適切なタイミングで公開する利己的なマイニングなど）の発見、P2Pネットワークに対するエクリプス攻撃（多数の悪意のあるノードでノードを取り囲み、正当なネットワークとの接続を遮断する）の検出、コイン価格の予測、不正取引やマネーロンダリングの特定などです。

この種の分析の限界は、多くの場合、公開されている情報が入手できるシナリオに依存しており、シミュレーションデータに限定され、実際の攻撃サンプルが不足している点にある。

今日の最先端の契約脆弱性検出手法では、AIがコードから直接結論を推測するのではなく、まず疑わしい箇所を特定し、次に静的解析とシンボリック実行（実際にコードを実行せずにコード構造を分析して脆弱性を見つける手法）を用いてそれらを検証します。

大規模なモデルを監査役として単純に運用すると、錯覚によって誤検出が多数発生する可能性があります。GPT-4とClaudeは、攻撃を受けた52件のDeFiコントラクトのうち、脆弱性の種類を正しく特定できたのはわずか40%でした。

第二世代：アルゴリズム設計

過去6年間、強化学習は分散型アルゴリズムの設計に活用され、P2Pネットワークのトポロジー、コンセンサスプロトコルのパラメータと役割選択、シャーディング、DeFiマーケットメイキングと貸付レート、MEV入札戦略など、多岐にわたる分野を網羅している。

これらの手法のほとんどは、明確なモデリングが可能な環境では効果的ですが、そのほとんどは研究段階にとどまっており、実際のネットワークで大規模に展開されたり、攻撃に対するテストが行​​われたりしたことはありません。

第三世代：現実世界との交流

AIを活用したオラクルの助けを借りて、スマートコントラクトは3つの強化された機能を獲得します。それは、知覚（非構造化データと自然言語の理解）、実行（オフチェーンのAIモデルとツールの呼び出し）、意思決定（目標関数に従ってエージェントとして動作すること）です。

実世界でのテストにおいて、AIをオラクルとして活用した場合の性能は一貫していません。Chainlink Labsの実験によると、GPT-4oは1660件の予測市場の質問に対して89.3%の総合精度を達成し、UMAのTruth Botは75%を達成しましたが、UMAの楽観的オラクル（回答が最初から正しいと仮定し、異議申し立て期間を設定し、誰も異議を申し立てなければ有効になる）では、人間のオラクルが98.2%の精度を達成しました。

精度は質問の種類に大きく左右される。スポーツの結果など、公式データソースを用いた個別の質問では99.7%に達することもあるが、時間順序が関係する質問や、ビデオの文字起こしとカウントを必要とする質問では、エラー率が大幅に上昇する。

これに対処する方法は3つあります。1つ目は、耐障害性を持たせて設計し、価値の低いシナリオでのみ使用する方法。2つ目は、48時間の紛争解決期間を設定するなど、人間の仲裁を導入する方法ですが、これは意思決定プロセスを遅らせることになります。3つ目は、モデルが不確実な場合に回答を放棄し、その時点でのみ人間の介入を導入する方法です。

この報告書は、AIモデルを用いた集団取引のために資金をプールする「投資DAO」をCoinAlgと呼び、代表的なプロジェクトとしてElizaOSとAI XBTを挙げている。これらのプロジェクトの時価総額はそれぞれ27億ドルと47億ドルに達した。これらの製品は、「CoinAlgの行き詰まり」とも呼べる、避けられない設計上のジレンマに直面している。

取引戦略が透明であれば、模倣されたり、サンドイッチ攻撃（被害者の取引の前後に注文を出してスリッページから利益を得る攻撃）によって悪用される可能性があります。一方、戦略が秘密にされている場合、戦略を知っている内部関係者が情報ギャップを利用して事前に利益を得ることができ、これはインサイダー取引に相当します。どちらの場合も、一般投資家は損害を被ります。

この問題を軽減するための最初のアプローチの一つは、戦略をTEEでラップし、取引をランダム化することで、インサイダーが予測することをより困難にすることです。

新たなリスク：AIを利用した悪意のあるスマートコントラクト

スマートコントラクトは対人関係における信頼を代替するために用いられるため、最も信頼できる人間関係を持たない犯罪者もそこから利益を得る可能性がある。

一つの仕組みは、犯罪に対する報奨金として機能する契約を利用するものです。犯罪者は事前に「秘密のマーク」に対して暗号化された約束をし、そのマークは後に公開されます。その後、AIモデルが報奨金とニュース報道を照合して犯罪の完了を確認し、自動的に報奨金を支払います。この場合、AIはこれまで自動化が困難だった「裁定」の役割を担い、標的型嫌がらせ、組織情報の窃盗、内部告発者の暴露といったシナリオで活用できます。

考えられる対策としては、オンチェーン分析と追跡、事件に関与したファンドのブラックリスト登録、AIモデルを導入するオラクルに対し、高リスクのリクエストに対するサービス提供を拒否するよう義務付けることなどが挙げられる。

AIと暗号通貨：暗号通貨でAIを強化する

暗号資産がAIに貢献できる可能性は、大きく2つのカテゴリーに分けられます。1つ目は、AIライフサイクルの各段階を分散化すること、2つ目は、これらの段階のセキュリティを保護することです。

分散型インフラストラクチャ（DePIN）

分散型物理インフラネットワークでは、ノードがトークンによるインセンティブを通じてコン​​ピューティング能力などのリソースを提供できます。Theta、Akashなどは、AWSと比較して50%から85%のコスト削減を実現できると主張していますが、主なボトルネックは、パブリックインターネットを介したノード間の通信によって生じるスループットとレイテンシです。

適応性はタスクの種類によって異なります。トレーニングはレイテンシの影響を受けません（オフラインで行われます）が、地域間の同期通信がボトルネックとなります。現在、分散ハードウェア上で数十億のパラメータを持つモデルのトレーニングに成功しています（Bittensorでは7億と700万、Prime Intellectでは100億パラメータのIntellect-1、そして最大規模はPsycheネットワーク上でトレーニング中の400億パラメータのモデルです）。

推論はレイテンシの影響を受けやすいものの、トレーニングよりもスループット要件が低く、逆伝播（トレーニング中に誤差を層ごとに逆伝播させてパラメータを更新する中核的なステップであり、トレーニング時のみ必要）も不要です。レイテンシに影響されない推論（会議議事録、文書レビューなど）は、DePINに特に適しています。

重要な問題点は、これらのプロジェクトのほとんどがエンドツーエンドの総コストを報告していないことです。彼らはGPUあたりの時間単価を宣伝していますが、機械学習タスクのコストを実際に決定する要因は、トレーニング効率（単位コストあたりの反復回数）と推論効率（単位コストあたりのトークン数）です。

分散型データおよびモデルマーケットプレイス

AIデータには、通常の商品とは異なるいくつかの特徴があります。デジタル商品であるため、作成には初期費用がかかりますが、コピーはほぼ無料です。また、ほとんどの場合、非競合性があり（単一のデータセットを複数の当事者が損失なく同時に使用できます）、品質を事前に判断することが困難です。つまり、「レモン市場」問題（買い手が品質を事前に判断できないため、高品質の製品が低品質の製品に押し出されてしまう）があり、売り手はサンプルを提供する必要がありますが、サンプル自体にも価値があります。さらに、転売が可能であり、2つのデータセットが実質的に同じかどうかを判断することは困難です。

中央集権型市場をめぐる論争は、価格の透明性の欠如とユーザーの選択肢の制限にあるが、中央集権型価格設定は、より多くの情報にアクセスできるという点で、場合によってはより効率的である。

データ市場にはまだ独占的な巨大企業が存在せず、分散型への変革の好機が到来している。利用可能な暗号通貨ツールには、マイクロペイメント、TEE（特定のタスクにのみデータを使用するように制限する）、ゼロ知識証明（データ自体を公開することなく、データの性質を買い手に開示する）などがある。

現在、ほとんどのプラットフォームは決済手段としてのみ暗号通貨を使用しており、価格設定メカニズムはプロトコルプロバイダーによって決定されるか、あるいは完全に販売者に委ねられている。これらはいずれも中央集権型市場に既に存在する仕組みである。分散化によって具体的に何が改善されるのかは、まだ十分に解明されていない。

x402 を使用したエージェント支払い追跡

エージェントエコシステム自体は既に分散化されており、異なる参加者が異なるモデルを用いて異なる目標に向けて開発・最適化を行っており、自然な中央制御ポイントは存在しない。暗号技術を用いた経済的な報酬と罰則を重ね合わせることで参加者の行動を抑制する暗号経済学は、エージェントガバナンスにも応用できる。

マイクロペイメントはエージェント経済の鍵となる要素です。インターネットの歴史を通じてマイクロペイメントが繰り返し失敗してきたのは、決済インフラそのものの問題ではなく、少額決済ごとに人間が介入する意思決定コストが原因でした。エージェントは人間よりもはるかに速くマイクロペイメントを評価でき、ユーザーは戦略を立てるだけで済むため、マイクロペイメントが初めて成功する可能性を秘めています。

Cloudflareは「クローラーごとの課金」サービスを開始しており、x402（アプリケーションがHTTP経由で直接少額のオンチェーン決済を行えるオープンプロトコル）などのプロトコルも開発中である。

このシステムの基盤となる資産は主にステーブルコイン（USDC、USDT、DAI）です。これは、ステーブルコインがエージェントに安定した会計単位（すべての商品の価格設定の基準）を提供できる一方、ETHやSOLなどのネイティブトークンは変動が激しすぎるためです。

エージェント間の信頼は、オンチェーンレジストリエントリ（エージェントのオンチェーンIDと評判を確立するためのイーサリアムの提案標準であるERC-8004など）に基づいてIDと評判を記録することによって成り立っています。しかし、これらは基本的に自己申告であり、評判の確立には時間がかかるため、既存のプレイヤーに有利に働きます。

もう一つのアプローチは、検証可能なエージェント監査です。TEE内で実行されるLLMが独自のエージェントコードをレビューし、評判スコアを生成します。監査結果はコードハッシュに紐付けられるため、コードのプライバシーが保護されると同時に、検証者に対して信頼性の保証が提供されます。

シャットダウン不可能な自律エージェント（UAA）は、別のリスクをもたらします。最先端のエージェントが自律的にタスクを完了するのにかかる時間は、2019年以降、約7か月ごとに倍増しています。既存の研究によると、モデルは自己複製の閾値を突破してローカルで独立したコピーを作成できますが、外部インフラストラクチャへの複製は依然として認証の問題で停止しています。

Anthropic社のMythosモデルは、ゼロデイ脆弱性（ベンダーが認識しておらず、まだパッチが適用されていない脆弱性）を自律的に発見し、悪用する能力を実証しています。ウォレットを保持し、シャットダウンできないエージェントは、「オペレーター」を中心とした既存の規制枠組みの盲点に陥ることになります。

分散型ガバナンス

ブロックチェーンコミュニティは、システムの制御権を割り当てるという点で、より長い歴史を持つ実践例がある。このアプローチは本質的に分散型であり、幅広い利害関係者の参加を目指しているが、セキュリティ上の脆弱性、投票への無関心、贈収賄といった既知の欠点も抱えている。

AIのコミュニティガバナンスのさまざまな段階への適応性は異なります。事前学習データの量が多すぎるため、効果的な意見を収集することが難しく、その価値は微調整段階でより顕著に現れます。基盤となるアーキテクチャの選択は技術的な決定であり、コミュニティガバナンスには適していません。評価と調整の段階では、技術的な判断と規範的な判断が組み合わされ、コミュニティからの意見が重要になります。

憲法型AIは、人間が作成した「憲法」を用いて、モデルが従うべき原則を確立する。Anthropic社のCollective Constitutional AIは、一般投票によって生成された原則を取り入れており、オープンソースの原則を用いて訓練されたモデルは、社会的バイアスが低いことが示されている。しかし、AI企業には自社モデルの制御権を手放すインセンティブがないため、こうした民主的なガバナンスの試みはほとんど採用されていない。

DAOのトークン加重投票は「金権政治」として広く認識されており、その結果、二次投票（投票を追加するコストが増加して大口投資家を抑制する）、信念投票（投票が行われている期間に基づいて加重する）、委任投票などのメカニズムが開発されてきたが、それらの有効性は依然として不明である。

AIシステムの実行整合性を保護する

スマートコントラクトが自身の能力を超える機械学習計算を利用する必要がある場合、スマートコントラクトは「仲裁者」として機能します。まず、すべての当事者が使用するモデルとデータにコミットし、担保を差し入れます。計算がオフチェーンで完了すると、結果が検証のためにコントラクトに送信され、エラーを起こした当事者にペナルティが課されます。検証方法は4種類あり、それぞれにメリットとデメリットがあります。

まず、TEEは信頼できるハードウェア署名を使用して計算の完全性を証明するため、最も効率的ですが、オペレーターへの信頼が必要です。

第二に、結果を最終的なものではなく、異議申し立ての余地を残した上で、楽観的に実行します。異議申し立てがあった場合は、二分探索（エラー範囲を繰り返し半分に分割し、エラーが発生したステップを迅速に特定する）を使用して、単一のエラー命令を特定し、その命令にペナルティを課します。

課題は、MLにおける浮動小数点演算の非決定性にあり、演算順序の制御または許容誤差セマンティクス（2つの計算結果が完全に一致することを要求せず、誤差範囲内で一貫性があるとみなす）が必要となる。代表的な解決策としては、Verde、TAO、Arbigraph、OPMLなどが挙げられる。

第三に、ゼロ知識証明（AI推論の正しさを証明するためにゼロ知識証明を用いるzkML）は、モデルパラメータや入力・出力を隠蔽しながら推論の正しさを証明できます。CNNやTransformer向けには、既に専用のソリューションや汎用コンパイラ（EZKL、ZKML、DeepProveなど）が存在します。

そのプライバシー保護目標は、入力の隠蔽、重みの隠蔽、モデル構造の隠蔽という3つの層から成り立っています。しかし、プライバシー保護が強化されるほど、回路制約は複雑になり、最適化空間は狭くなるため、プライバシーと効率性の間に根本的な矛盾が生じます。主なコストは非線形層と数値表現に起因しており、そのため、長いコンテキスト、大規模なモデル、高スループットサービスをサポートすることは依然として困難です。

第四に、統計的推論によれば、異なる機能を持つ2つのモデルは、必然的に内部的に計算される特徴量が異なるという原理が証明される。したがって、これらの特徴量をサンプリングによって比較すれば、推論が実際に指定されたモデルによって実行されているかどうかを確率的に判断することが可能となる。

ミリ秒レベルのオーバーヘッドと瞬時の終了を実現するため、高頻度かつ低遅延のシナリオに適しています。サービスプロバイダによるモデルの置き換え（例えば、より安価な蒸留バージョンへの切り替えや、アラインメントされたバージョンの置き換え）といった現実世界の悪意のある行為を防ぐことができますが、計算記録全体を捏造するような悪意のある行為者を完全に阻止することはできません。後者は未解決の問題として残っています。

モデル学習の証明（ゼロ知識証明を用いて学習プロセスの正当性を証明するzkPoT）は、推論の証明よりもはるかに困難です。学習プロセスは長く、中間状態が継続的に蓄積され、ランダム性も強いため、その複雑さは推論の複雑さよりも数桁高くなります。関連研究（Gargら、Kaizen）は進展しており、学習データソースと公平性制約の監査可能な証明（ZkAudit、Confidential-PROFITT）にまで拡張されています。

トレーニングパイプラインを保護する

単一の機関が信頼できるデータを用いてモデルを訓練する場合、通常はプライバシーやデータの完全性に関する差し迫った懸念は生じません。しかし、複数の関係者が共同で訓練を行い、多様なデータソースを用いる場合、複雑なセキュリティ上の課題が生じます。

典型的なシナリオとしては、複数の病院が共同で診断モデルを訓練する場合が挙げられます。すべての関係者の電子カルテ（EHR）を統合することで、より広範な患者層をカバーし、診断精度を向上させることができますが、HIPAAなどの規制により、関係者は生データを互いに、あるいは第三者に直接提供することに消極的で、また不便です。

金融機関が共同で不正防止モデルを訓練することや、企業が共同で侵入検知モデルを訓練することも、同じカテゴリーに分類される。

連合学習は、この目的のために設計されたソリューションです。まず、トレーニング環境がグローバルモデルを初期化し、各参加者に配布します。各参加者は、自身のプライベートデータを使用してローカルでトレーニングを行い、モデルの更新情報のみを送信します。トレーニング環境は、これらの更新情報を集約して新しいグローバルモデルを作成します。このプロセス全体を通して、すべてのデータはローカルに保持されます。

しかし、連合学習には実用的な応用例が限られています（最もよく知られている応用例は、携帯電話の入力方法における予測です）。データと計算の完全性が保証されず、たとえ関係者全員が正直であったとしても、通信オーバーヘッドが大きく、ネットワークや調整の遅延によって全体の速度が低下し、モデルの精度は集中型学習よりも低く、悪意のある者がモデルを汚染したり、バックドアを仕込んだりする可能性があります。

よりシンプルな代替案としては、集中型トレーニングにTEE（トレーニング環境）を使用する方法があります。トレーニング環境は信頼できる機密性の高いコンピューティング環境で実行され、暗号化されたチャネルを介してすべての関係者から生データを受け取り、モデルを集中的にトレーニングし、トレーニング済みのモデルのみを出力します。データは互いに見えないようにし、モデルのトレーサビリティ証明書（誰がデータを提供したか、モデルがどのようにトレーニングされたか）を添付することもできます。

そのトレードオフとして、TEEには固有のサイドチャネルリスクと高いI/Oオーバーヘッドが存在します。実際には、現在ほとんどの組織は、コンプライアンス要件を満たすために、分離、アクセス制御、暗号化、データ使用プロトコルに依存して、データをコンプライアンスに準拠したクラウドに集約していますが、これにはクラウドサービスプロバイダーへの信頼が必要です。

プライベートネットワークデータも別のアプローチです。パブリックネットワークのテキストデータは限界に近づいており（2025年から2030年の間に枯渇すると予測する人もいます）、合成データは「モデル崩壊」のリスクを伴い、既存のドメインを超えてデータ範囲を拡大することはできません。

「プライベートドメインネットワーク」（電子メール、健康情報、財務情報など、ウェブクローラーに公開されていないデータ）は、パブリックネットワークよりも2桁大きいと推定されている。これは、未開拓の貴重な資源であるが、現状では非常に孤立している。

オラクルはこの扉を開く鍵となります。例えば、患者がアップロードした医療記録を用いて医療モデルを訓練する場合、ユーザーはオラクルを利用して、病院ポータルから訓練プロバイダーへ医療記録を転送し、データが確かにポータルから取得されたものであることを証明できます。接続はユーザー側から開始されるため、このプロセス全体を通して病院のインフラストラクチャに変更を加える必要はありません。

プライバシーを同時に保護するためには、暗号化されたチャネルを介してデータを送信するプライバシーオラクルと、トレーニング用信頼機器（TEE）が必要です。TEEは、プライバシー保護機能を備えたトレーニングソフトウェア（「モデルのみを出力する」ソフトウェア）を実行していることをユーザーに証明することもでき、ユーザーはデータ送信前にこれを検証できます。

さらに、差分プライバシー（モデルの出力がトレーニングデータにほとんど依存しない）、使用後のデータ削除、完成したモデルはホワイトリストに登録された病院のみが使用するなど、より詳細な約束事項を追加することも可能です。

安全な推論パイプラインと保護されたパイプライン（Props）

オラクルとトラステッドコンピューティングの同じ組み合わせは、プライベートデータに対する安全な推論を実行するためにも使用できる。

銀行融資の承認を例にとると、モデルは申請者の財務書類を読み込み、承認または却下を出力します。現在のプロセスでは、借り手自身が書類の写真をダウンロードまたはアップロードする必要がありますが、これには2つの問題があります。1つ目は、貸し手が書類の真正性と完全性を検証できないこと、2つ目は、借り手の書類が貸し手のモデルシステムから漏洩する可能性があり、双方にリスクをもたらすことです。

プライバシーオラクルを用いて情報源の信頼性を確保し、機密コンピューティングを用いてプライバシーを保護することで、安全な推論パイプラインを実現できます。貸し手はモデルの結論のみを閲覧でき、入力データが信頼できるものであることを確信できます。

プライベートドメインの情報源は、身元確認および認証情報システムとしても機能する。

借り手は、自身の身元を証明する銀行取引明細書やW-2フォームを転送することができ、これらは強力な身元証明となるため、既存のオンラインサービスを一時的な身元確認システムに変え、なりすましや福祉詐欺に対抗することができる。また、このモデルは、これに基づいて証明書を発行することも可能であり、例えば、中小企業の税務および運営資料を検証した後、「一定の資格を満たしている」という証明書を、論理的根拠の証明とともに発行することができる。

プロセス全体は分散型で完了できる。理論的には、データソースや既存の権威機関を必要とせずに、誰でも信頼できる推論パイプラインを構築できる。

敵対的入力は依然として大きな課題である。攻撃者は、一見普通に見えるが綿密に改ざんされた銀行取引明細書を提出することで、モデルを騙して過大な残高を読み取らせ、誤って融資を承認させることができる。学術界における敵対的サンプルに関する研究は、「クラッキングとパッチ適用」のサイクルを繰り返しており、いまだに普遍的な解決策は見つかっていない。

セキュア推論パイプラインは、認証済みネットワークからのソースに入力を限定するという斬新なアプローチを提供し、攻撃者が敵対的な入力を作成する余地を減らし、モデル層の防御を補完します。

モデル自体のプライバシーも保護する必要があります。攻撃者は、巧妙に作成されたクエリを使用して、モデルデータ（特徴量やモデル全体）を盗み出したり、メンバー推論（誰かのデータがトレーニングセットに含まれているかどうかを判断）を実行したり、元のトレーニングデータを再構築したりすることができます。また、これを利用してシステムの構成や前処理の選択を盗み見ることも可能です。

研究者らは、約8,000ドルあれば、大規模モデルの1層の重みを盗むことができると推定している。オープンシステムで一般的に用いられるレート制限は、匿名のユーザーが多数のユーザーになりすましてシビル攻撃を仕掛けることができるため、脆弱である。

セキュアな推論パイプラインは、この問題を両端から軽減できます。オラクルを使用して入力タイプを制限することで、多様なクエリを多数必要とする抽出攻撃を抑制できます。また、パイプライン内で生成される強力な認証を使用することで、各ユーザーにクエリ制限を課し、ユーザーの身元をプラットフォームに公開することなくクエリを実行することで、シビル攻撃を抑制できます。

エージェントメモリは、新たに浮上してきた攻撃対象領域です。攻撃者は、ツール呼び出しや外部データ（メモリインジェクション）を介してエージェントに渡されるコンテキストを汚染することで、エージェントに異常な動作を誘発させることができます。例えば、大量の暗号資産を管理するElizaOSフレームワークでは、汚染されたコンテキストによってエージェントが不正なトランザクションを開始する可能性があります。

TEEは、エージェントをTEE内で実行させるか、認証されたコンテキストのみを取得することで、この問題を部分的に軽減できます。

しかし、経食道心エコー検査（TEE）を行ったとしても、まだ2つの課題が残っています。

まず、信頼できる情報源であっても、汚染されたコンテンツが含まれている可能性があります。例えば、ソーシャルメディアプラットフォームのコンテンツはユーザー自身によって作成されており、投稿者は簡単に自分の投稿を汚染してしまう可能性があります。

第二に、TEEオペレーターはロールバック攻撃やフォーク攻撃を実行して、TEEの状態を古いチェックポイントに戻し、その後のメモリ更新を消去することができます。

前者は暗号化では解決できないコンテンツ検出の問題であり、後者は合意形成メカニズムを用いることで解決できる。ROTEやNarratorといったシステムは、分散プロトコルやパブリックブロックチェーンを利用して、TEE状態の一貫性と最新性を確保している。

このセクションのアーキテクチャを要約すると、既存のインフラストラクチャを変更することなく、プライベートドメインのデータを安全に使用することを目的とした「保護されたパイプライン」（Props）の一般的なフレームワークです。

これは、オラクルとトラステッドコンピューティングを3つの部分に組み合わせたものです。オラクルは、認証されたプライベートドメインソースからデータを取得し、そのソースを証明します。TEEは、暗号化境界内でトレーニングまたは推論を完了します。TEEは、パイプラインの特性（データソース、ソフトウェア、モデルコードのハッシュなど）を説明する証明とともに、モデルまたは結論を出力します。

Propsは、エンドツーエンドの入力の完全性（出力は信頼できるプライベートソースからの認証済みデータのみに依存する）、デフォルトの機密性（入力と中間状態は保護された境界から外れず、出力のみが公開される）、および開示なしの証明可能性（証明によって、データ提供者と結果の利用者の両方が完全性と機密性が達成されていることを確信できる）という3つの特性を保証します。

また、「透明バージョン」もあり、データや計算結果を秘密にする必要はなく、認証するだけでよく、情報源は公開でも非公開でも構わない。

暗号通貨とAIに関する5つの誤解

Crypto x AIプラットフォームとそのアプリケーションを巡って、業界ではいくつかの誤解や誤った情報が広まっています。以下の5つの記述は完全に誤りというわけではありませんが、どの部分が現状で真実であり、どの部分がさらなる証拠を必要とするのかを明確にすることが重要です。

誤解その1：ブロックチェーンは、AIが生成したコンテンツと人間が生成したコンテンツを区別できる。

コンテンツをブロックチェーンに登録することで、それがAIによるものか人間によるものか後から判別できるようにするという考え方はよく挙げられるアプローチであり、Everlyn AIなどの一部のプロジェクトは既にAI生成コンテンツをブロックチェーン上に記録している。しかし、ブロックチェーンはこれを一般的に実現できるものではなく、「コンテンツの検出」と「コンテンツの追跡可能性」という問題は個別に検討する必要がある。

コンテンツ検出とは、コンテンツが人間によって生成されたものか、AIによって生成されたものかを判断する手法です。現在の主流のアプローチは、イベント発生後の検出であり、事前に埋め込まれたメタデータやシグナルに依存しません。この手法は大きく2つのカテゴリに分けられます。1つは、深層学習を用いて生成モデル固有の統計的特徴を識別するAI分類器、もう1つは、ピクセルレベルのノイズ分布や構造的異常（AIが生成した顔における生理学的矛盾など）を分析する統計的フォレンジックです。

問題は、ブロックチェーン自体がこのオフチェーン情報を認識できないことです。分類結果は外部の分類器によって提供される必要があります。データをブロックチェーンにアップロードすることで、この結果を固定し、提出後に記録が改ざんされないことを保証できるだけで、記録が書き込み時点で真実であったことを保証するものではありません。外部の検出器が誤りを犯した場合、ブロックチェーンはその誤りを永久に保存します。つまり、ブロックチェーンは「主張の完全性」を保証するものであり、「主張が真実であることの検証」を提供するものではありません。

コンテンツプロファイリングは、デジタル資産の作成時からその履歴を記録します。C2PAなどの業界標準により、クリエイターやデバイスは、暗号署名されたメタデータ（コンテンツ認証情報）をメディアに添付し、ソース、作成者、およびその後の編集内容を記録できます。Numbers Protocol、Starling Labなどは、ブロックチェーンを使用して、これらの認証情報の公開された不変のレジストリを作成しています。

ブロックチェーンを基盤とした堅牢なトレーサビリティシステムがあったとしても、コンテンツが元々人間によって生成されたものか、AIによって生成されたものかを保証することは不可能である。

ユーザーは、AIが生成した画像を高解像度スクリーンに表示し、C2PA準拠のカメラで撮影することで、有効な署名と「実写」というラベルが付いた文書を取得できます。同様に、AIが生成したテキストを準拠したエディタに手動で再入力することで、「人間による作成」を示す正当なトレーサビリティ情報を追加できます。

さらに、コンテンツが改変されてオンチェーンの記録と照合できなくなると、トレーサビリティは失われ、すべてのコンテンツを網羅する普遍的なレジストリが近い将来に出現することはほぼ不可能であるため、トレーサビリティシステムには必然的に多くのギャップが生じることになる。

重要なポイント：狭義には、ブロックチェーンはトレーサビリティメタデータの堅牢な完全性保証を提供できますが、AI生成コンテンツの検出という問題に対する完全な解決策には程遠いものです。

真に効果的なソリューションには、あらゆるコンテンツを信頼できるデバイスで取得し、即座にブロックチェーンにアップロードできる普遍的なエコシステムが必要です。しかし実際には、コンテンツの大部分は暗号化によるアンカーリングをサポートしていないツールによって作成・共有されており、ラベル付けされていないコンテンツはグレーゾーンに置かれています。

神話2：ブロックチェーンや分散化によって、AIにおける偏りや公平性の問題を解決できる。

「モデルの推論とトレーニングをブロックチェーン上に配置することで、AIにおける不公平と偏りを解決できる」という主張を評価するには、さまざまな種類の偏りを区別する必要がある。

アルゴリズムバイアスは、AIコミュニティにおける公平性に関する最も一般的な概念です。モデルはデータセット内の不均衡を学習し、増幅することさえあり、その結果、判断モデルは不利な立場にあるグループに対して低いパフォーマンスを示し、生成モデルはトレーニングデータから望ましくない傾向（有害な言葉遣いや根強いステレオタイプなど）を永続させてしまう可能性があります。

学術界は、学習や推論のための技術的な解決策（安全対策）を数多く提案してきたが、これらの保護策は完璧とは程遠い。公平性の問題はまだ解決されておらず、おそらく完全に解決されることはないだろう。そもそも「公平性をどのように定義するか」という問題自体が、多くのトレードオフを伴う。

分散化はアルゴリズムのバイアスを解決することはできません。なぜなら、バイアスはトレーニングプロセス自体に起因するからです。通常、バイアスはトレーニングや推論の手法を改善することで軽減されますが、分散化は根本原因に対処するものではありません。

しかし、バイアスにはもう一つ別の要因があります。それは、モデルのパフォーマンスに影響を与える高レベルの意思決定、つまり、どのデータを使用するか、どのアーキテクチャを使用するか、そして貢献者にどのように報酬を支払うかといったことです。この層は、AIコミュニティで一般的に理解されている公平性とは直交するものですが、アルゴリズムのバイアスに影響を与える可能性があり、分散化の2つの特性を活用することで部分的に軽減できます。

最初の特長は透明性です。開発者はブロックチェーンを利用して、トレーニングデータ、トレーニングアルゴリズム、モデルのチェックポイント、推論のガードレールなどを公開的にコミットすることができ、運用者は特定のトレーニングセッションや推論セッションの出力を証明可能な形で追跡できます。

しかし、これを大規模なモデルやチェックポイント（トレーニング成果物）に拡張するのは困難です（ストレージと計算コストが高すぎるため）。既存のシステムでは、これらのデータのほとんどは既にオフチェーンに存在しており、ユーザーが直接アクセスすることはできません。短期的には、透明性によるメリットは推論プロセスに限定される可能性があります。

さらに重要なのは、業界がこの透明性がどのようなユースケースに役立つべきか、またどのようなインターフェースを備えるべきか（例えば、ユーザーがデータの不正使用を報告できるようにするなど、真のデータ所有権を確立し、機械忘却などの技術をサポートする必要がある）を明確にしない限り、透明性自体が必ずしも人々がAIを開発・使用する方法を変えるとは限らないということだ。

2つ目の特徴は分散型ガバナンスであり、これは2つのカテゴリーに分けられます。1つ目は、ブロックチェーンで検討され採用されてきたコミュニティガバナンスの仕組み（トークン加重投票、リキッドデモクラシー。後者は信頼できる個人に投票権を委任できる機能を指します）です。2つ目は、DAOに代表される分散型自律ガバナンスであり、ガバナンスの決定はスマートコントラクトによって実行されます。

両カテゴリーに共通する核心は、コミュニティガバナンスのようなメカニズムは、機能するために必ずしもブロックチェーンを必要とするわけではないため、「ブロックチェーンによって解決されるAI問題」と呼ぶのは不正確であるという点です。技術的およびパフォーマンスに敏感なAIの意思決定は、広範な投票には適していませんが、価値に基づく意思決定（モデルの整合性など）はより適切です。主流のAI開発者はこれらのアプローチを検討してきましたが、まだ本格的に実装されていません。

スマートコントラクト（直接実行またはステーキングペナルティ）によって強制されるオンチェーンガバナンスは堅牢性を高めることができるが、オンチェーン透明性と同様の技術的障壁に直面する。現在のインフラはAIのストレージと計算能力の要件を満たすことができず、その実装には検証可能なトレーニングにおける大幅な進歩が必要となる。これは自己整合的ではあるものの、時期尚早な長期ビジョンである。

重要なポイント：ブロックチェーン自体はアルゴリズムの偏りを減らすことはできないが、AIライフサイクルのあらゆる段階で透明性を促進し、AIガバナンスへの参加を拡大することができる。

神話3：AIエージェントにウォレットを与えると「自律的」になる。

「エージェントウォレット」や決済プロトコルを開発するプロジェクトでは、AIエージェントにウォレットを与え、自力で稼ぎ、使い、「生き残る」ことを可能にすることで、AIエージェントが自律的になると主張することが多い。しかし、この主張は複数の異なる概念を混同している。

この曖昧さは、まず両分野における「自律性」の意味の違いに起因する。AIの文脈では、自律エージェントとは、あらかじめ設定された規則に厳密に従うのではなく、自身の知覚、学習、経験に基づいて行動できるエージェントを指す。スマートコントラクトも自律的であるとよく言われるが、その場合は改ざん、検閲、停止に対する耐性が重視される。

前者は「知的自律性」、後者は「実行自律性」と呼ばれます。現代のAIエージェントはかなりの知的自律性を備えていますが、実行自律性は備えていない場合があります。管理者は、それらを実行しているサーバーをシャットダウンすることができます。

エージェントウォレットが提供する自律性は、上記2つのタイプのどちらにも該当しません。ウォレットを所有したからといって、AIがより賢くなるわけでも、人間の操作や停止に対する耐性が高まるわけでもありません。ウォレットがもたらすのは自動化です。エージェントは、手動による承認プロセスを経ることなく、プログラムによって取引、資金の送金、オンチェーン機能へのアクセスを行うことができます。

この自動化はブロックチェーン特有のものではなく、中央集権型の金融インフラもエージェントによってプログラム的に呼び出すことができる。より妥当な解釈としては、ブロックチェーン決済システム自体が、中央集権型のソリューションよりも高い自律性を提供している（ただし、エージェント向けに特別に設計されているわけではない）ということが挙げられる。例えば、エージェントの取引が差別されないこと、つまり中立性と検閲耐性が保証されるといった点である。

重要なポイント：エージェントウォレットは、AIエージェントが金融インターフェースに容易にアクセスし、経済的なやり取りを自動化し、手動による承認の必要性を排除することを可能にするが、自動化は自律性とは同義ではない。ウォレットだけではエージェントを人間の制御から解放することはできない（オペレーターはエージェントが依存するモデルや施設を停止できる）。また、自動決済にはブロックチェーンは必要なく、中央集権型システムでも同じ結果が得られる。

ブロックチェーン決済の真の強みは、その中立性と検閲への耐性にあり、決済の抑制や妨害が懸念されるような状況に適している。

神話4：透明なAIは信頼できるAIである

モデルのデータソースと推論記録をブロックチェーン上に記録することは、AIの信頼性を確保するための理想的な手段のように思える。この議論は、広く引用されているIBMのブログ記事に端を発し、AIエージェントにも拡張されている。しかし、これを2つの層に分けて検討する必要がある。

モデル層の透明性に関して言えば、トレーニングデータのソースを記録することでモデル作成の透明性が確保されるように思えるが、「データソースの記録」と「モデルの動作保証」の間には大きな隔たりがある。

まず、オンチェーンの記録は単なる記録であり、出所の証明にはなりません（トレーニングセットの構成を証明するには、特殊な技術が必要です）。

第二に、トレーニングデータに完全にアクセスできたとしても、モデルのパフォーマンスを判断するには十分ではありません。なぜなら、トレーニングプロセスやコンピューティング環境もモデルの動作を決定するからです。

第三に、データからモデルに至るまでの全プロセスを習得し、モデルを再現できたとしても、ランダムなトレーニングに内在する非決定性により、「トレーニングプロセスを使用してモデルの重みを検証する」ことは理論的に不可能である。

さらに、重みが得られたとしても、トレーニング中に仕込まれたバックドアや敵対的操作を検出する普遍的に有効な手段は存在しない。モデルデータとトレーニング情報をブロックチェーンに保存しても、その動作特性や敵対的操作の不在が直接的に保証されるわけではない。

推論層における透明性に関して言えば、モデルの入力とそれに対応する推論をブロックチェーンに記録することで、モデルの使用状況に関する透明性が確保されるように思われる。しかし、ブロックチェーンはトランザクションを透明化するものであり、推論を透明化するものではない。「モデルXは入力Yから推論Zを得た」というオンチェーン記録があっても、Zの信頼性を証明することはほぼ不可能である。

なぜなら、「正しい実行」を証明することができない（仕様に従ってモデルXからトリプレットが実際に計算されたことを証明するには、TEEまたは高価な暗号化手法が必要となる）ため、「モデルが信頼できる」ことを証明することもできないからである。

実行が正しいと証明されたとしても、より根本的な問題は、モデルXの完全なソースレコードが、意味レベルでユーザーの期待や業界標準に準拠していることを証明できないことです。重み付きハッシュを使用してモデルを指定すると、モデルの同一性がモデルの信頼性と等しくないため、保証はさらに弱くなります。

ブロックチェーンは、特定の信頼できる目的において確かに有用です。例えば、組織はオープンソースの加重モデルのハッシュをブロックチェーン上に不変の参照として公開し、ユーザーが改変されていない実際のモデルを使用していることを確認できるようにします。同様の改ざん防止ログの考え方は、ファームウェアの更新記録や証明書の透明性（ブロックチェーンのような追記専用ログを使用して、公開監査可能な証明書発行記録を保持する）にも利用されています。

重要なポイント：モデルデータソースと推論記録をブロックチェーン上に記録することと、「モデルと推論の信頼性を意味のある形で保証すること」の間には、依然として大きな隔たりがある。

神話5：分散化によってAIタスクのコストは自然と安くなる。

ある種のプロジェクトでは、分散型ネットワークをより効率的かつ費用対効果の高いAIソリューションと捉えています。その典型的な例が、ユーザーがGPUなどのハードウェアをレンタルする分散型物理インフラネットワーク（DePIN）です。最大のセールスポイントは低コストであり、DePINのGPUをレンタルする費用は、同等のクラウドサービスプロバイダーからレンタルする費用よりもはるかに安価になる可能性があります。

しかし、マシンが安価だからといって、必ずしもタスクの総コストが低くなるわけではありません。分散型ノードは公共ネットワークを介して通信し、AIタスクのスループットとレイテンシの要件は総コストに大きく影響します。また、超大規模タスク（最先端モデルのトレーニングなど）は、スループットのボトルネックによって制約を受けることがよくあります。

現状では、業界に体系的なベンチマークテストが不足しているため、直接的なコスト比較を行うことは困難であり、DePINにおけるAIタスクのパフォーマンスとコストを、従来のクラウドコンピューティングのそれらと同等の規模で比較することは不可能である。

重要なポイント：分散型ネットワークは、高コストな集中型クラウドに代わる魅力的な選択肢ですが、既存のデータでは、タスクが集中型クラウドよりもDePINや分散型AIプラットフォームの方が安価になるタイミングを予測するには不十分です。

小規模なタスク（推論、小規模なトレーニング）はコスト効率が良い可能性が高い一方、非常に大規模なタスク（ベースモデルのトレーニング）は、ノード間の不安定で低帯域幅の通信によって阻害される可能性がある。これらのトレードオフを明確にするためには、さらなる研究が必要である。

これら5つの誤解に共通するのは、ブロックチェーンが「真正性」や「信頼性」そのものよりも「完全性」や「検証可能性」を提供するという点です。暗号通貨とAIの融合はまだ初期段階にあり、物語よりも証拠が求められています。