在 AI 和 Web3 快速融合的今天,数据隐私成为所有技术叙事中最具张力的议题之一。我们开始依赖智能体代我们决策,却无法确定这些 AI 是否安全地守护着我们的数据;我们向往开放金融与去中心化治理,却又担忧所有行为都暴露在 “透明” 之下,可以说,如果区块链的 “公开透明” 暴露了你每一笔资产转移、每一个投票选择,它还能称作 “去中心化自由” 吗?那么,是否存在一种机制,能在不泄露数据的前提下释放其价值?是否能构建一种新范式,让 AI 在看不见数据的状态下完成任务?

笔者观察到,当下大多数所谓 AI+Crypto 项目都仅停留在表层改造,如去中心化算力、AI 数据市场,鲜有项目能从计算本身出发,探索隐私保护、推理效率与多方协同的深度融合。而 Nillion 不仅首次提出了 “盲计算” 这一概念,更通过多层架构将 MPC、TEE、FHE、ZK 等密码技术进行底层统一,为 AI、DeFi、DAO 等场景搭建了一套可执行、可扩展、可验证的隐私计算网络。

本文将带你从技术穿透到生态,系统梳理 Nillion 如何从网络架构、技术背景到实际产品层面,打造了一个为智能体而生的隐私基础设施。可以说,它不是另一个概念炒作的叙事,而是有望成为让 Web3 成为隐私原生互联网底座的技术范式革新。

作者:Jesse,Web3Caff Research 研究员

封面:Logo and background photo by Nillion,Typography by Web3Caff Research

字数:全文共计 18700+ 字

目录

  • 背景:为什么我们关注隐私赛道
    • 加密技术的概念
      • TEE
      • MPC
      • ZK
      • FHE
    • 加密技术与盲计算
  • Nillion 和它的技术图景
    • Nillion 是什么
    • Nillion 的技术架构
    • Nillion 网络的操作流程
      • Nillion 的孤立盲模块
    • Nillion 衍生的产品
      • nilDB
      • nilAI
      • nilVM
      • Nada 语言编译器
    • 从论文看 Nillion 的技术创新
    • Technical Report on Decentralized Multifactor Authentication – 身份认证的优化
    • Technical Report on Threshold ECDSA in the Preprocessing Setup – 签名安全的优化
    • More efficient comparison protocols for MPC – 提升多方安全计算效率
    • Technical Report on Secure Truncation with Applications to LLM Quantization – 大语言模型的部署优化
    • Ripple: Accelerating Programmable Bootstraps for FHE with Wavelet Approximations – 优化 FHE 计算速度
    • Curl: Private LLMs through Wavelet-Encoded Look-Up Tables – 加速 LLM 计算
    • Wave Hello to Privacy: Efficient Mixed-Mode MPC using Wavelet Transforms – 优化 AI 数据查找
  • Nillion 生态发展
    • 应用场景
    • 生态系统
      • AI 应用
      • 公链集成
  • Nillion 的同赛道产品
    • Zama – FHE 解决方案
    • Pluto – 面向数据可验证性的加密传输协议
    • Primus – 面向数据可验证性的加密传输协议
  • Nillion 的潜在风险点
  • 结论和对隐私技术的展望
  • 要点结构图
  • 参考文献

背景:为什么我们关注隐私赛道

Web3 靠去中心化和透明性点走到今天,但是完全的公开透明无论是对用户还是产品都是不现实的,这催生了隐私需求。换句话说,去中心化意味着失去了可信实体背书,加密技术因而成为绝对中立、不可篡改的 “核心技术中介”。

隐私在 Web3 中非常重要:在 Web3 中,隐私是用户基本权利的延伸,也是实现真正去中心化主权的前提。传统互联网中,数据由中心化主体接管,用户贡献信息却无法掌握流向,而 Web3 的理念是赋予用户对资产和数据的完全掌控和知情权,让每个用户都可以在无需信任的环境下合作,而在这种架构下,如果缺乏隐私保护机制,那么就无从谈起 “数据主权”,一切链上的行为都是对用户行为的公开窥视。

隐私不仅是权利也是需求,以传统金融为例,2019 年 4 月的暗池交易已经占据了约 40% 的股票成交量,同时,Brave 隐私浏览器在熊市中依然稳步增长,2023 年 11 月的月活跃用户(MAU)达到了 6600 万且目前一直持续稳步增长。Web3 一方面以 “公开透明” 的叙事作为信任基石,一方面也在持续发展去中心化应用,来构建强有力的隐私保护体系以支撑用户在高风险场景下的广泛使用。

隐私可以让区块链从 0-1,但是不会让其从 1-100:自以太坊诞生以来,它一直在数据完整性和保密性之间做出权衡,并最终偏好数据完整性。这导致虽然用户可以信任以太坊在记录财务账目时的诚实性,但当涉及敏感信息时,用户就无法保持同等信任。“公开透明” 是以以太坊为首的区块链成功的最大原因,但此刻却是它们持续发展的双刃剑。

如在扑克游戏中,虽然大家都知道以太坊不会作弊,但如果它不能隐藏玩家的手牌,那游戏根本没法进行。要保证 Web3 的可持续发展,需要确保它不仅能做到现有互联网能做到的事,还要保证它能比互联网做得更好。

“透明性” 产生的一系列问题:

技术套利和攻击:如最大可提取价值(MEV)问题。现有的主流区块链作为公共账本,所有交易信息都公开,这为矿工提供了套利的机会:

  • 矿工选择性打包交易:矿工可以根据交易费用选择性地打包交易,这让费用较低的交易处理速度变慢,用户不得不提高 Gas 费用;
  • 抢跑和审查攻击:矿工或区块生产者可以通过监控公开账本进行抢跑和审查攻击。比如可以在散户买单成交前,抢先添加自己的买单,获取不正当的收益。

用户缺失数据所有权:在现有的区块链系统中,缺乏隐私支持意味着用户失去了对自己数据的控制权。公开的账本让用户的资产和交易信息容易被第三方监控,这与 Web3 去中心化、自主掌控数据的理念背道而驰。

“链上窥探” 与 “复制猫” 现象:对于 Web3 项目来说,创新往往是在公开环境中进行的,这意味着用户的一举一动都可能被其他人盯上并复制。这就是所谓的 “链上窥探” 现象,导致了许多 “复制猫” 项目的出现——盯着每一笔交易、每一个合约,然后迅速复制。如果缺乏隐私保护,某些创新可能在尚未得到市场认可前就被复制,失去了原本应有的优势。

要真正实现 Web3 的去中心化和数据主权,隐私技术不可或缺。随着共识机制的优化和扩展问题的解决,隐私技术和其协议集成成为下一个热点。目前有四大隐私技术路线:

  1. TEE(Trusted Execution Environment)方案:比如 Secret Network 和 Oasis Network,已经上线但仍在探索中;
  2. MPC(多方安全计算)方案:如多签钱包。和 ZK 一样,是 Web3 中最被广泛应用的隐私技术;
  3. ZK(零知识证明)方案:ZK 作为近年来最受关注的隐私技术之一,通过以太坊的 zk-Rollup 应用逐步走入主流视野,并不断演化出更通用的方案,如支持智能合约执行的 zkVM,为 Web3 提供了强隐私、可验证的计算形式;
  4. FHE(全同态加密)方案:近期进入市场视野的全同态加密技术,正在成为 Web3 隐私保护的新趋势。

加密技术的概念

当前 Web3 常用的加密技术主要有 TEE、MPC、FHE 和 ZK 等。

TEE

TEE 是可信执行环境,在硬件中划分一块专门用于加密的隔离区域用于计算敏感数据,而外部区域无法窥探到其中的内容,同时由于数据在硬件中是以明文形式存在并计算的,因此速度相比加密后的计算要更加快。但它是硬件层的安全保障,更加依赖于硬件厂商而非算法,此种信任模式更偏中心化,相对于区块链现在的链上方向来说,不如 ZK 和 FHE 适合度高,因为链上验证仅需区块链的历史数据就可以完成。

MPC

MPC 多方安全计算是一种保护隐私的多方计算技术。原理是让用户在不泄漏敏感信息的前提下,能一起计算某项任务,比如每个用户可以得到另外几方的计算结果,由此推出需要的答案,但是每个参与计算的用户都无法知晓每个人具体的数额。由于需要每方都同时在线且交互频繁,因此不适合异步场景,更多是用作分散的密钥管理。MPC 钱包是将密钥打碎,存储在不同的节点/设备中,当签名时,需要多方参与共同计算来签名,实现风险的分散。

ZK

零知识证明是指用户在不透露自己数据的情况下证明自己进行了计算,非常适合证明某些事务的正确性。比如经典的红绿色球案例,一个红绿色盲的朋友有红色和绿色的球,他知道手中是红球还是绿球但是看不到每个球的颜色,我要向他证明我能看到颜色,他就会把球背在身后反复调换位置再拿到前面让我辨认,我辨认正确的次数越多,越能证明我能识别出红色和绿色。

零知识证明(ZKP)最早出现在 1985 年 Shafi Goldwasser、Silvio Micali 和 Charles Rackoff 撰写的论文《交互式证明系统的知识复杂性》中提出。ZKP 最初仅为理论概念,直到 2012 年出现 zk-SNARKs 才迎来重大发展。zk-SNARKs 是一种 ZKP,可以在几乎不泄露任何信息的情况下验证任何计算的真实性 [1]。

零知识证明多用于证明计算,证明过程是正确执行,经常被 Layer 2 用作数据压缩的方式,但是若是多个用户的数据或者是隐私计算,这部分则是 FHE 更加适合,因为 FHE 允许用户在加密的数据上进行计算。

FHE

FHE 是允许直接对加密数据执行计算,从而在整个过程中保持其机密性的加密方法。从本质上来说,FHE 在存储和计算过程中都保持数据加密,将加密视为一个安全的 “黑盒”,只有密钥所有者才能解密输出结果。打个比方,给 A 数据套一个黑盒子(加密)并交由别人处理,接收黑盒子的人在计算时无需取出黑盒子就可以直接对黑盒子中的数据(已被加密)进行计算,计算过程中也不会泄漏任何关于 A 数据的内容,这样就彻底完成了对数据的隐私计算。

例如,在 AMM(去中心化做市商)的场景中,用户希望在链上使用 Token A 兑换 Token B,为此他们需要知道当前池中两种 Token 的余额。然而,如果这个 “去中心化做市商” 的账户余额被公开,其他人就能观察所有用户的交易行为,引发如 MEV 抢跑等问题。

此时如果采用零知识证明(ZK)隐藏账户状态,那用户将很难生成交易的有效证明,因为 ZK 要求证明者必须知道用于验证的状态信息,但最终生成的证明要让验证者能验证正确性的同时不知道原始状态内容(即 “证明者知道,但证明者不告诉验证者”),而如果证明者自己都不知道账户状态,那交易的有效 ZK 证明就无从谈起了。

而 FHE 则能提供一个更加出色的解决方案:用户根本不需要看到 “池子” 中的数据,就能在加密的状态下完成所有交易逻辑,包括读取池子余额、计算滑点、更新状态等,这种感觉就像你想玩一个迷宫玩具,但是为了让你在看不到迷宫的情况下走出它,会在这个迷宫玩具上盖一个同样大小、和迷宫的结构联通的华容道,你解决了华容道的难题,就能走出迷宫。这样既能完成验证,也能保护隐私,已达到传统加密方案难以实现的效果。

“同态”(Homomorphic)是指能够在不解密的情况下,直接对加密数据进行计算的能力。这意味着即使数据被加密也仍然可以对它进行操作,如当计算 1+2 时,很容易得出结果 3,但当加密后,Encrypt(1)+Encrypt(2)仍然能得出 Encrypt(3),这才是其最大意义,即密文计算 = 加密后的明文计算。

部分同态加密(Partially Homomorphic Encryption, PHE):只允许在密文上做一种特定的操作,比如只能加法或者只能乘法。这种方式较为早期,也最简单。其安全性依赖于离散对数问题的难度,这意味着从公钥推测私钥是计算上不可行的。

加法同态加密,如 ElGamal 加密算法:利用了群论中的循环群和生成元的概念,通过在加密和解密过程中进行幂运算,实现了加法同态特性。可以想象为一种特殊的数学空间,它让加法操作在加密后依然成立;

乘法同态加密,如 RSA 加密算法:其安全性基于 “大数因式分解” 难题,可以想象如果你只知道两个非常大的数的乘积时,是很难反推出原始的两个数的;

全同态加密(Fully Homomorphic Encryption, FHE):是最强大的同态加密形式。它允许在密文上进行任意多次的加法和乘法运算,没有次数和复杂度的限制,且结果始终可以正确解密。

核心属性:全同态加密系统必须具备以下三个关键属性:

  1. 正确性(Correctness):系统会保证无论密文如何计算,解密后的结果必须和明文计算保持一致;
  2. 语义安全性(Semantic Security):系统会保证加密后的密文不能泄露任何关于原始明文的信息。攻击者即使拿到密文和公钥,也无法推测出任何关于明文的线索;
  3. 简短性(Compactness):系统会保证无论做多少次计算,密文的体积不能无限膨胀。否则不仅难以传输、存储,最终解密也会变得极其困难(注:此处限制密文大小是因为,若没有大小的限制的话,那么反复叠加多次之后,得到的密文大小将会越来越大,加密本身就无意义。这就好比你是一位投资者,希望某个金融分析公司在不查看你真实资产数据的情况下,帮助你优化投资组合。你把数据加密发出,金融分析公司在盲盒中计算并将结果返回给你。而如果分析公司每次加密计算都让数据包裹大一圈,那么最后退还给你的结论密文将非常大,你收到这个 “超级大包裹”,还需要自己解密,甚至要重新跑一遍所有计算逻辑,这样就让解密过程失去了实际意义)。

FHE 的用例相较于 ZK 和 MPC 来说更加灵活,因为相对于对结果直接进行计算,隐私的计算过程更能适配多样化的问题场景。

  • 如私密交易,原有的使用 ZK 做的暗池(Dark Pool)产品(暗池是不会公开订单簿的交易系统,避免大额交易被市场提前发现、引发价格波动)常通过零知识证明隐藏交易者的身份和金额,只公开成交信息,但这类机制在执行前仍需构造证明,交互复杂度高。而使用 FHE,用户可以在不暴露任何数据的前提下完成整个交易逻辑(如资产交换、滑点计算);
  • 或与 AI 相关的应用,让 AI 模型在加密数据上进行训练,则能保护用户的隐私数据;
  • 想象力更丰富的场景还有 MEV 优化(让用户的订单被私密计算,避免抢跑)、隐私智能合约(智能合约行动的模糊化)和 DAO 治理(模糊投票来避免盲从,增加公平性)。

加密技术与盲计算

用一个表格来总结上述加密技术:

隐私技术逻辑总结优势劣势适用场景
MPC多方参与计算结果,但是个体间彼此数据未知在保护输入方的数据的同时,让结果可以多方共享通信问题,参与方越多整体架构越复杂多签钱包等多方安全计算,还有联邦学习
TEE在计算硬件上划出一片安全区域进行计算,区域外的硬件不可阅读安全区内的数据数据在硬件中明文计算,速度更快相对中心化(相信硬件厂商),相对不适配链上演化区块链节点和 AI 推理等场景
ZK证明某个结论是真的,不揭示其他信息。突出结果的验证交易结果的隐私保护,适合点对点计算较复杂,有一定开销layer 2 向 layer 1 传递计算结果,可以压缩上传的数据大小
FHE在加密后的数据上进行计算。突出过程的计算灵活性和可拓展性更高,加密层次更大,潜在应用范围广计算非常慢(比明文计算慢 1 万倍至 10 万倍),开销大想知道某位用户的交易总额而不透露每笔交易的数额,就可以使用 FHE 加法运算
隐私技术总结,图源:Web3Caff Research 研究员 Jesse 自制

基于此,Nillion 引入了盲计算(Blind Compute, NBC)的概念。盲计算在传统密码学研究中主要围绕量子计算,如 Blind Quantum Computation 等概念展开研究。在 Web3 中,它融合了上文提到的盲签名、零知识证明(ZK)、多方安全计算(MPC)、全同态加密(FHE)等密码技术,使用户能够在无需暴露输入数据的前提下完成有用计算。传统的 “解密 – 加密 – 再解密” 路径易于将路径暴露给执行计算的基础设施,而盲计算允许在整个计算中让数据处于加密状态,真正实现了在加密状态下的计算,即 “数据不动,价值流动,隐私不露” 的理想加密计算。[2]

Nillion 和它的技术图景

Nillion 推出了首个去中心化盲计算网络和配套设施,概括来说就是 “实现在加密状态下的信息计算”。通过两层架构,来保护 Web3 网络的隐私安全。

Nillion 是什么

随着 AI 的技术演进,越来越多的数据被喂给中心化的实体,从而带来了用户和其他实体对于数据主权和安全的顾虑,同时,细分场景的 AI Agent 的应用越来越多,某些场景可能涉及用户的个人隐私,因此,去中心化的私人数据将成为未来最大产业的支柱,因此,Nillion 推出了自己的首个去中心化盲计算网络,它拥有自己一套配套的基础设置,通过这些工具共同帮助构建者构建能够安全利用高价值数据的强大应用程序。Nillion 社区的早期构建者正在为私人预测 AI、医疗保健的安全存储和计算解决方案、凭证等安全数据的存储解决方案以及交易数据的安全工作流程创建工具。[2]

在融资方面,Nillion 在 24 年 10 月完成了由 Hack VC 领投的 2500 万美元融资,投资方为 HashKey Capital、Animoca Brands 等,同时还有 Arbitrum、Worldcoin 和 Sei 等项目的天使投资者。事实上,早在 2022 年,Nillion 已完成 2000 万美元融资,当时领投方为 Distributed Global。这两轮融资使 Nillion 累计融资金额达 4500 万美元,为项目发展提供了充足的养料。

解锁剩余隐藏硬核内容,即刻订阅 PRO 会员(24h 无理由退款)

盲计算网络 Nillion 1.8 万字研报:隐私执行引擎能否引爆 AI 时代的 Web3 新叙事?全景式拆解其发展背景、技术原理、生态格局、竞争态势和风险挑战-Web3Caff Research 盲计算网络 Nillion 1.8 万字研报:隐私执行引擎能否引爆 AI 时代的 Web3 新叙事?全景式拆解其发展背景、技术原理、生态格局、竞争态势和风险挑战-Web3Caff Research