原文標題:The importance of full-stack openness and verifiability
原文作者:Vitalik Buterin
原文編譯:Saoirse,Foresight News
或許本世紀迄今為止最顯著的趨勢,可用「互聯網已成為現實生活」這句話來概括。這一趨勢始於電子郵件與即時通訊——數千年來,人們依靠口耳相傳、紙筆記錄完成的私密對話,如今已轉移到數字基礎設施上進行。隨後,數字金融應運而生,既包括加密貨幣金融,也涵蓋傳統金融自身的數字化轉型。再到後來,數字技術滲透至健康領域:藉助智能手機、個人健康追蹤手錶,以及從消費行為中推斷出的數據,各類與我們身體相關的信息正通過計算機及計算機網絡進行處理。在未來二十年裡,我預計這一趨勢將席捲更多領域,包括各類政府事務(最終甚至可能延伸至選舉環節)、對公共環境中物理與生物指標及潛在威脅的監測,而最終,通過腦機接口技術,數字技術甚至可能觸及我們人類自身的思維層面。
我認為這些趨勢不可避免:其帶來的益處過於巨大,且在競爭激烈的全球環境中,拒絕這些技術的文明首先會喪失競爭力,進而向接納這些技術的文明讓出主權。然而,除了帶來強大益處外,這些技術還深刻影響著國家內部及國家之間的權力格局。
能從新一輪技術浪潮中獲益最多的文明,並非技術的「消費方」,而是技術的「生產方」。針對封閉平臺與接口所設計的、由中央統籌的平等訪問項目,充其量只能實現其中一小部分價值,且在預設的「常規」場景之外往往失效。此外,在未來的技術圖景中,我們對技術的信任度將大幅提升。一旦這種信任被打破(例如出現後門程序、安全漏洞),便會引發嚴重問題。即便只是存在信任被打破的「可能性」,也會迫使人們退回到本質上具有排他性的社會信任模式——即「這件東西是由我信任的人打造的嗎?」。這種情況會在技術棧的各個層面催生連鎖反應:所謂「主導者」,就是那些能定義「特殊狀況」的主體。
要規避這些問題,技術棧中的各類技術——包括軟件、硬件及生物領域技術——需具備兩個相互關聯的核心特性:真正的開放性(即開源,包括免費授權)與可驗證性(理想情況下,終端用戶應能直接進行驗證)。
互聯網即現實生活。我們希望它成為烏托邦,而非反烏托邦。
健康領域中開放性與可驗證性的重要性
新冠疫情期間,技術生產手段獲取不平等所帶來的後果暴露無遺。疫苗僅在少數國家生產,這導致不同國家獲取疫苗的時間存在巨大差距:富裕國家在 2021 年就獲得了高質量疫苗,而其他國家直到 2022 年或 2023 年才拿到質量較低的疫苗。儘管當時有多項舉措試圖保障疫苗的平等獲取,但由於疫苗生產依賴資本密集型的專有製造流程,且這類流程僅能在少數地區開展,這些舉措的效果十分有限。
2021-2023 年新冠疫苗覆蓋率數據
疫苗面臨的第二個主要問題,在於其相關科學研究與信息傳播策略的不透明性:相關方試圖向公眾宣稱疫苗「完全無風險、無任何副作用」,這一說法與事實不符,最終極大地加劇了公眾對疫苗的不信任感。如今,這種不信任感已升級,甚至演變為對半個世紀以來科學成果的質疑。
事實上,這兩個問題都有解決之道。例如,由 Balvi 資助的 PopVax 等疫苗,不僅研發成本更低,且研發流程的開放性更高——這不僅能減少疫苗獲取的不平等性,同時也讓其安全性與有效性的分析和驗證變得更加容易。未來,我們甚至可以在疫苗設計之初,就將「可驗證性」作為核心目標。
類似問題也存在於生物技術的數字化領域。當你與長壽研究學者交流時,他們幾乎都會提到:抗衰老醫療的未來方向是「個性化」與「數據驅動」。要為當下的人們提供精準的用藥建議與營養調整方案,就必須瞭解其身體的實時狀況;而要實現這一點,大規模、實時的數字數據收集與處理至關重要。
一款智能手錶收集的個人數據量,是 Worldcoin(世界幣)的 1000 倍,這一現象利弊共存。
這一邏輯同樣適用於以「防範風險」為目標的防禦性生物技術,例如疫情防控。疫情發現得越早,就越有可能從源頭遏制;即便無法遏制,每提前一週發現,也能為防控準備與應對措施研發爭取更多時間。在疫情持續期間,實時掌握疫情發生地點,對於及時部署防控措施也具有重要價值:若感染疫情的普通人能在得知病情後 1 小時內自我隔離,疫情傳播範圍將比「帶病活動 3 天、傳染他人」的情況減少 72 倍;若能確定「20% 的地點導致了 80% 的傳播」,針對性地改善這些區域的空氣質量,還能進一步降低傳播風險。要實現這些目標,需滿足兩個條件:(1)部署大量傳感器;(2)傳感器具備實時通信能力,能將信息反饋至其他系統。
若進一步展望「科幻級」的技術方向,我們會看到腦機接口的潛力——它不僅能大幅提升人類的工作效率、通過「心靈感應式通信」幫助人們更好地理解彼此,還能為實現更安全的高智能人工智能開闢路徑。
倘若生物與健康追蹤(包括個人層面與空間層面)的基礎設施為專有技術,那麼數據將默認流入大型企業手中。這些企業有權在基礎設施之上開發各類應用,而其他主體則被排除在外。儘管它們可能通過 API(應用程序接口)開放部分訪問權限,但這類權限往往受限,且可能被用於「壟斷性尋租」,甚至隨時可能被收回。這意味著,少數個人與企業掌握著 21 世紀某一重要技術領域的核心資源,進而限制了其他主體從中獲取經濟利益的可能性。
另一方面,若這類個人健康數據缺乏安全保障,黑客一旦入侵,便可能利用健康問題敲詐勒索、通過優化保險與醫療產品定價榨取利益;若數據中包含位置信息,黑客甚至能據此蹲點實施綁架。反之,你的位置數據(頻繁遭遇黑客攻擊)也可能被用於推斷你的健康狀況。而若腦機接口被黑客入侵,意味著惡意攻擊者能直接「讀取」(甚至更糟——「篡改」)你的思維。這已不再是科幻場景:有研究顯示,腦機接口遭黑客攻擊後,可能導致使用者喪失運動控制能力(相關攻擊案例可參考此處)。
總而言之,這些技術雖能帶來巨大益處,但也伴隨著顯著風險——而大力強調「開放性」與「可驗證性」,正是緩解這些風險的有效途徑。
個人與商業數字技術領域中開放性與可驗證性的重要性
本月初,我需要填寫並簽署一份具有法律效力的文件,但當時我身處國外。儘管該國設有全國性電子簽名系統,但我並未提前完成註冊。最終,我不得不打印文件、手寫簽名,再前往附近的 DHL(敦豪快遞)網點,花大量時間填寫紙質快遞單,最後支付費用將文件跨國加急寄出。整個過程耗時半小時,花費 119 美元。而就在同一天,我還需要在以太坊區塊鏈上籤署一筆數字交易——整個過程僅用了 5 秒,成本僅 0.1 美元(公平地說,即便不依賴區塊鏈,數字簽名也可完全免費)。
這類案例在企業或非營利組織治理、知識產權管理等場景中十分常見。過去十年間,絕大多數區塊鏈初創企業的商業計劃書裡,都能看到類似的「效率對比」案例。除此之外,「通過數字方式行使個人權限」最核心的應用場景,便是支付與金融領域。
當然,這一切都伴隨著一個重大風險:若軟件或硬件遭遇黑客攻擊,該怎麼辦?加密貨幣領域很早就意識到了這一風險——區塊鏈具有「無需許可」與「去中心化」的特性,一旦你丟失資金訪問權限,便沒有任何「救星」可求助,即「沒有私鑰,就沒有資產所有權」。正因如此,加密貨幣領域早早開始探索「多籤錢包」「社交恢復錢包」與「硬件錢包」等解決方案。然而在現實中,許多場景下「缺乏可信第三方」並非出於意識形態選擇,而是場景本身的固有屬性。事實上,即便是在傳統金融領域,「可信第三方」也難以保護大多數人——例如,僅有 4% 的詐騙受害者能追回損失。而在涉及「個人數據託管」的場景中,數據一旦洩露,從原則上講便無法「撤回」。因此,我們需要真正的可驗證性與安全性——既包括軟件,最終也包括硬件。
一種用於檢測計算機芯片製造是否合規的技術方案
重要的是,在硬件領域,我們試圖防範的風險遠不止「製造商是否惡意」這一點。更核心的問題在於:硬件研發依賴大量外部組件,且多數組件為閉源模式,只要其中任一組件存在疏漏,就可能導致無法接受的安全後果。有論文顯示,即便軟件在獨立模型中被證明「安全無虞」,微架構的選擇也可能破壞其側信道抗性。像 EUCLEAK(一種攻擊方式)這類安全漏洞,正因其依賴的組件多為專有技術,才更難被發現。此外,若人工智能模型在受損硬件上訓練,訓練過程中可能被植入後門。
另一個問題在於:即便封閉的集中式系統本身安全無虞,也會帶來其他弊端。集中化會在個人、企業或國家之間形成「持續的權力槓桿」——若你的核心基礎設施由某一「潛在不可信國家」的「潛在不可信企業」搭建與維護,你便容易面臨外部施壓(例如,可參考 Henry Farrell 關於「武器化相互依賴」的研究)。這正是加密貨幣旨在解決的問題——但這類問題的存在範圍,遠不止金融領域。
數字公民技術領域中開放性與可驗證性的重要性
我經常與各行各業的人交流,他們都在探索更適合 21 世紀不同場景的政府治理模式。例如,Audrey Tang 正致力於將已有的功能性政治體系升級,通過賦能本地開源社區、採用「公民議會」「抽籤代表制」「二次投票」等機制提升治理水平;另一些人則從「底層設計」入手——部分俄羅斯裔政治學家為俄羅斯起草了一份新憲法,其中明確保障個人自由與地方自治、強調「傾向和平、反對侵略」的制度設計,並賦予直接民主前所未有的重要地位;還有一些學者(如研究土地價值稅或擁堵收費的經濟學家),則在努力改善本國經濟狀況。
不同人對這些理念的接受度可能不同,但它們有一個共同點:均需要「高帶寬參與」,因此任何切實可行的實施方案都必須是數字化的。紙筆記錄或許能滿足「簡單產權登記」或「四年一次選舉」的需求,但對於需要更高參與頻率與信息傳輸效率的場景,完全無能為力。
然而,歷史上,安全研究學者對「電子投票」這類數字公民技術的態度,從懷疑到反對不等。有研究很好地總結了反對電子投票的核心理由,其中提到:
「首先,電子投票技術依賴『黑箱軟件』——公眾無法訪問控制投票機的軟件代碼。儘管企業聲稱『保護軟件是為了防範舞弊、對抗競爭』,但這也導致公眾完全無法瞭解投票軟件的運作邏輯。企業若想操縱軟件、製造虛假選舉結果,並非難事。此外,投票機供應商之間存在競爭關係,無法保證他們會從『選民利益』與『選票準確性』出發生產設備。」
大量現實案例證明,這種懷疑並非沒有道理。
2014 年對愛沙尼亞互聯網投票系統的批判性分析
這些反對理由,同樣適用於其他類似場景。但我預測,隨著技術發展,在越來越多領域中,「完全拒絕數字化」的態度將變得不再現實。技術正推動世界向更高效率發展(無論利弊),若某一體系拒絕順應這一趨勢,人們將逐漸繞過它開展活動,其在個人與集體事務中的影響力也會不斷減弱。因此,我們需要另一種方案:直面難題,探索如何讓複雜的技術解決方案具備「安全性」與「可驗證性」。
理論上,「安全可驗證」與「開源」是兩個不同概念。專有技術完全可能具備安全性——例如,飛機技術高度專有,但商業航空仍是安全性極高的出行方式。然而,專有模式無法實現的,是「安全共識」——即讓相互不信任的主體都能認可其安全性的能力。
選舉等公民系統,正是需要「安全共識」的典型場景。另一個場景是法庭證據收集。最近,美國馬薩諸塞州法院裁定,大量酒精測試儀證據無效——原因是州犯罪實驗室被發現隱瞞了測試儀存在普遍故障的信息。該判決文件中提到:
「難道所有測試結果都存在問題嗎?並非如此。事實上,多數案件中的酒精測試儀並未出現校準問題。但調查人員隨後發現,州犯罪實驗室隱瞞了『故障範圍比聲稱更廣泛』的證據,因此 Frank Gaziano 法官認為,所有相關被告的正當程序權利均受到了侵犯。」
法庭中的「正當程序」,本質上不僅要求「公平」與「準確」,更要求「公平與準確的共識」——若公眾無法確認法庭在「依法行事」,社會很可能陷入「私力救濟」的混亂局面。
此外,「開放性」本身也具有固有價值。開放性能讓本地群體根據自身目標,設計適配的治理、身份認證等系統。若投票系統為專有技術,某一國家(或省份、城市)若想嘗試新的投票模式,將面臨巨大障礙:要麼說服企業將其偏好的規則開發為「新功能」,要麼從零開始研發並完成安全驗證——這無疑大幅增加了政治體系創新的成本。
在這些領域中,採用「開源黑客倫理」(即鼓勵共享、協作與創新的理念),能賦予本地實施者更多自主權——無論他們是以個人身份、還是作為政府或企業的一員開展工作。要實現這一點,需滿足兩個條件:一是廣泛提供「便於構建的開源工具」,二是基礎設施與代碼庫需採用「免費授權」模式,允許他人在此基礎上二次開發。若目標是「縮小權力差距」,則「copyleft」模式尤為重要。
未來幾年,公民技術領域另一個重要方向是物理安全。過去二十年間,監控攝像頭遍佈各地,引發了諸多公民自由擔憂。但不幸的是,無人機 warfare 的興起,已讓「不採用高科技安全手段」不再是可行選項。即便某國法律不侵犯公民自由,若該國無法保護公民免受「其他國家(或惡意企業、個人)」的非法干預,所謂的「自由」也無從談起——而無人機讓這類攻擊變得更加容易。因此,我們需要相應的防禦措施,其中可能包括大量「反無人機系統」、傳感器與攝像頭。
若這些工具為專有技術,數據收集將既不透明又高度集中;若這些工具具備「開放性」與「可驗證性」,我們便能探索更優方案:安全設備僅在有限場景下輸出有限數據,並自動刪除其餘數據。如此一來,數字化物理安全的未來,將更像「數字看門狗」,而非「數字全景監獄」。我們可以構想這樣一個世界:公共監控設備必須開源且可驗證,任何公民都擁有「隨機選取公共監控設備、拆解並驗證其合規性」的法律權利;大學計算機社團甚至可以將這類驗證作為教學實踐活動。
開源且可驗證的實現路徑
我們無法避免數字計算機技術深度嵌入個人與集體生活的方方面面。若順其自然,未來的數字技術很可能呈現這樣的形態:由中心化企業開發運營,為少數人的盈利目標服務,被所在國政府植入後門,而全球多數人既無法參與技術創造,也無從判斷其安全性。但我們完全可以努力轉向一條更優的道路。
不妨構想這樣一個世界:
· 你擁有一臺安全的個人電子設備——它兼具手機的運算能力、加密硬件錢包的安全性,可檢查程度雖不及機械手錶,卻已十分接近。
· 你的所有即時通訊應用均已加密,消息傳播軌跡通過混網技術隱藏,且所有代碼都經過形式化驗證。
· 你完全可以確信,私人對話真正做到了私密無洩露。
· 你的財務資產是鏈上標準化的 ERC-20 代幣(或存儲於向區塊鏈發佈哈希值與驗證證明以確保準確性的服務器中),由個人電子設備控制的錢包管理。
· 若設備丟失,你可通過自主選擇的方式(比如結合你的其他設備、家人、朋友或機構的設備——不一定是政府機構:若操作足夠便捷,教堂等組織也可能提供此類服務)恢復資產訪問權限。
· 開源版 Starlink 級基礎設施已投入使用,確保全球通信穩定可靠,無需依賴少數運營主體。
· 你的設備搭載本地運行的開源權重大型語言模型(LLM),可實時掃描你的操作、提供建議、自動完成任務,並在你可能獲取錯誤信息或即將犯錯時發出預警。
· 設備的操作系統同樣開源,且經過形式化驗證。
· 你佩戴著 24 小時不間斷工作的個人健康追蹤設備,這類設備同樣具備開源性與可檢查性——你能隨時獲取自己的健康數據,且可確保未經你許可,任何人都無法獲取這些信息。
· 我們擁有更先進的治理模式:採用抽籤代表制、公民議會、二次投票等機制,通過巧妙結合的民主投票方式設定目標,並藉助特定方法篩選專家方案以確定目標的實現路徑。
· 作為參與者,你完全可以確信,系統正按照你理解的規則運行。公共場所配備用於追蹤生物變量的監測設備(如監測二氧化碳濃度、空氣質量指數、空氣傳播疾病存在情況、廢水指標等)。
· 但這類設備(以及所有監控攝像頭、防禦性無人機)均具備開源性與可驗證性,且有相應法律體系保障公眾可對其進行隨機檢查。
在這樣的世界裡,我們將擁有比當下更高的安全性、更多的自由,以及更平等的全球經濟參與機會。但要實現這一願景,還需在以下各類技術領域加大投入:
· 更先進的加密技術:我將零知識證明(ZK-SNARKs)、全同態加密、混淆技術稱為加密領域的「埃及神祇卡牌」——它們的強大之處在於,能在多方場景下對數據執行任意程序運算,在保證輸出結果可靠性的同時,確保數據與運算過程的私密性。這為開發更強大的隱私保護應用奠定了基礎。與加密技術相關的工具(如能確保數據不被篡改、用戶不被排斥的區塊鏈,以及通過向數據添加噪聲進一步保護隱私的差分隱私技術)也將在此發揮重要作用。
· 應用與用戶級安全:只有當應用程序的安全承諾能被用戶理解並驗證時,它才稱得上真正安全。這需要藉助軟件框架,降低高安全屬性應用的開發難度。更重要的是,瀏覽器、操作系統及其他中間件(如本地運行的監控型大型語言模型)需協同發力:驗證應用程序安全性、判定風險等級,並將這些信息清晰地呈現給用戶。
· 形式化驗證:我們可利用自動化證明方法,通過算法驗證程序是否滿足關鍵特性(如不洩露數據、防止未授權第三方修改)。Lean 語言近來已成為該領域的熱門工具。目前,這些技術已開始用於驗證以太坊虛擬機(EVM)的零知識證明算法,以及加密領域其他高價值、高風險用例,在更廣泛的領域也有類似應用。除此之外,我們還需在其他更基礎的安全實踐中取得進一步突破。
21 世紀初「網絡安全無法根治」的宿命論是錯誤的:漏洞(及後門)並非無法解決。我們「只需」學會將安全置於其他競爭目標之上。
· 開源且以安全為核心的操作系統:這類系統正不斷湧現,例如專注安全的安卓衍生系統 GrapheneOS、主打極簡安全的內核(如 Asterinas),以及華為的鴻蒙操作系統——鴻蒙擁有開源版本,且正採用形式化驗證技術。或許很多讀者會質疑:「既然是華為的系統,肯定有後門吧?」但這種觀點恰恰忽略了核心邏輯:無論產品由誰開發,只要具備開放性且任何人都能對其進行驗證,開發者身份就不應成為顧慮。這一案例充分說明,開放性與可驗證性能夠有效對抗全球技術分裂趨勢。
· 安全的開源硬件:若無法確保硬件真正運行指定軟件,且不會在後臺擅自洩露數據,那麼再安全的軟件也形同虛設。在這一領域,我重點關注兩個短期目標:
a. 個人安全電子設備:區塊鏈領域將其稱為「硬件錢包」,開源愛好者則稱之為「安全手機」——但只要理解了對「安全性」與「通用性」的雙重需求,就會發現這兩類設備的核心功能最終會趨於統一。
b. 公共場所物理基礎設施:包括智能鎖、前文提及的生物監測設備,以及各類物聯網技術。要讓公眾信任這類設施,開源與可驗證性是必不可少的前提。
· 用於構建開源硬件的安全開源工具鏈:如今,硬件設計依賴大量閉源組件。這不僅大幅推高硬件研發成本、增加開發權限門檻,還讓硬件驗證難以落地——若生成芯片設計的工具為閉源,開發者根本無法確定驗證標準。即便像掃描鏈這樣已有的技術,也常因關鍵配套工具閉源而無法實際應用。不過,這種現狀並非無法改變。
· 硬件驗證技術(如 IRIS 技術、X 射線掃描):我們需要通過掃描芯片,確認其邏輯與設計完全一致,且不存在可被惡意篡改、提取數據的額外組件。驗證可通過兩種方式實現:
a. 破壞性驗證:審計人員以普通終端用戶身份隨機採購含芯片的產品,拆解芯片後驗證其邏輯是否與設計匹配。
b. 非破壞性驗證:藉助 IRIS 或 X 射線掃描技術,理論上可對每一顆芯片進行檢測。
要實現「安全共識」,理想狀態是讓廣大群體都能掌握硬件驗證技術。目前,X 射線設備尚未普及,可通過兩方面改善:一方面優化驗證設備(及芯片的可驗證性設計),降低使用門檻;另一方面,用更簡易的驗證方式補充「全量驗證」——例如在智能手機上就能完成的 ID 標籤驗證、基於物理不可克隆功能生成密鑰的簽名驗證。這類方式可有效驗證「設備是否來自已知廠商批次,且該批次已通過第三方隨機抽樣詳細驗證」等關鍵信息。
· 開源、低成本的本地環境與生物監測設備:社區與個人應能自主監測環境與自身健康狀況,識別生物風險。這類設備形態多樣,包括 OpenWater 等個人醫療設備、空氣質量傳感器、Varro 等通用空氣傳播疾病傳感器,以及更大規模的環境監測設備。
技術全棧的每一層,都需要開放性與可驗證性。
從願景到落地:路徑與挑戰
與傳統技術發展願景相比,「全棧開源可驗證」的願景有一個關鍵不同——它更注重地方主權的保障、個人權利的賦能與自由的實現。在安全構建邏輯上,它不再追求「徹底清除全球所有威脅」,而是轉向「提升技術棧各層級系統的穩健性」;在「開放性」的定義上,它不止於「由中央規劃的 API 開放訪問」,而是延伸到「技術全棧的每一層都能被改進、優化與二次開發」;在「驗證」的屬性上,它不再是專有審計機構的專屬權力(這些機構甚至可能與技術廠商、政府存在利益勾結),而是成為公眾的基本權利,甚至是受社會鼓勵的實踐活動——任何人都能參與驗證,而非被動接受「安全承諾」。
這種願景更能適配 21 世紀全球格局碎片化的現實,但落地的時間窗口十分緊迫。當前,集中式安全方案正以驚人的速度推進,其核心邏輯是「增加集中化數據收集節點、預設後門,同時將驗證簡化為單一標準——『是否來自可信開發者或製造商』」。事實上,數十年來,用集中式方案替代「真正開放訪問」的嘗試從未停止:從早期 Facebook 推出的「互聯網計劃」(internet.org),到如今更復雜的技術壟斷模式,每一次嘗試都比前一次更具迷惑性。因此,我們面臨雙重任務:一方面要加速開源可驗證技術的研發與落地,與集中式方案形成競爭;另一方面要向公眾與機構清晰傳遞理念——「更安全、更公平的技術方案並非空想,而是切實可行」。
若能實現這一願景,我們將迎來一個可被稱為「復古未來主義」的世界:一方面,我們能享受前沿技術的紅利——通過更強大的工具改善健康、用更高效穩健的方式組織社會、抵禦新舊威脅(如流行病、無人機攻擊);另一方面,我們能重拾 1900 年代技術生態的核心特質——基礎設施不再是「普通人無法觸碰的黑箱」,而是可被拆解、驗證、改造以適配自身需求的工具;任何人都能突破「消費者」或「應用開發者」的身份侷限,在技術全棧的任意一層參與創新(無論是優化芯片設計,還是改進操作系統安全邏輯);更重要的是,人們能真正信任技術——確信設備的實際功能與宣傳一致,不會在後臺竊取數據或執行未授權操作。
實現「全棧開源可驗證」並非無成本——軟硬件的性能優化往往以「降低可理解性、增加系統脆弱性」為代價,而開源模式也與多數傳統商業盈利邏輯存在衝突。儘管這些問題的影響被過度誇大,但公眾與市場對「開源可驗證」的認知轉變需要時間,無法一蹴而就。因此,我們需要明確一個務實的短期目標:優先為「高安全需求、非性能關鍵型應用」構建全棧開源可驗證技術體系,涵蓋消費級與機構級場景、遠程與本地場景,以及軟硬件與生物監測領域。
這一選擇的合理性在於:多數對「安全性」有極高要求的場景(如健康數據存儲、選舉投票系統、金融密鑰管理),對「性能」的需求其實並不苛刻;即便部分場景需要一定性能,也可通過「高性能不可信組件 + 低性能可信組件」的組合策略實現平衡——例如,用高性能芯片處理普通數據,用經過開源驗證的安全芯片處理敏感信息,最終在保障安全的同時滿足效率需求。
我們不必追求「為所有領域實現極致的安全與開放」——這既不現實,也無必要。但我們必須確保:在那些直接關係個人權利、社會公平與公共安全的核心領域(如醫療健康、民主參與、金融安全),「開源可驗證」成為技術標配,讓每一個人都能享受安全、可信的數字服務。
特別感謝 Ahmed Ghappour、bunnie、Daniel Genkin、Graham Liu、Michael Gao、mlsudo、Tim Ansell、Quintus Kilbourn、Tina Zhen、Balvi 志願者以及 GrapheneOS 開發人員提供的反饋和參與的討論。
