Zypher Research: zkPrompt - Trustless AI 的安全交互协议

在 zkPrompt 协议中，系统交互涉及四个参与方：用户（User）、证明者（Prover）、代理节点（Proxy）和大语言模型（LLM）服务提供方。

协议背景与对比

zkPrompt 的核心理念类似于 zkTLS [1]，后者将零知识证明整合进 TLS 通信流程中，以确保数据完整性与真实性。在 zkPrompt 系统中，用户通过 Prover 向 LLM 发起请求，Prover 再通过第三方 Proxy 将请求转发至 LLM 服务提供方。

LLM 处理请求并通过 Proxy 将响应返回给 Prover，后者再将其传回用户。整个 TLS 通信只发生在 Prover、Proxy 与 LLM 服务商之间。由于用户不直接参与这段通信，可能会担心 Prover 篡改响应内容。为解决这一信任问题，zkPrompt 要求 Prover 生成零知识证明，证明其返回的响应确实由 LLM 生成，且未被篡改，从而实现高度防篡改的安全性。

该协议的实施可显著增强 AI Agent 的可信度与安全性，释放高价值应用场景，例如链上资产管理、对冲策略、金融 AI 助理、支付系统等，这些均依赖极高可信度的 AI 系统。

设计优势

相较于现有的 ZKML 框架如 Ezkl [2]，zkPrompt 显著降低了系统开销。例如，为一个简单的 GPT-2 模型生成 Zk 证明，在 Ezkl 中可能需要数小时，这在面对 OpenAI 或 DeepSeek 等大型模型服务时几乎无法实际部署。

我们提出了一个更为务实的信任模型：系统并不要求用户验证 LLM 的内部执行过程，而是假设大型 LLM 服务商是可信的，并重点确保 Prover 不得篡改输出。这种设计反映了现实需求——主流 LLM 服务商因其声誉和广泛用户基础具有天然的可信性，而 Prover 节点通常对用户不可见，更可能成为攻击点，因此必须重点约束。

信任与安全模型

我们假设 Proxy 与 Prover 之间不存在串通行为。为进一步强化该假设，建议在真实部署中将 Proxy 去中心化，以避免单点信任或故障。

为简化初期实现，我们暂时假设用户的 Prompt 和最终响应以明文形式上链（隐私保护方法将在后续部分说明）。

技术挑战与核心解决方案

主要技术挑战在于 Prover 可以伪造密文。即使用户看到某个密文，也无法判断它是否确实通过 TLS 会话从 LLM 获取，或只是 Prover 本地伪造并加密的。

为解决此问题，我们引入 Proxy 签名机制：当 Proxy 从 LLM 接收到加密响应后，会对密文进行签名，并将密文与签名一并上传链上。随后，Prover 提供零知识证明，证明以下声明成立：

解密该密文所得的明文，正是由 LLM 返回的响应。

该证明的核心在于验证对称解密过程的正确性，可以利用 Dubhe [3] 等现有成果高效实现。

验证流程

由于 LLM 的响应通常包含用户的 Prompt，验证者（如矿工）仅需完成以下检查：

1. 验证 Proxy 对密文的签名是否有效；
2. 检查解密后的明文是否包含用户原始 Prompt；
3. 验证 Prover 提供的零知识证明。

完成上述步骤后，矿工即可确认 Prover 诚实地返回了来自 LLM 的真实响应。

隐私保护设计

若用户希望隐藏 Prompt 和响应内容，可采用如下方案：

在发送 Prompt 并收到响应后，用户将其哈希值上传链上，而非明文。设：

• H1 = Hash(Prompt)
• H2 = Hash(Response)

假设响应中的子串 [I:J] 恰好对应 Prompt。

此时，由 Proxy 将响应的密文上传链上，Prover 使用响应明文 Www 作为 Witness，生成如下 Zk 证明：

• Hash(W) = H2
• Hash(W[I:J]) = H1
• Decrypt(Ciphertext) = W

验证者只需确认 Proxy 签名的密文有效，并验证 Prover 提供的 Zk 证明，即可确信响应确实来源于 LLM，且未被篡改——无需透露任何明文内容。

作者简介：

Felix
Zypher Network 首席研究科学家

Felix 是 Zypher Network 人工智能核心团队的研究员，专注于下一代多模态大模型与可信 AI 系统。他目前主要致力于基于零知识证明（ZK）的模型压缩方法，以提升去中心化环境中 AI Agent 的泛化能力与安全性。

在加入 Zypher 之前，Felix 曾在微软亚洲研究院和加州大学伯克利分校参与多个前沿 AI 项目的研究和实习，积累了丰富的科研经验。他的研究成果已发表在 NeurIPS、S&P、CCS、Usenix Security 和 NDSS 等人工智能与网络安全顶级会议上。

Felix 目前是新加坡国立大学的博士候选人，其研究方向涵盖高效模型推理优化、去中心化 AI 架构、模型鲁棒性以及密码学。凭借 AI 与区块链交叉领域的坚实背景，他致力于在 Zypher 推动 AI 与 ZK 技术的创新融合，助力构建可信、一体化且安全的去中心化 AI 生态系统。

参考文献：

[1] zkTLS 详细介绍：
 Https://Www.Blocmates.Com/Articles/What-Is-Zktls-A-Complete-Guide

[2] Ezkl 项目主页：
 Https://Github.Com/Zkonduit/Ezkl

[3] Dubhe: 针对标准 AES 的简洁零知识证明及其相关应用：
 Https://Homes.Luddy.Indiana.Edu/yh33/Mypub/Dubhe.Pdf