或许本世纪迄今为止最显著的趋势,可用「互联网已成为现实生活」这句话来概括。这一趋势始于电子邮件与即时通讯——数千年来,人们依靠口耳相传、纸笔记录完成的私密对话,如今已转移到数字基础设施上进行。随后,数字金融应运而生,既包括加密货币金融,也涵盖传统金融自身的数字化转型。再到后来,数字技术渗透至健康领域:借助智能手机、个人健康追踪手表,以及从消费行为中推断出的数据,各类与我们身体相关的信息正通过计算机及计算机网络进行处理。在未来二十年里,我预计这一趋势将席卷更多领域,包括各类政府事务(最终甚至可能延伸至选举环节)、对公共环境中物理与生物指标及潜在威胁的监测,而最终,通过脑机接口技术,数字技术甚至可能触及我们人类自身的思维层面。
我认为这些趋势不可避免:其带来的益处过于巨大,且在竞争激烈的全球环境中,拒绝这些技术的文明首先会丧失竞争力,进而向接纳这些技术的文明让出主权。然而,除了带来强大益处外,这些技术还深刻影响着国家内部及国家之间的权力格局。
能从新一轮技术浪潮中获益最多的文明,并非技术的「消费方」,而是技术的「生产方」。针对封闭平台与接口所设计的、由中央统筹的平等访问项目,充其量只能实现其中一小部分价值,且在预设的「常规」场景之外往往失效。此外,在未来的技术图景中,我们对技术的信任度将大幅提升。一旦这种信任被打破(例如出现后门程序、安全漏洞),便会引发严重问题。即便只是存在信任被打破的「可能性」,也会迫使人们退回到本质上具有排他性的社会信任模式——即「这件东西是由我信任的人打造的吗?」。这种情况会在技术栈的各个层面催生连锁反应:所谓「主导者」,就是那些能定义「特殊状况」的主体。
要规避这些问题,技术栈中的各类技术——包括软件、硬件及生物领域技术——需具备两个相互关联的核心特性:真正的开放性(即开源,包括免费授权)与可验证性(理想情况下,终端用户应能直接进行验证)。
互联网即现实生活。我们希望它成为乌托邦,而非反乌托邦。
健康领域中开放性与可验证性的重要性
新冠疫情期间,技术生产手段获取不平等所带来的后果暴露无遗。疫苗仅在少数国家生产,这导致不同国家获取疫苗的时间存在巨大差距:富裕国家在 2021 年就获得了高质量疫苗,而其他国家直到 2022 年或 2023 年才拿到质量较低的疫苗。尽管当时有多项举措试图保障疫苗的平等获取,但由于疫苗生产依赖资本密集型的专有制造流程,且这类流程仅能在少数地区开展,这些举措的效果十分有限。
疫苗面临的第二个主要问题,在于其相关科学研究与信息传播策略的不透明性:相关方试图向公众宣称疫苗「完全无风险、无任何副作用」,这一说法与事实不符,最终极大地加剧了公众对疫苗的不信任感。如今,这种不信任感已升级,甚至演变为对半个世纪以来科学成果的质疑。
事实上,这两个问题都有解决之道。例如,由 Balvi 资助的 PopVax 等疫苗,不仅研发成本更低,且研发流程的开放性更高——这不仅能减少疫苗获取的不平等性,同时也让其安全性与有效性的分析和验证变得更加容易。未来,我们甚至可以在疫苗设计之初,就将「可验证性」作为核心目标。
类似问题也存在于生物技术的数字化领域。当你与长寿研究学者交流时,他们几乎都会提到:抗衰老医疗的未来方向是「个性化」与「数据驱动」。要为当下的人们提供精准的用药建议与营养调整方案,就必须了解其身体的实时状况;而要实现这一点,大规模、实时的数字数据收集与处理至关重要。
这一逻辑同样适用于以「防范风险」为目标的防御性生物技术,例如疫情防控。疫情发现得越早,就越有可能从源头遏制;即便无法遏制,每提前一周发现,也能为防控准备与应对措施研发争取更多时间。在疫情持续期间,实时掌握疫情发生地点,对于及时部署防控措施也具有重要价值:若感染疫情的普通人能在得知病情后 1 小时内自我隔离,疫情传播范围将比「带病活动 3 天、传染他人」的情况减少 72 倍;若能确定「20% 的地点导致了 80% 的传播」,针对性地改善这些区域的空气质量,还能进一步降低传播风险。要实现这些目标,需满足两个条件:(1)部署大量传感器;(2)传感器具备实时通信能力,能将信息反馈至其他系统。
若进一步展望「科幻级」的技术方向,我们会看到脑机接口的潜力——它不仅能大幅提升人类的工作效率、通过「心灵感应式通信」帮助人们更好地理解彼此,还能为实现更安全的高智能人工智能开辟路径。
倘若生物与健康追踪(包括个人层面与空间层面)的基础设施为专有技术,那么数据将默认流入大型企业手中。这些企业有权在基础设施之上开发各类应用,而其他主体则被排除在外。尽管它们可能通过 API(应用程序接口)开放部分访问权限,但这类权限往往受限,且可能被用于「垄断性寻租」,甚至随时可能被收回。这意味着,少数个人与企业掌握着 21 世纪某一重要技术领域的核心资源,进而限制了其他主体从中获取经济利益的可能性。
另一方面,若这类个人健康数据缺乏安全保障,黑客一旦入侵,便可能利用健康问题敲诈勒索、通过优化保险与医疗产品定价榨取利益;若数据中包含位置信息,黑客甚至能据此蹲点实施绑架。反之,你的位置数据(频繁遭遇黑客攻击)也可能被用于推断你的健康状况。而若脑机接口被黑客入侵,意味着恶意攻击者能直接「读取」(甚至更糟——「篡改」)你的思维。这已不再是科幻场景:有研究显示,脑机接口遭黑客攻击后,可能导致使用者丧失运动控制能力(相关攻击案例可参考此处)。
总而言之,这些技术虽能带来巨大益处,但也伴随着显著风险——而大力强调「开放性」与「可验证性」,正是缓解这些风险的有效途径。
个人与商业数字技术领域中开放性与可验证性的重要性
本月初,我需要填写并签署一份具有法律效力的文件,但当时我身处国外。尽管该国设有全国性电子签名系统,但我并未提前完成注册。最终,我不得不打印文件、手写签名,再前往附近的 DHL(敦豪快递)网点,花大量时间填写纸质快递单,最后支付费用将文件跨国加急寄出。整个过程耗时半小时,花费 119 美元。而就在同一天,我还需要在以太坊区块链上签署一笔数字交易——整个过程仅用了 5 秒,成本仅 0.1 美元(公平地说,即便不依赖区块链,数字签名也可完全免费)。
这类案例在企业或非营利组织治理、知识产权管理等场景中十分常见。过去十年间,绝大多数区块链初创企业的商业计划书里,都能看到类似的「效率对比」案例。除此之外,「通过数字方式行使个人权限」最核心的应用场景,便是支付与金融领域。
当然,这一切都伴随着一个重大风险:若软件或硬件遭遇黑客攻击,该怎么办?加密货币领域很早就意识到了这一风险——区块链具有「无需许可」与「去中心化」的特性,一旦你丢失资金访问权限,便没有任何「救星」可求助,即「没有私钥,就没有资产所有权」。正因如此,加密货币领域早早开始探索「多签钱包」「社交恢复钱包」与「硬件钱包」等解决方案。然而在现实中,许多场景下「缺乏可信第三方」并非出于意识形态选择,而是场景本身的固有属性。事实上,即便是在传统金融领域,「可信第三方」也难以保护大多数人——例如,仅有 4% 的诈骗受害者能追回损失。而在涉及「个人数据托管」的场景中,数据一旦泄露,从原则上讲便无法「撤回」。因此,我们需要真正的可验证性与安全性——既包括软件,最终也包括硬件。
重要的是,在硬件领域,我们试图防范的风险远不止「制造商是否恶意」这一点。更核心的问题在于:硬件研发依赖大量外部组件,且多数组件为闭源模式,只要其中任一组件存在疏漏,就可能导致无法接受的安全后果。有论文显示,即便软件在独立模型中被证明「安全无虞」,微架构的选择也可能破坏其侧信道抗性。像 EUCLEAK(一种攻击方式)这类安全漏洞,正因其依赖的组件多为专有技术,才更难被发现。此外,若人工智能模型在受损硬件上训练,训练过程中可能被植入后门。
另一个问题在于:即便封闭的集中式系统本身安全无虞,也会带来其他弊端。集中化会在个人、企业或国家之间形成「持续的权力杠杆」——若你的核心基础设施由某一「潜在不可信国家」的「潜在不可信企业」搭建与维护,你便容易面临外部施压(例如,可参考 Henry Farrell 关于「武器化相互依赖」的研究)。这正是加密货币旨在解决的问题——但这类问题的存在范围,远不止金融领域。
数字公民技术领域中开放性与可验证性的重要性
我经常与各行各业的人交流,他们都在探索更适合 21 世纪不同场景的政府治理模式。例如,Audrey Tang 正致力于将已有的功能性政治体系升级,通过赋能本地开源社区、采用「公民议会」「抽签代表制」「二次投票」等机制提升治理水平;另一些人则从「底层设计」入手——部分俄罗斯裔政治学家为俄罗斯起草了一份新宪法,其中明确保障个人自由与地方自治、强调「倾向和平、反对侵略」的制度设计,并赋予直接民主前所未有的重要地位;还有一些学者(如研究土地价值税或拥堵收费的经济学家),则在努力改善本国经济状况。
不同人对这些理念的接受度可能不同,但它们有一个共同点:均需要「高带宽参与」,因此任何切实可行的实施方案都必须是数字化的。纸笔记录或许能满足「简单产权登记」或「四年一次选举」的需求,但对于需要更高参与频率与信息传输效率的场景,完全无能为力。
然而,历史上,安全研究学者对「电子投票」这类数字公民技术的态度,从怀疑到反对不等。有研究很好地总结了反对电子投票的核心理由,其中提到:
「首先,电子投票技术依赖『黑箱软件』——公众无法访问控制投票机的软件代码。尽管企业声称『保护软件是为了防范舞弊、对抗竞争』,但这也导致公众完全无法了解投票软件的运作逻辑。企业若想操纵软件、制造虚假选举结果,并非难事。此外,投票机供应商之间存在竞争关系,无法保证他们会从『选民利益』与『选票准确性』出发生产设备。」
大量现实案例证明,这种怀疑并非没有道理。
这些反对理由,同样适用于其他类似场景。但我预测,随着技术发展,在越来越多领域中,「完全拒绝数字化」的态度将变得不再现实。技术正推动世界向更高效率发展(无论利弊),若某一体系拒绝顺应这一趋势,人们将逐渐绕过它开展活动,其在个人与集体事务中的影响力也会不断减弱。因此,我们需要另一种方案:直面难题,探索如何让复杂的技术解决方案具备「安全性」与「可验证性」。
理论上,「安全可验证」与「开源」是两个不同概念。专有技术完全可能具备安全性——例如,飞机技术高度专有,但商业航空仍是安全性极高的出行方式。然而,专有模式无法实现的,是「安全共识」——即让相互不信任的主体都能认可其安全性的能力。
选举等公民系统,正是需要「安全共识」的典型场景。另一个场景是法庭证据收集。最近,美国马萨诸塞州法院裁定,大量酒精测试仪证据无效——原因是州犯罪实验室被发现隐瞒了测试仪存在普遍故障的信息。该判决文件中提到:
「难道所有测试结果都存在问题吗?并非如此。事实上,多数案件中的酒精测试仪并未出现校准问题。但调查人员随后发现,州犯罪实验室隐瞒了『故障范围比声称更广泛』的证据,因此 Frank Gaziano 法官认为,所有相关被告的正当程序权利均受到了侵犯。」
法庭中的「正当程序」,本质上不仅要求「公平」与「准确」,更要求「公平与准确的共识」——若公众无法确认法庭在「依法行事」,社会很可能陷入「私力救济」的混乱局面。
此外,「开放性」本身也具有固有价值。开放性能让本地群体根据自身目标,设计适配的治理、身份认证等系统。若投票系统为专有技术,某一国家(或省份、城市)若想尝试新的投票模式,将面临巨大障碍:要么说服企业将其偏好的规则开发为「新功能」,要么从零开始研发并完成安全验证——这无疑大幅增加了政治体系创新的成本。
在这些领域中,采用「开源黑客伦理」(即鼓励共享、协作与创新的理念),能赋予本地实施者更多自主权——无论他们是以个人身份、还是作为政府或企业的一员开展工作。要实现这一点,需满足两个条件:一是广泛提供「便于构建的开源工具」,二是基础设施与代码库需采用「免费授权」模式,允许他人在此基础上二次开发。若目标是「缩小权力差距」,则「copyleft」模式尤为重要。
未来几年,公民技术领域另一个重要方向是物理安全。过去二十年间,监控摄像头遍布各地,引发了诸多公民自由担忧。但不幸的是,无人机 warfare 的兴起,已让「不采用高科技安全手段」不再是可行选项。即便某国法律不侵犯公民自由,若该国无法保护公民免受「其他国家(或恶意企业、个人)」的非法干预,所谓的「自由」也无从谈起——而无人机让这类攻击变得更加容易。因此,我们需要相应的防御措施,其中可能包括大量「反无人机系统」、传感器与摄像头。
若这些工具为专有技术,数据收集将既不透明又高度集中;若这些工具具备「开放性」与「可验证性」,我们便能探索更优方案:安全设备仅在有限场景下输出有限数据,并自动删除其余数据。如此一来,数字化物理安全的未来,将更像「数字看门狗」,而非「数字全景监狱」。我们可以构想这样一个世界:公共监控设备必须开源且可验证,任何公民都拥有「随机选取公共监控设备、拆解并验证其合规性」的法律权利;大学计算机社团甚至可以将这类验证作为教学实践活动。
开源且可验证的实现路径
我们无法避免数字计算机技术深度嵌入个人与集体生活的方方面面。若顺其自然,未来的数字技术很可能呈现这样的形态:由中心化企业开发运营,为少数人的盈利目标服务,被所在国政府植入后门,而全球多数人既无法参与技术创造,也无从判断其安全性。但我们完全可以努力转向一条更优的道路。
不妨构想这样一个世界:
· 你拥有一台安全的个人电子设备——它兼具手机的运算能力、加密硬件钱包的安全性,可检查程度虽不及机械手表,却已十分接近。
· 你的所有即时通讯应用均已加密,消息传播轨迹通过混网技术隐藏,且所有代码都经过形式化验证。
· 你完全可以确信,私人对话真正做到了私密无泄露。
· 你的财务资产是链上标准化的 ERC-20 代币(或存储于向区块链发布哈希值与验证证明以确保准确性的服务器中),由个人电子设备控制的钱包管理。
· 若设备丢失,你可通过自主选择的方式(比如结合你的其他设备、家人、朋友或机构的设备——不一定是政府机构:若操作足够便捷,教堂等组织也可能提供此类服务)恢复资产访问权限。
· 开源版 Starlink 级基础设施已投入使用,确保全球通信稳定可靠,无需依赖少数运营主体。
· 你的设备搭载本地运行的开源权重大型语言模型(LLM),可实时扫描你的操作、提供建议、自动完成任务,并在你可能获取错误信息或即将犯错时发出预警。
· 设备的操作系统同样开源,且经过形式化验证。
· 你佩戴着 24 小时不间断工作的个人健康追踪设备,这类设备同样具备开源性与可检查性——你能随时获取自己的健康数据,且可确保未经你许可,任何人都无法获取这些信息。
· 我们拥有更先进的治理模式:采用抽签代表制、公民议会、二次投票等机制,通过巧妙结合的民主投票方式设定目标,并借助特定方法筛选专家方案以确定目标的实现路径。
· 作为参与者,你完全可以确信,系统正按照你理解的规则运行。公共场所配备用于追踪生物变量的监测设备(如监测二氧化碳浓度、空气质量指数、空气传播疾病存在情况、废水指标等)。
· 但这类设备(以及所有监控摄像头、防御性无人机)均具备开源性与可验证性,且有相应法律体系保障公众可对其进行随机检查。
在这样的世界里,我们将拥有比当下更高的安全性、更多的自由,以及更平等的全球经济参与机会。但要实现这一愿景,还需在以下各类技术领域加大投入:
· 更先进的加密技术:我将零知识证明(ZK-SNARKs)、全同态加密、混淆技术称为加密领域的「埃及神祇卡牌」——它们的强大之处在于,能在多方场景下对数据执行任意程序运算,在保证输出结果可靠性的同时,确保数据与运算过程的私密性。这为开发更强大的隐私保护应用奠定了基础。与加密技术相关的工具(如能确保数据不被篡改、用户不被排斥的区块链,以及通过向数据添加噪声进一步保护隐私的差分隐私技术)也将在此发挥重要作用。
· 应用与用户级安全:只有当应用程序的安全承诺能被用户理解并验证时,它才称得上真正安全。这需要借助软件框架,降低高安全属性应用的开发难度。更重要的是,浏览器、操作系统及其他中间件(如本地运行的监控型大型语言模型)需协同发力:验证应用程序安全性、判定风险等级,并将这些信息清晰地呈现给用户。
· 形式化验证:我们可利用自动化证明方法,通过算法验证程序是否满足关键特性(如不泄露数据、防止未授权第三方修改)。Lean 语言近来已成为该领域的热门工具。目前,这些技术已开始用于验证以太坊虚拟机(EVM)的零知识证明算法,以及加密领域其他高价值、高风险用例,在更广泛的领域也有类似应用。除此之外,我们还需在其他更基础的安全实践中取得进一步突破。
· 开源且以安全为核心的操作系统:这类系统正不断涌现,例如专注安全的安卓衍生系统 GrapheneOS、主打极简安全的内核(如 Asterinas),以及华为的鸿蒙操作系统——鸿蒙拥有开源版本,且正采用形式化验证技术。或许很多读者会质疑:「既然是华为的系统,肯定有后门吧?」但这种观点恰恰忽略了核心逻辑:无论产品由谁开发,只要具备开放性且任何人都能对其进行验证,开发者身份就不应成为顾虑。这一案例充分说明,开放性与可验证性能够有效对抗全球技术分裂趋势。
· 安全的开源硬件:若无法确保硬件真正运行指定软件,且不会在后台擅自泄露数据,那么再安全的软件也形同虚设。在这一领域,我重点关注两个短期目标:
a. 个人安全电子设备:区块链领域将其称为「硬件钱包」,开源爱好者则称之为「安全手机」——但只要理解了对「安全性」与「通用性」的双重需求,就会发现这两类设备的核心功能最终会趋于统一。
b. 公共场所物理基础设施:包括智能锁、前文提及的生物监测设备,以及各类物联网技术。要让公众信任这类设施,开源与可验证性是必不可少的前提。
· 用于构建开源硬件的安全开源工具链:如今,硬件设计依赖大量闭源组件。这不仅大幅推高硬件研发成本、增加开发权限门槛,还让硬件验证难以落地——若生成芯片设计的工具为闭源,开发者根本无法确定验证标准。即便像扫描链这样已有的技术,也常因关键配套工具闭源而无法实际应用。不过,这种现状并非无法改变。
· 硬件验证技术(如 IRIS 技术、X 射线扫描):我们需要通过扫描芯片,确认其逻辑与设计完全一致,且不存在可被恶意篡改、提取数据的额外组件。验证可通过两种方式实现:
a. 破坏性验证:审计人员以普通终端用户身份随机采购含芯片的产品,拆解芯片后验证其逻辑是否与设计匹配。
b. 非破坏性验证:借助 IRIS 或 X 射线扫描技术,理论上可对每一颗芯片进行检测。
要实现「安全共识」,理想状态是让广大群体都能掌握硬件验证技术。目前,X 射线设备尚未普及,可通过两方面改善:一方面优化验证设备(及芯片的可验证性设计),降低使用门槛;另一方面,用更简易的验证方式补充「全量验证」——例如在智能手机上就能完成的 ID 标签验证、基于物理不可克隆功能生成密钥的签名验证。这类方式可有效验证「设备是否来自已知厂商批次,且该批次已通过第三方随机抽样详细验证」等关键信息。
· 开源、低成本的本地环境与生物监测设备:社区与个人应能自主监测环境与自身健康状况,识别生物风险。这类设备形态多样,包括 OpenWater 等个人医疗设备、空气质量传感器、Varro 等通用空气传播疾病传感器,以及更大规模的环境监测设备。
从愿景到落地:路径与挑战
与传统技术发展愿景相比,「全栈开源可验证」的愿景有一个关键不同——它更注重地方主权的保障、个人权利的赋能与自由的实现。在安全构建逻辑上,它不再追求「彻底清除全球所有威胁」,而是转向「提升技术栈各层级系统的稳健性」;在「开放性」的定义上,它不止于「由中央规划的 API 开放访问」,而是延伸到「技术全栈的每一层都能被改进、优化与二次开发」;在「验证」的属性上,它不再是专有审计机构的专属权力(这些机构甚至可能与技术厂商、政府存在利益勾结),而是成为公众的基本权利,甚至是受社会鼓励的实践活动——任何人都能参与验证,而非被动接受「安全承诺」。
这种愿景更能适配 21 世纪全球格局碎片化的现实,但落地的时间窗口十分紧迫。当前,集中式安全方案正以惊人的速度推进,其核心逻辑是「增加集中化数据收集节点、预设后门,同时将验证简化为单一标准——『是否来自可信开发者或制造商』」。事实上,数十年来,用集中式方案替代「真正开放访问」的尝试从未停止:从早期 Facebook 推出的「互联网计划」(internet.org),到如今更复杂的技术垄断模式,每一次尝试都比前一次更具迷惑性。因此,我们面临双重任务:一方面要加速开源可验证技术的研发与落地,与集中式方案形成竞争;另一方面要向公众与机构清晰传递理念——「更安全、更公平的技术方案并非空想,而是切实可行」。
若能实现这一愿景,我们将迎来一个可被称为「复古未来主义」的世界:一方面,我们能享受前沿技术的红利——通过更强大的工具改善健康、用更高效稳健的方式组织社会、抵御新旧威胁(如流行病、无人机攻击);另一方面,我们能重拾 1900 年代技术生态的核心特质——基础设施不再是「普通人无法触碰的黑箱」,而是可被拆解、验证、改造以适配自身需求的工具;任何人都能突破「消费者」或「应用开发者」的身份局限,在技术全栈的任意一层参与创新(无论是优化芯片设计,还是改进操作系统安全逻辑);更重要的是,人们能真正信任技术——确信设备的实际功能与宣传一致,不会在后台窃取数据或执行未授权操作。
实现「全栈开源可验证」并非无成本——软硬件的性能优化往往以「降低可理解性、增加系统脆弱性」为代价,而开源模式也与多数传统商业盈利逻辑存在冲突。尽管这些问题的影响被过度夸大,但公众与市场对「开源可验证」的认知转变需要时间,无法一蹴而就。因此,我们需要明确一个务实的短期目标:优先为「高安全需求、非性能关键型应用」构建全栈开源可验证技术体系,涵盖消费级与机构级场景、远程与本地场景,以及软硬件与生物监测领域。
这一选择的合理性在于:多数对「安全性」有极高要求的场景(如健康数据存储、选举投票系统、金融密钥管理),对「性能」的需求其实并不苛刻;即便部分场景需要一定性能,也可通过「高性能不可信组件 + 低性能可信组件」的组合策略实现平衡——例如,用高性能芯片处理普通数据,用经过开源验证的安全芯片处理敏感信息,最终在保障安全的同时满足效率需求。
我们不必追求「为所有领域实现极致的安全与开放」——这既不现实,也无必要。但我们必须确保:在那些直接关系个人权利、社会公平与公共安全的核心领域(如医疗健康、民主参与、金融安全),「开源可验证」成为技术标配,让每一个人都能享受安全、可信的数字服务。
特别感谢 Ahmed Ghappour、bunnie、Daniel Genkin、Graham Liu、Michael Gao、mlsudo、Tim Ansell、Quintus Kilbourn、Tina Zhen、Balvi 志愿者以及 GrapheneOS 开发人员提供的反馈和参与的讨论。
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia
