コーネル大学などの13のトップ大学による最新の研究：Crypto x AIの融合の現状、課題、誤解

核心的な視点

2026-06-10 14:35:27

コレクション

AIと暗号の結合はまだ初期段階にあり、両者は相補的な「ミドルウェア」として機能しています。AIは人間の意図を実行可能なプログラムに翻訳し、暗号技術は計算プロセスと結果に対して検証可能で改ざん防止の保証を提供します。AIが強化された暗号の分野では、機械学習がスマートコントラクトの監査、詐欺の識別、AIオラクルに利用できるようになっています。一方、暗号が強化されたAIの分野では、検証可能な実行は比較的成熟していますが、分散型コンピューティング、データ市場、ガバナンスの多くはまだ構想段階にとどまっています。

著者：IC3

編纂：佳欢，ChainCatcher

核心結論

AIとcryptoの有意義な結合はまだ非常に初期の段階にあり、この交差領域に関する喧騒は実際の進展を覆い隠しています。

Crypto x AIの方向では、AIは既存の取引、イベント、プロトコルの重要な性質を分析し、検出することができ、詐欺や脆弱性のあるスマートコントラクトを識別します。この種の技術は多くの場合、シンプルな機械学習手法を採用しており、データが豊富な制御環境で最も効果的です。

AI x Cryptoの方向では、cryptoツールがAIプロセスの保護とガバナンスの新しい方法を提供します。ゼロ知識証明や信頼できる計算などのツールは、AIの結果が改ざんされるリスクを低減するために再利用できます。一方で、分散型ガバナンスや分散型インフラ管理などの構想は、主流のAI界ではまだ実現されていません。

業界はまだ二つのことを証明する必要があります。

第一に、分散型AIは中央集権型のソリューションとより厳密で直接的なコスト比較を行う必要があります。現在、業界は「分散環境で大規模モデルを訓練できること」を証明することに主に焦点を当てていますが、具体的なシナリオにおいて中央集権型プラットフォームと競争するためのコストに関する定量的証拠はまだ不足しています。

第二に、crypto決済はエージェント決済シナリオにおける中央集権型ソリューションに対する真の有効性を証明する必要があります。cryptoは決済分野で実質的な進展がなく、エージェント決済は手数料が低く、伝統的金融の「アカウントは必ず特定の人に帰属する」というモデルを適用する必要がないため、潜在能力があります。業界は定量的な証明を用いて機会を捉えるべきであり、実現可能性にとどまるべきではありません。

さらに、解決すべき二つの研究課題があります。

一つは、AIの安全性にはシステムレベルの防御が必要です。AI界では通常、モデルレベルで安全性の問題を解決し、入力出力の意味に基づいてバリアを設計しますが、エージェントの自律性が高まり、基盤インフラに直接触れることができるようになると、この方法では不十分になります。cryptoの検証可能な実行と認証プロセスは、モデルレベルでは実現できないシステムレベルの保障を補完できます。

二つ目は、cryptoとAIの結合が新たな脅威主体や攻撃ベクトルを生み出す可能性があることです。例えば、下記で説明することになる、停止できない自律エージェントや制御不能なスマートコントラクトなどです。

統一フレームワーク：AIとCryptoは互いに「ミドルウェア」

自動化された意思決定プロセスは四つの環に分解できます：人の意図、入力、プログラム、出力。このチェーン上の各環は必ずしも信頼できるわけではありません。このフレームワークの中で、AIとcryptoはそれぞれの役割を担っています。

AIは「翻訳ミドルウェア」であり、人間の曖昧な意図を機械が実行可能なプログラムに翻訳します。例えば、「私は駐車標識を識別したい」といった意図を、訓練されたモデルに変換し、ブロックチェーンの使用のハードルを下げます。

Cryptoは「信頼ミドルウェア」であり、信頼できる計算を通じて、特定の計算が確実に合意通りに実行され、結果が改ざんされていないこと（完全性）を保証します。また、分散型によってシステムが常に利用可能で、検閲に耐えること（可用性）を保証します。一部のソリューションは、入力出力が漏洩しないこと（機密性）も保証できます。

信頼できる計算には三つの技術的アプローチがあります。

第一に、信頼できる実行環境（TEE）であり、専用ハードウェアに依存して隔離とリモート証明を提供します（ハードウェアが検証可能な状態証明を提示し、相手にチップが本物で改ざんされていないことを確認させます）。NVIDIAの機密計算を利用することで、8Bパラメータモデルの推論の追加コストは7%未満であり、70Bモデルはほぼ損失がありません。代償はハードウェアベンダーを信頼する必要があり、物理攻撃には抵抗できません。

第二に、ゼロ知識証明（ZK）であり、暗号学的な問題にのみ依存し、安全性の仮定は最もクリーンですが、コストが非常に高いです。約1800万パラメータの小さなモデルの証明を生成するのに約1分かかり、最先端の大規模モデルとは数桁の差があります。

第三に、多者計算（MPC）であり、複数の当事者が原始データを提供せずに共同計算を行うことができますが、速度は遅くなります。最先端のMPC Transformer推論フレームワークでは、LLaMA-7Bの単一トークンを生成するのに約5分かかります。

オラクルは、オフチェーンデータを信頼できる形でオンチェーンに送信する役割を担います。プライバシーオラクル（Town Crier、DECOなど）は、プライバシーを漏らさずにデータの性質を証明することをさらにサポートします。例えば、「ある人の信用スコアが700を超えている」と証明することができますが、他の情報は漏らしません。

業界はこの技術セットを総称してzkTLSと呼んでいますが、その中でTEEに基づくソリューションはゼロ知識証明を使用しておらず、命名の誤用にあたります。

Crypto x AI：AIでブロックチェーンを強化する

AIがcryptoに使用される研究は、大まかに時間で三世代に分けられます。

第一世代：分析と検出

十年以上前から、機械学習はオンチェーンの状態を分析するために使用されてきました：コンセンサスプロトコルの脆弱性を発見する（例えば、自己中心的なマイニング、つまりマイナーが掘ったブロックを隠し、タイミングを見計らって公開して利益を多く得ること）、P2Pネットワークの日食攻撃を検出する（大量の悪意のあるノードが特定のノードを囲み、誠実なネットワークとの接続を切断する）、コイン価格を予測する、詐欺取引やマネーロンダリングを識別するなどです。

制約としては、この種の分析は多くの場合、全体の公開情報を取得できるシナリオに依存しており、シミュレーションデータに制限され、実際の攻撃サンプルが不足しています。

現在最も先進的な契約の脆弱性検出は、AIがコードから直接結論を推測するのではなく、まずAIが疑わしい点を提起し、その後静的分析やシンボリック実行（実際にコードを実行せずにコード構造を分析して脆弱性を見つける）を用いて検証します。

単純に大規模モデルを監査員として使うと、幻覚によって大量の誤報が発生します。GPT-4とClaudeは、52の攻撃を受けたDeFi契約の中で、わずか40%の正確性で脆弱性の種類を正しく識別しました。

第二世代：アルゴリズム設計

ここ六年、強化学習は分散型アルゴリズムの設計に使用され、P2Pネットワークのトポロジー、コンセンサスプロトコルのパラメータと役割の選択、シャーディング、DeFiのマーケットメイキングと貸出金利、MEV入札戦略などをカバーしています。

これらの方法は大多数が明確にモデル化できる環境で効果的であり、研究段階にとどまっており、実際のネットワークで大規模に展開され、攻撃検証を受けることはまだありません。

第三世代：現実世界との相互作用

AI駆動のオラクルを利用することで、スマートコントラクトは三つの強化された能力を得ます：感知（非構造化データや自然言語を理解する）、実行（オフチェーンのAIモデルやツールを呼び出す）、意思決定（エージェントとして目標関数に基づいて行動する）。

AIがオラクルとしての実測パフォーマンスは均一ではありません。Chainlink Labsの実験によると、GPT-4oは1660の予測市場の問題に対して全体的な正確性が89.3%であり、UMAのTruth Botは全体で75%でした。一方、人工はUMAの楽観的オラクル（最初に答えを真と仮定し、異議申し立て期間を設定し、誰も異議を唱えなければ発効する）での正確性が98.2%でした。

正確性は問題の種類に大きく依存します。公式データソースがあるスポーツの結果などの離散的な問題は99.7%に達することができますが、時間の前後やビデオのカウントが必要な問題では誤り率が著しく上昇します。

対応策は三つあります。一つは、フォールトトレラントに設計し、低価値のシナリオにのみ使用すること；二つ目は、人工仲裁を導入し、48時間の異議申し立てウィンドウを設けることですが、これにより意思決定が遅くなります；三つ目は、モデルが不確実な場合には回答を放棄し、その時にのみ人工を導入することです。

資金プールをAIモデルに集団取引させる「投資DAO」は、CoinAlgと呼ばれ、代表的なプロジェクトにはElizaOSやAI XBTがあり、ピーク時の時価総額はそれぞれ27億ドル、47億ドルに達しました。この種の製品は「CoinAlgの死結」と呼ばれる回避できない設計上のジレンマに直面しています。

取引戦略が透明であれば、コピーされたりサンドイッチ攻撃（被害者の取引の前後にそれぞれ注文を出し、スリッページで利益を得る）によって利益を奪われる可能性があります；秘密にすれば、戦略を把握している内部者が情報の差を利用して事前に利益を得ることができ、これはインサイダー取引と同等です。どちらの道も一般投資家に損害を与えます。

初歩的な緩和策の一つは、TEEで戦略を包み、取引をランダム化処理することで、内部者の予測の難易度を上げることです。

新たなリスク：AI駆動の悪意あるスマートコントラクト

スマートコントラクトは人間の信頼を代替するために使用されますが、これは最も信頼できる関係が欠如している犯罪者が利益を得る可能性があることを意味します。

一つのメカニズムは、契約が特定の犯罪に報酬を提供し、犯罪者が事前に暗号学的に「暗記」を約束し、事後にそれを明らかにし、AIモデルがニュース報道を照合し、犯罪が完了したことを確認した後に自動的に報酬を支払うというものです。AIはここで過去には自動化が難しかった「裁定」の役割を担い、特定の嫌がらせ、組織情報の盗難、告発者の身元を暴露するなどのシナリオに利用される可能性があります。

実行可能な対策には、オンチェーン分析追跡、関与する資金をブラックリストに登録すること、そしてAIモデルをデプロイするオラクルが高リスクのリクエスト時にサービスを拒否することが含まれます。

AI x Crypto：CryptoでAIを強化する

cryptoがAIに対して潜在的に貢献できることは二つのカテゴリに分けられます：一つは分散型AIライフサイクルの各段階、もう一つはこれらの段階の安全を保護することです。

分散型インフラ（DePIN）

分散型物理インフラネットワークは、ノードがトークンのインセンティブを用いて計算能力などのリソースを提供します。ThetaやAkashなどは、AWSよりも50%から85%のコストを節約できると主張していますが、主なボトルネックはノード間のパブリックネットワーク通信によるスループットと遅延です。

適応性はタスクの種類によって異なります。訓練は遅延に敏感ではなく（オフラインで行われる）、地域を超えた同期通信がボトルネックですが、分散型ハードウェア上で数十億パラメータのモデルを訓練する成果がすでにあります（Bittensor上の700Mと7B、Prime Intellectの100億パラメータIntellect-1、最大はPsycheネットワーク上で訓練中の400億パラメータモデル）。

推論は遅延により敏感ですが、スループットの要求は訓練よりも低く、逆伝播を必要としません（訓練時に誤差を層ごとに戻してパラメータを更新する核心的なステップは、訓練時にのみ必要です）。遅延に敏感でない推論（会議の議事録、文書レビュー）は特にDePINに適しています。

重要なギャップは、これらのプロジェクトの大多数がエンドツーエンドの総コストを報告していないことです。彼らが宣伝しているのは、単一のGPUの時間あたりの価格であり、MLタスクのコストを決定するのは訓練効率（単位コストあたりの反復回数）と推論効率（単位コストあたりのトークン数）です。

分散型データとモデル市場

AIデータには、通常の商品とは異なるいくつかの特性があります。それはデジタル商品であり、初回の創造は高価ですが、コピーはほぼ無料です；多くは非競争的であり（一つのデータは複数の当事者によって同時に使用されても消耗しない）；品質は事前に判断するのが難しく、いわゆる「レモン市場」問題（買い手は事前に品質を判断できず、優良品が劣悪品に押し出される）があります。売り手はサンプルを提供する必要がありますが、サンプル自体にも価値があります；また、再販可能であり、二つのデータが実質的に同じかどうかを定義するのが難しいです。

中央集権型市場の論争は、価格設定が不透明であり、ユーザーの選択を制限することですが、中央集権型の価格設定は時にはより多くの情報を持っているため、より効率的です。

データ市場にはまだ独占的な巨頭が現れておらず、分散型の方法で再構築するためのウィンドウ期です。利用可能なcryptoツールには、マイクロペイメント、TEE（データが特定のタスクでのみ使用されることを制限）、ゼロ知識証明（購入者にデータの性質を開示しつつ、データ自体は漏らさない）が含まれます。

現状では、多くのプラットフォームは暗号通貨を用いて支払いの段階を完了させているだけで、価格設定メカニズムはプロトコル側が決定するか、完全に売り手に委ねられています。この二つは中央集権型市場ではすでに存在しています。分散型が実際に何を改善したのかは、まだ研究が不足しています。

エージェント決済トラックとx402

エージェントエコシステム自体はすでに分散型です：異なる当事者が異なるモデルを用いて異なる目標を開発、最適化しており、天然の中央制御点はありません。cryptoの暗号経済学（暗号学的手段を用いて参加者の行動を制約するための経済的報酬と罰を重ねる考え方）は、エージェントガバナンスに移行可能です。

マイクロペイメントはエージェント経済の鍵です。インターネットの歴史において、マイクロペイメントは何度も失敗してきましたが、その障害は小額の支払いごとに判断を下すための意思決定コストにあり、支払いインフラストラクチャではありません。エージェントはマイクロペイメントを人間よりも遥かに迅速に評価でき、ユーザーは戦略を設定するだけで済むため、マイクロペイメントが初めて成功する可能性があります。

Cloudflareは「クローリングに応じた支払い」を導入し、x402（プログラムがHTTPを介して直接オンチェーンの小額支払いを完了するためのオープンプロトコル）などのプロトコルが開発中です。

このシステムの基盤資産は主にステーブルコイン（USDC、USDT、DAI）であり、これらはエージェントに安定した記帳単位を提供します（すべての商品に統一価格を付ける尺度）。ETH、SOLなどのネイティブトークンは変動が大きいため、使用されません。

エージェント間の信頼はオンチェーンのレジストリ（ERC-8004など、Ethereum上でエージェントのオンチェーンアイデンティティと評判を構築するための提案基準）によって記録されますが、これらは本質的に自己申告であり、評判は遅れがちで、既存のプレイヤーに有利です。

さらに進んだ提案は、検証可能なエージェント監査です：TEE内で動作するLLMが専有のエージェントコードを審査し、評判スコアを生成します。監査結果はコードのハッシュにバインドされ、コードをプライベートに保ちながら、検証者に信頼できる保証を提供します。

停止できない自律エージェント（UAA）は別のリスクです。最前線のエージェントが自律的に完了できるタスクの期間は、2019年以降約7ヶ月ごとに倍増しています。研究によれば、モデルはローカルで自己複製の境界を突破し、独立したコピーを生成できることが示されていますが、外部インフラにコピーすることは依然としてアイデンティティ検証に制約されています。

AnthropicのMythosモデルは、ベンダーがまだ知らず、パッチがないゼロデイ脆弱性を自律的に発見し利用する能力を示しました。ウォレットを持ち、停止できないエージェントは、現在の規制フレームワークの盲点に落ちることになります。

分散型ガバナンス

ブロックチェーンコミュニティはシステムの制御権を分配する上で長い実践の歴史を持ち、方法は天然に分散型であり、広範な利害関係者を取り込もうとしていますが、公認の短所もあります：セキュリティの脆弱性、投票の無関心、贈収賄。

コミュニティガバナンスはAI開発の各段階において適合性が異なります：事前訓練データの量があまりにも大きく、有効な意見を収集するのが難しく、価値は微調整段階においてより顕著になります；基盤アーキテクチャの選択は技術的な決定であり、コミュニティガバナンスには適していません；評価と整合の段階は技術的および規範的な判断が混在しており、コミュニティの入力は価値があります。

Constitutional AIは、人間が書いた「憲法」に基づいてモデルが遵守すべき原則を確立します。Anthropicが参加するCollective Constitutional AIは、公共投票を導入して原則を生成し、公開ソース原則で訓練されたモデルは社会的偏見が低くなります。しかし、このような民主化ガバナンスの実験は基本的に実際には採用されておらず、AI企業はモデルの制御権を手放す動機が不足しています。

DAOのトークン加重投票は「金権政治」として広く認識されており、これにより二次投票（追加票数のコストが増加して巨鯨を抑制する）、信念投票（保有票の支持期間に応じて重みを蓄積する）、委任投票などのメカニズムが派生しましたが、その有効性は依然として不明です。

AIシステムの実行完全性を保護する

スマートコントラクトが自身の能力を超えるML計算を借りる必要がある場合、「仲裁者」として機能することができます：各当事者は使用するモデルとデータを約束し、担保を質入れし、オフチェーンで計算を完了した後、結果を契約に検証させ、誤った側は罰金を科せられます。検証には四つのルートがあり、それぞれにトレードオフがあります。

第一に、TEEであり、最も効率的で、信頼できるハードウェアが計算の完全性を証明しますが、運営者を信頼する必要があります。

第二に、楽観的実行であり、結果を非最終的と見なし、異議申し立てウィンドウを残します。異議がある場合は、二分探索（誤りの範囲を繰り返し半分に分割し、誤りのステップを迅速に特定する）を使用して、単一の誤った命令を特定して罰金を科せます。

難点は、MLの浮動小数点演算の非決定性であり、制御された計算順序や許容誤差の意味（計算が完全に一致することを要求せず、誤差範囲内であれば一致と見なす）を使用して処理する必要があります。代表的なソリューションにはVerde、TAO、Arbigraph、OPMLなどがあります。

第三に、ゼロ知識証明（zkML）であり、AI推論プロセスの正確性を証明するためにゼロ知識証明を使用します。モデルパラメータや入力出力を隠したままで推論の正確性を証明することができ、CNNやTransformer向けの専用ソリューションや汎用コンパイラ（EZKL、ZKML、DeepProveなど）がすでに存在します。

そのプライバシーの目標は実際には三層あり、それぞれは入力を隠す、重みを隠す、モデル構造を隠すことですが、プライバシーが強くなるほど、回路の制約は複雑になり、最適化の余地が小さくなり、プライバシーと効率の根本的な緊張が存在します。主要なコストは非線形層と数値表現から来ており、長いコンテキスト、大規模モデル、高スループットサービスを支えるにはまだ難しいです。

第四に、統計推論証明であり、原理は二つの機能が異なるモデルの内部で算出された特徴も必然的に異なるため、これらの特徴をサンプリングして比較することで、推論が指定されたモデルによって実行されたかどうかを確率的に判断できるというものです。

その証明コストはミリ秒レベルであり、即時の最終結果が得られ、高頻度、低遅延のシナリオに適しています。これが防げるのは、サービス側がモデルをすり替えるような現実の悪意（例えば、より安価な蒸留版に変更する、またはすでに整合したバージョンを変更する）ですが、完全に悪意のある者が計算記録全体を偽造することを防ぐことはできません。後者は依然として未解決の難題です。

モデル訓練の証明（zkPoT）は、推論の証明よりもはるかに難しいです：訓練プロセスは長時間続き、中間状態が不断に蓄積され、ランダム性が強く、複雑さは推論よりも数桁高くなります。関連する作業（Gargなど、Kaizen）が進行中であり、訓練データの出所や公平性の制約に対する監査可能な証明（ZkAudit、Confidential-PROFITT）を延伸しています。

訓練パイプラインの保護

単一の機関が自分の信頼できるデータを用いてモデルを訓練する際、通常は即時のプライバシーや完全性の懸念はありません。複雑なセキュリティの課題は、複数の当事者が共同で訓練し、データの出所が多様な場合に発生します。

典型的なシナリオは、複数の病院が共同で診断モデルを訓練することです：各当事者の電子病歴（EHR）を統合することで、より広範な患者群をカバーし、診断精度を向上させることができますが、HIPAAなどの規制に制約され、各当事者は原始データを直接他者や第三者に渡すことを望まず、または不便です。

金融機関が共同で反詐欺モデルを訓練したり、企業が共同で侵入検知モデルを訓練することも同様の状況です。

フェデレートラーニングはこのために設計されたソリューションです：訓練環境は最初にグローバルモデルを初期化し、各当事者に配布します。各当事者はローカルでプライベートデータを用いて訓練し、モデルの更新のみを返送し、訓練環境が新しいグローバルモデルをまとめます。データはローカルから出ることはありません。

しかし、フェデレートラーニングの実用化は限られています（最も有名なアプリケーションは携帯電話の入力法の予測です）。それはデータと計算の完全性を保証せず、各当事者が誠実であっても、通信コストが大きく、ネットワークと調整の遅延が全体の速度を遅くし、モデルの精度は集中訓練よりも低くなります。悪意のある参加者はモデルに毒を盛ったり、バックドアを埋め込むことも可能です。

よりシンプルな代替案は、TEEを用いて集中訓練を行うことです：訓練環境は信頼できる機密計算環境で動作し、暗号化されたチャネルを通じて各当事者の原始データを受け取り、集中訓練を行い、訓練されたモデルのみを出力します。データは互いに見えず、データの提供者、モデルの訓練方法に関する証明を添付することもできます。

代償は、TEE固有のサイドチャネルリスクと高いI/Oコストです。現実には、機関はデータをコンプライアンスクラウドに集約し、隔離、アクセス制御、暗号化、データ使用契約を通じてコンプライアンスを満たすことが多いですが、これはクラウドサービスプロバイダーを信頼する必要があります。

プライベートネットワークデータは別のアプローチです。公開ネットワークのテキストデータは限界に近づいており（2025年から2030年の間に枯渇するとの予測があります）、合成データには「モデル崩壊」のリスクがあり、既存の領域外のデータカバレッジを拡張することができません。

「プライベートネットワーク」（メール、健康、財務など、クローラーに開放されていないデータ）は、公開ネットワークの二桁大きいと推定されており、未開発の豊富な鉱山ですが、現在は高度に孤立しています。

オラクルはこの扉を開くことができます。患者が病歴をアップロードして医療モデルを訓練する例を挙げると、ユーザーはオラクルを利用して自分の病歴を病院のポータルから訓練側に転送し、データが確かにそのポータルから来たことを証明できます。全過程で病院の基盤インフラに変更を加える必要はありません。

プライバシーを同時に保護するためには、プライバシーオラクル（データが暗号化されたチャネルを通る）とTEEを重ねる必要があります。TEEはユーザーに証明を示すこともでき、自分が「モデルのみを出力する」プライバシー訓練ソフトウェアを実行していることを示し、ユーザーはデータを送信する前に検証できます。

この基盤の上に、差分プライバシー（モデル出力が任意の訓練データに対して非常に小さい依存性を持つ）、データ使用後の削除、完成したモデルがホワイトリストに登録された病院でのみ使用されるなど、より詳細な約束を追加することができます。

セキュアな推論パイプラインと保護されたパイプライン（Props）

同じオラクルと信頼できる計算の組み合わせは、プライベートデータに対する安全な推論にも使用できます。

銀行のローン承認を例に挙げると、モデルは申請者の財務書類を読み込み、承認または拒否を出力します。今日のプロセスは、借り手が自分で資料をダウンロードまたは撮影してアップロードすることですが、これにより二つの問題が生じます。一つは、貸し手が資料が真実で改ざんされていないことを確認できないこと、もう一つは、借り手の資料が貸し手のモデルシステムから漏洩する可能性があることです。これは双方にとってリスクです。

プライバシーオラクルを用いて出所の真実性を解決し、機密計算を用いてプライバシーを解決することで、安全な推論パイプラインを得ることができます：貸し手はモデルの結論のみを見て、同時に入力が信頼できることを確信します。

プライベートな出所は、アイデンティティと証明システムとしても機能します。

借り手は、自身のアイデンティティを持つ銀行の取引明細やW-2フォームを転送することができ、これは強力な身分証明となり、既存のネットワークサービスを対抗するアイデンティティ盗用や福祉詐欺の一時的なアイデンティティシステムに変えることができます。また、モデルはこれに基づいて証明書を発行することもできます。例えば、小規模企業の納税と運営資料を確認した後、「特定の資格を満たす」という証明書を発行し、推論パイプラインの証明を添付します。

全プロセスは分散型で完了することができ、理論的には誰でも信頼できる推論パイプラインを構築でき、データソースや既存の権威の協力を必要としません。

対抗入力は根深い問題です。攻撃者は、目に見えて正常に見えるが、巧妙に改造された銀行の取引明細を提出し、モデルを騙して虚偽の高い残高を読み取らせ、誤ってローンを承認させることができます。学界では対抗サンプルの研究は「ハッキング---パッチを当てる」というサイクルを続けており、未だに一般的な解決策は存在しません。

安全な推論パイプラインは新しいアプローチを提供します：入力を認証されたネットワークソースからのものに制限することで、攻撃者が対抗入力を構築する空間を圧縮し、モデルレベルの防御と補完し合います。

モデル自体のプライバシーも保護する必要があります。攻撃者は、巧妙に構築されたクエリを通じてモデルを盗む（特徴を抽出する、あるいはモデル全体を取り出す）、メンバー推論（特定のデータが訓練セットに含まれているかを判断する）、さらには元の訓練データを復元することができます。また、システムの構成や前処理の選択を覗き見ることも可能です。

研究者は、約8000ドルで特定の大規模モデルの一層の重みを盗むことができると推定しています。オープンシステムで一般的に使用されるレート制限は非常に脆弱であり、単一の匿名ユーザーが大量のユーザーを装ってウィッチハント攻撃（Sybil攻撃）を仕掛けることができます。

安全な推論パイプラインは両端から緩和します：オラクルを用いて入力タイプを制限し、多様なクエリを必要とする抽出攻撃を抑制します；さらに、パイプライン内で生成された強力な身分証明を用いて、各ユーザーにクエリ回数の上限を課し、プラットフォームにユーザーのアイデンティティを露呈することなく実行できるようにし、ウィッチハント攻撃を抑制します。

エージェントの記憶は新たに現れた攻撃面です。攻撃者はツールの呼び出しや外部資料の汚染を通じてエージェントに与えられたコンテキスト（記憶注入）を誘導し、エージェントが異常な行動をするように仕向けることができます。例えば、大量の暗号資産を管理するElizaOSフレームワーク内で、汚染されたコンテキストがエージェントに未承認の取引を開始させることができます。

TEEは部分的に緩和できます：エージェントをTEE内で動作させるか、認証されたコンテキストのみを引き出すことです。

しかし、TEEがあっても二つの難点があります。

第一に、信頼できるソースにも汚染されたコンテンツが含まれている可能性があります。例えば、ソーシャルメディアからのコンテンツはユーザー自身が生成したものであり、投稿者は自分の投稿に簡単に毒を盛ることができます。

第二に、TEEの運営者はロールバックやフォーク攻撃を仕掛け、TEEの状態を古いチェックポイントに戻し、その後の記憶更新を消去することができます。

前者はコンテンツ検出の難題であり、暗号学では解決できません；後者はコンセンサスの考え方を用いて対処可能であり、ROTEやNarratorなどのシステムは分散型プロトコルや公チェーンを用いてTEEの状態の一貫性と新鮮さを保証します。

このセクションの構造を要約すると、「保護されたパイプライン」（Props）という汎用フレームワークになります。これは、既存のインフラストラクチャを変更することなく、プライベートデータを安全に使用することを目指しています。

これはオラクルと信頼できる計算を三つのセグメントに組み合わせます：オラクルは認証されたプライベートソースからデータを取得し、その出所を証明します；TEEは暗号化された境界内で訓練または推論を完了します；TEEはモデルまたは結論を出力し、パイプラインの属性（データソース、ソフトウェアまたはモデルのコードハッシュなど）に関する証明を添付します。

Propsは三つの特性を保証します：エンドツーエンドの入力完全性（出力は信頼できるプライベートソースからの認証データにのみ依存します）、デフォルトの機密性（入力と中間状態は保護された境界を出ず、出力のみが公開されます）、証明可能でありながら漏洩しない（証明によりデータ提供者と結果使用者の両方が完全性と機密性が成立することを確信します）。

また、「透明版」もあり、データと計算は機密である必要はなく、認証のみが必要です。出所は公開またはプライベートにすることができます。

Crypto x AIに関する五つの誤解

Crypto x AIプラットフォームとアプリケーションに関して、業界にはいくつかの一般的な誤解や誤解を招く発言が存在します。以下の五つは全くの嘘ではありませんが、どの部分が現在成立しているのか、どの部分がさらなる証拠を必要としているのかを明確にすることが重要です。

誤解1：ブロックチェーンはAI生成コンテンツと人間生成コンテンツを区別できる

コンテンツをチェーンに登録し、後でそれがAIから出たのか人間から出たのかを判断できるというのは、よく引用される言葉であり、AI生成コンテンツをチェーンに載せるプロジェクト（Everlyn AIなど）もあります。しかし、ブロックチェーンは一般的な意味でこれを実現することはできず、「コンテンツ検出」と「コンテンツトレーサビリティ」という二つの問題を分けて考える必要があります。

コンテンツ検出は、特定のコンテンツが人間またはAIによって生成されたかを判断することです。現在の主流は事後検出であり、事前に埋め込まれたメタデータや信号に依存せず、二つのカテゴリに分けられます：一つはAI分類器で、深層学習を用いて生成モデル特有の統計的特徴を識別します；もう一つは統計的証拠で、ピクセルレベルのノイズ分布や構造的異常（AI生成の顔の生理的不一致など）を分析します。

問題は、ブロックチェーン自体がこれらのオフチェーン情報を感知できないことです。分類結果は外部の分類器によって提供されなければなりません。チェーンに載せることはこの結果を固定するだけであり、記録が提出された後に改ざんされないことを保証しますが、記録が書き込まれた時点で本当に正しいかどうかを保証することはできません。外部の検出器が誤って判断した場合、ブロックチェーンはその誤りを永続的に保存します。つまり、ブロックチェーンが提供するのは「宣言の完全性」であり、「宣言が真であることの検証」ではありません。

コンテンツトレーサビリティは、デジタル資産が創造されてからの歴史を記録することです。C2PAなどの業界標準は、クリエイターやデバイスがメディアに暗号学的署名のメタデータ（コンテンツ証明）を付加し、出所、作者、後続の編集を記録します。Numbers Protocol、Starling Labなどは、これらの証明をブロックチェーンで公開され、改ざん不可能な登録表を作成します。

しかし、たとえチェーンに固定された健全なトレーサビリティシステムがあっても、コンテンツが最初に人間またはAIによって生成されたかを保証することはできません。

ユーザーは完全にAI生成の画像を高解像度のスクリーンに表示し、C2PAに準拠したカメラで撮影することで、署名が有効で「実際に撮影された」とラベル付けされたファイルを得ることができます。テキストも同様で、AIが生成した後に手動で適切なエディタに再入力すれば、「人間が創作した」という合法的なトレーサビリティ情報が付与されます。

さらに、コンテンツがチェーン上の記録と一致しないように改ざんされると、トレーサビリティが断たれます。すべてのコンテンツをカバーする一般的な登録表が目に見える未来に現れることはほぼ不可能であり、トレーサビリティシステムには必然的に多くのギャップが存在します。

要点：狭義には、ブロックチェーンはトレーサビリティメタデータに対して健全な完全性保証を提供できますが、AI生成コンテンツの検出問題の完全な解決策ではありません。

実際に有効なソリューションは、すべてのコンテンツが信頼できるデバイスでキャプチャされ、即時にチェーンに載せられる一般的なエコシステムを必要とします。しかし、現実には、ほとんどのコンテンツは暗号学的な固定をサポートしないツールで作成され、共有されており、未ラベルのコンテンツは依然として曖昧な領域にあります。

誤解2：ブロックチェーンや分散型はAIの偏見と公平性の問題を解決できる

「モデルの推論と訓練をチェーンに載せれば、AIの不公平と偏見が解決できる」というのは、広範な言い回しですが、この言葉を評価するには、まず異なるタイプの偏見を区別する必要があります。

アルゴリズムの偏見は、AI界で最も一般的な公平性の概念です。モデルはデータセット内の不均衡を学習し、さらにはそれを拡大することがあり、判別モデルは弱者グループに対して悪いパフォーマンスを示し、生成モデルは訓練データ内の悪影響を引き継ぎます（有害な言語や固定観念など）。

学界では、訓練時と推論時（バリア）の技術的ソリューションが多数提案されていますが、これらの保護は完璧ではなく、公平性は未だに解決された問題とは言えず、永遠に完全に解決できない可能性もあります。「公平性をどのように定義するか」自体も多くのトレードオフを必要とします。

分散型はアルゴリズムの偏見を解決できません。なぜなら、それは訓練プロセス自体に起因し、通常は訓練や推論技術の改善によって緩和されるため、分散型は根源に触れることができません。

しかし、偏見には第二の起源もあります。それはモデルのパフォーマンスに影響を与える高次の決定です：どのデータを使用するか、どのアーキテクチャを使用するか、貢献者にどのように補償するか。この層はAI界で通常理解される公平性とは直交しており、アルゴリズムの偏見に影響を与える可能性がありますが、分散型の二つの特性を利用して改善できる部分もあります。

第一の特性は透明性です。開発者はブロックチェーンを用いて訓練データ、訓練アルゴリズム、モデルチェックポイント、推論バリアを公開することができ、運営側は特定の訓練や推論の出力を追跡できることを証明できます。

しかし、これは大規模モデルやチェックポイントのような訓練時の産物に拡張することは難しく（ストレージと計算コストが高すぎるため）、既存のシステムではこれらのデータはほとんどがオフチェーンに存在し、ユーザーは直接アクセスできません。短期的には透明性の利益は推論段階に限られる可能性があります。

より重要なのは、業界がこの透明性がどのようなユースケースにサービスを提供するのか、どのようなインターフェースを提供するべきか（例えば、ユーザーがデータの不適切な使用を報告できるようにするには、真のデータ所有権を確立し、機械的な忘却などの技術を整備する必要があります）を明確にしない限り、透明性自体が人々のAIの開発や使用方法を変えるとは限らないということです。

第二の特性は分散型ガバナンスであり、二つのカテゴリを区別する必要があります。第一のカテゴリは、ブロックチェーン内で探求され、採用されたコミュニティガバナンスメカニズム（トークン加重投票、流動的民主主義、後者は信頼できる人に票を委任できることを指します）；第二のカテゴリはDAOが代表する分散型自治ガバナンスであり、スマートコントラクトによってガバナンスの決定が強制的に実行されます。

二つのカテゴリの共通の要点は、コミュニティガバナンスのようなメカニズムはブロックチェーンがなくても実現可能であるため、それらを「ブロックチェーンが解決したAIの問題」とするのは正確ではありません。技術的で性能に敏感なAIの決定は広範な投票には適していませんが、価値指向の決定（モデルの整合など）は比較的適しており、主流のAI開発者はこれを探求してきましたが、まだ実際には実現されていません。

また、スマートコントラクトによって強制的に実行されるチェーン上のガバナンス（直接実行または質押罰金）は堅牢性を高めることができますが、チェーン上の透明性と同様の技術的障壁に直面しています。現在のインフラはAIのストレージと計算の要求を支えられず、実現には検証可能な訓練の重大な進展が必要であり、自給自足的であるが時期尚早な長期的なビジョンです。

要点：ブロックチェーン自体はアルゴリズムの偏見を減少させることはできませんが、AIライフサイクルの各段階で透明性を促進し、AIガバナンスへの参加を拡大することができます。

誤解3：AIエージェントにウォレットを与えれば、自律的になる

「エージェントウォレット」と支払いプロトコルのプロジェクトは、AIエージェントにウォレットを与え、自分で稼ぎ、自分で使い、自分で「生きていく」ことができるようにすれば、自律的になると主張することがよくあります。このような言い回しは、いくつかの異なる概念を混同しています。

曖昧さは、まず「自律」が二つの領域で異なる意味を持つことから生じます。AIの文脈では、自律エージェントは自身の感知、学習、経験に基づいて行動できることを指し、事前に設定されたルールを厳守することではありません；スマートコントラクトも自律的と呼ばれますが、強調されるのは改ざん耐性、検閲耐性、停止耐性です。

前者は「知能的自律」と呼ばれ、後者は「実行自律」と呼ばれます。現代のAIエージェントはかなりの知能的自律を持っていますが、必ずしも実行自律があるわけではなく、管理者は依然としてそれを実行するサーバーを停止できます。

エージェントウォレットがもたらすのは、これらの二つの自律ではありません。ウォレットを持つことはAIをより賢くすることも、人為的な操作や停止に対抗する能力を高めることもありません。実際にもたらすのは自動化です：エージェントはプログラム的に取引、送金、オンチェーン施設を呼び出すことができ、人工的な承認プロセスを経る必要がありません。

この自動化はブロックチェーン特有のものではなく、中央集権型金融インフラも同様にエージェントによってプログラム的に呼び出されることができます。より堅実な解釈は、ブロックチェーンの支払いシステム自体が中央集権型のソリューションよりも強い自律性を提供する（たとえエージェント専用ではなくても）ということです。例えば、エージェントの取引が差別されないことを保証すること、つまり中立性と検閲耐性です。

要点：エージェントウォレットはAIエージェントが金融インターフェースを便利に呼び出し、経済的相互作用を自動化し、人工的な承認を免れることを可能にしますが、自動化は自律とは異なります。ウォレットがあるだけではエージェントを人間の制御から解放することはできません（運営者は依然としてそれが依存するモデルや施設を停止できます）、自動化された支払いもブロックチェーンを必要とせず、中央集権型システムでも実現可能です。

ブロックチェーン支払いの真の売りは中立性と検閲耐性であり、支払いが抑圧されたり干渉されることを心配するシナリオに適しています。

誤解4：透明なAIは信頼できるAIである

モデルのデータソースと推論記録をチェーンに載せることは、AIの信頼性を保証する理想的なツールのように見えます。この論点は広く引用されているIBMのブログから派生し、AIエージェントにも拡張されています。しかし、二つの層に分解する必要があります。

モデル層の透明性に関して、訓練データの出所を記録することはモデルの作成に関する透明性をもたらすように見えますが、「データ出所の記録」と「モデルの行動保証」の間には巨大なギャップがあります。

第一に、チェーン上の記録は単なる記録であり、出所の証明ではありません（訓練セットの構成を証明するには別途専門的な技術が必要です）。

第二に、訓練データを完全に把握しても、モデルがどのように動作するかを判断するには不十分です。なぜなら、訓練プロセスと計算環境もモデルの行動を決定するからです。

第三に、データからモデルへの完全なプロセスを把握しても、モデルのランダムな訓練に固有の非決定性により、「訓練プロセスを用いてモデルの重みを検証する」ことは原理的に不可能です。

さらに、たとえ重みを取得できたとしても、訓練中に埋め込まれたバックドアや対抗的操作を検出するための普遍的な手段は存在せず、モデルのデータと訓練情報をチェーンに載せることは、その行動特性や対抗的操作が存在しないことを直接保証するものではありません。

推論層の透明性に関して、モデルの入力と対応する推論をチェーンに記録することは、モデルの使用に関する透明性をもたらすように見えますが、ブロックチェーンは取引を透明にするものであり、推論を透明にするものではありません。「モデルXが入力Yに対して推論Zを得た」という記録は、Zが信頼できることをほとんど証明できません。

なぜなら、それは「正しく実行されたこと」を証明できず（この三つ組が確かにモデルXによって仕様通りに計算されたことを証明するには、TEEや高価な暗号学的手段が必要です）、また「モデルが信頼できること」を証明することもできません。

たとえ実行が正しいことが証明されても、より根本的な問題は、モデルXの完全な出所記録が、ユーザーの期待や業界の規範に合致していることを意味するわけではないということです。重みのハッシュを用いてモデルを指定することは、保証がさらに弱くなります。なぜなら、モデルのアイデンティティはモデルの信頼性と等しくないからです。

ブロックチェーンは特定の信頼できる目標に対して確かに有用です。例えば、機関がオープンソースの重みモデルのハッシュをチェーンに公開し、改ざんされていないことを確認するための不変の参照としてユーザーが確認できるようにすることです。同様の防改ざんログの考え方は、ファームウェアの更新記録や証明書の透明性（ブロックチェーンのような追加のみのログを用いて公開監査可能な証明書発行記録を維持する）にも使用されます。

要点：モデルのデータソースと推論記録をチェーンに載せることは、「モデルおよび推論が信頼できることの意味のある保証」との間に、依然としてかなりのギャップがあります。