a16z 深度长文：如何正确理解量子计算对区块链的威胁

互联网阅读 14 2026-01-27 15:20:04

原文：《Quantum computing and blockchains: Matching urgency to actual threats》

编译：Ken, Chaincatcher

实现密码学相关量子计算机的时间表常被夸大——这导致人们呼吁紧急、全面地过渡到后量子密码学。

但这些呼吁往往忽视了过早迁移的成本和风险，并忽视了不同密码学原语之间截然不同的风险特征：

尽管后量子加密价格高昂，但需要立即部署：“ 先采集后解密 ”（HNDL）的攻击已经开始。因为即使量子计算机问世还需要几十年，今天被加密的敏感数据在未来仍然具有价值。后量子加密的性能开销和实施风险确实存在，但对于需要长期保密的数据而言，面对 HNDL 攻击我们别无选择。
后量子签名面临着不同的考量。它们不易受到 HNDL 攻击，但其成本和风险（更大的尺寸、性能开销、实现不成熟和漏洞）要求我们采取深思熟虑而非立即迁移的策略。

这些区别至关重要。误解会扭曲成本效益分析，导致团队忽视更突出的安全风险。

后量子密码学的真正挑战，在于将紧迫性与实际威胁相匹配。下文将澄清关于量子威胁对密码学（涵盖加密、签名和零知识证明）的常见误解，并特别关注这些威胁对区块链的影响。

时间进展

尽管一些知名人士声称在 2020 年代可能会出现具有密码学意义的量子计算机，但这种说法极不现实。

我所说的“具有密码学意义的量子计算机”，是指一台容错、纠错的量子计算机，其规模足以在合理的时间范围内运行肖尔算法来攻击椭圆曲线密码学或 RSA（例如，最多用一个月的持续计算就能破解 secp256k1 或 RSA-2048）。

根据对公开里程碑和资源估算的合理解读，我们距离制造出具有密码学意义的量子计算机还遥遥无期。一些公司声称 CRQC 很可能在 2030 年之前或 2035 年之前问世，但公开的进展并不支持这些说法。

作为背景，在所有现有的架构中——囚禁离子、超导量子比特和中性原子系统——目前没有任何一个量子计算平台能够接近在 RSA-2048 或 secp256k1 上运行肖尔算法所需的数十万到数百万个物理量子比特（具体取决于错误率和纠错方案）。

限制因素不仅是量子比特的数量，还包括门保真度、量子比特连接性，以及运行深度量子算法所需的持续纠错电路深度。虽然有些系统目前的物理量子比特数量已超过 1,000 个，但仅看原始量子比特数量是有误导性的：这些系统缺乏进行密码学相关计算所需的量子比特连接性和门保真度。

近期的系统已接近量子纠错开始发挥作用的物理误差率，但没有人展示出超过少数几个能够维持纠错电路深度的逻辑量子比特……更不用说运行肖尔算法实际需要的数千个高保真、深电路、容错的逻辑量子比特了。证明量子纠错原理可行与实现密码分析所需的规模之间，仍然存在巨大的鸿沟。

简而言之：除非量子比特数量和保真度都提高几个数量级，否则具有密码学意义的量子计算机仍然遥不可及。

然而，企业新闻稿和媒体报道很容易让人感到困惑。一些常见的误解和混淆来源包括：

有些演示声称具有“量子优势”，但针对的是人为设计的任务。选择这些任务并非因为其实际用途，而是因为它们可以在现有硬件上运行，同时表面上展现出巨大的量子加速效果——这一事实往往在公告中被掩盖。
有些公司声称拥有数以千计的物理量子比特。但这通常指的是量子退火机，而不是运行肖尔算法攻击公钥密码所需的门模型机器。
有些公司滥用“逻辑量子比特”这个术语。物理量子比特是有噪声的。如上所述，量子算法（如肖尔算法）需要数千个逻辑量子比特。利用量子纠错技术，可以用许多物理量子比特（通常是数百到数千个，具体取决于错误率）来实现一个逻辑量子比特。但有些公司将该术语延伸到了无法辨认的地步。例如，最近一份公告声称使用距离 2 的码实现了48个逻辑量子比特，每个逻辑量子比特只有两个物理量子比特。这简直荒谬：距离为 2 的代码只能检测错误，而不能纠正错误。真正用于密码分析的容错逻辑量子比特需要数百到数千个物理量子比特，而不是两个。

更广泛地说，许多量子计算路线图使用“逻辑量子比特”一词来指代仅支持克利福德运算的量子比特。这些操作可以被经典计算机高效模拟，因此不足以运行肖尔算法，后者需要数千个纠错的 T 门（或更一般的非克利福德门）。

即使某份路线图的目标是“到某年实现数千个逻辑量子比特”，但这并不意味着该公司期望在同一年运行肖尔算法来破解经典密码学。

这些做法严重扭曲了公众对“我们距离具有密码学意义的量子计算机还有多远”的认知，即使是资深观察者也受到了影响。

话虽如此，一些专家确实对取得的进展感到兴奋。例如，Scott Aaronson 最近写道，鉴于“目前惊人的硬件发展速度”，我现在认为，在下届美国总统大选之前，我们拥有一台能够运行肖尔算法的容错量子计算机是有可能实现的。

但 Aaronson 后来澄清，他的声明并不是指一台具有密码学意义的量子计算机：即使完全容错的肖尔算法运行分解 15 = 3×5比用铅笔和纸还慢，他也会将其视为已实现。目前的标准仍然是肖尔算法的小规模运行，而非具有密码学意义的运行，因为之前在量子计算机上对 15 进行分解时使用的是简化的电路，而不是完整的、容错的肖尔算法。这些实验之所以始终选择 15 作为分解目标，是有原因的：模 15 的运算在计算上很容易，而分解稍大一些的数字（比如 21）则要难得多。因此，声称能分解 21 的量子实验通常依赖于额外的提示或捷径。

简而言之，期望在未来 5 年内出现一台具有密码学意义的量子计算机，能够破解 RSA-2048 或 secp256k1（这对于实际密码学来说才是最重要的），并不受支持。

即使是 10 年也依然充满不确定。考虑到我们距离具有密码学意义的量子计算机还有多远，对进展的兴奋之情与‘十年以上’的时间线是完全兼容的。

那么美国政府将 2035 年定为政府系统全面迁移到后量子时代的最后期限是怎么回事？我认为这是一个完成如此大规模过渡的合理时间表。然而，这并不意味着预测届时就会出现具有密码学意义的量子计算机。

HNDL 攻击适用及不适用情况

“先采集后解密 ”（HNDL）攻击指的是对手先存储加密流量，然后在有密码学相关的量子计算机存在后再解密。国家级敌对势力肯定已经在大规模地存档来自美国政府的加密通信，以便在多年后，当 CRQC 出现时解密这些通信。

这就是为什么说加密技术今天就需要转型——至少对于那些有 10-50 年以上保密需求的人来说。

但是，所有区块链都依赖的数字签名与加密技术不同：它不存在可追溯攻击的保密性问题。

换句话说，如果出现了与密码学相关的量子计算机，那么从那时起，伪造签名将成为可能，但过去的签名并不像加密信息那样“隐藏”秘密。只要你知道数字签名是在 CRQC 出现之前生成的，它就不可能是伪造的。

这使得向后量子数字签名的过渡不如加密领域的后量子转型紧迫。

各大平台正采取相应措施：Chrome 和 Cloudflare 推出了用于 Web 传输层安全协议加密的混合 X25519 ML-KEM 加密方案。（为了便于阅读，本文中使用“加密方案”一词，但严格来说，像 TLS 这样的安全通信协议使用的是密钥交换或密钥封装机制，而不是公钥加密。）

这里的“混合”指的是将后量子安全方案（即 ML-KEM）和现有方案（X25519）叠加使用，以获得综合安全保障。这样一来，有望能够通过 ML-KEM 阻止 HNDL 攻击，同时万一 ML-KEM 即使面对当今的计算机也存在安全漏洞，仍能保持 X25519 提供的经典安全性。

苹果的 iMessage 也通过其 PQ3 协议部署了这种混合后量子加密技术，Signal 的 PQXDH 和 SPQR 协议也是如此。

相比之下，后量子数字签名在关键网络基础设施中的推广应用正被推迟，直到真正具有密码学意义的量子计算机即将问世，因为当前的后量子签名方案引入了性能退化（本文后面会详细说明）。

zkSNARKs（零知识简洁非交互式知识论证）是区块链长期可扩展性和隐私性的关键，其处境与签名类似。这是因为即使对于那些非后量子安全的 zkSNARKs（它们使用椭圆曲线密码学，就像今天的非后量子加密和签名方案一样），它们的零知识属性也是后量子安全的。

零知识属性确保在证明过程中不会泄露任何关于秘密见证的信息——即使是量子对手也不会知道——因此不会有任何机密信息可供“采集”以便以后解密。

因此，zkSNARKs 不会受到“先采集后解密 ”攻击。正如今天生成的非后量子签名是安全的一样，任何在具有密码学意义的量子计算机出现之前生成的 zkSNARK 证明都是可信的（即被证明的命题绝对为真）——即使 zkSNARK 使用了椭圆曲线密码学。只有在具有密码学意义的量子计算机出现之后，攻击者才能找到令人信服的虚假陈述的证明。

这对区块链意味着什么

大多数区块链不会受到 HNDL 攻击：

目前大多数非隐私链，如比特币和以太坊，主要使用非后量子密码进行交易授权——也就是说，它们使用数字签名，而不是加密。

再次强调，这些签名并非 HNDL 风险：“先采集后解密”攻击适用于加密数据。例如，比特币区块链是公开的；其量子威胁在于签名伪造（推导出私钥以窃取资金），而非解密已公开的交易数据。这消除了 HNDL 攻击带来的直接密码学紧迫性。

不幸的是，即使是来自美联储等可信来源的分析也存在问题，错误地声称比特币容易受到 HNDL 攻击，这种错误夸大了向后量子密码学过渡的紧迫性。

也就是说，紧迫性降低并不意味着比特币可以等待：它面临着与更改协议所需的巨大社会协调所带来的不同的时间压力。（下文将详细介绍比特币的独特挑战。）

目前的例外是隐私链，其中许多会对接收者和金额进行加密或其他方式的隐藏。这种保密性现在就可以被收集，一旦量子计算机能够破解椭圆曲线密码学，就可以追溯性地去匿名化。

对于这类隐私链，攻击的严重程度取决于区块链的设计。例如，对于门罗币采用的基于曲线的环签名和密钥镜像（一种用于防止双重支付的每个输出的链接标签），仅凭公共账本就足以追溯重建支出图谱。但在其他区块链中，损失则更为有限——可以参见 Zcash 加密工程师兼研究员 Sean Bowe 的讨论以了解详情。

如果用户非常在意自己的交易不被具有密码学意义的量子计算机泄露，那么隐私链就应该尽快过渡到后量子原语（或混合方案）。或者，它们应该采用避免将可解密的秘密信息放在链上的架构。

比特币特有的难题：治理被遗弃的代币

尤其对于比特币而言，有两个现实因素促使人们迫切需要开始转向后量子数字签名。而这两个因素都与量子技术无关。

一个令人担忧的问题是治理速度：比特币的变革速度很慢。任何争议性问题都可能引发破坏性的硬分叉，因为社区无法就合适的解决方案达成一致。

另一个令人担忧的问题是，比特币向后量子签名的转换不能是被动迁移：持有者必须主动迁移他们的代币。这意味着被遗弃的、易受量子攻击的代币无法得到保护。一些估算认为，存在量子漏洞且可能被遗弃的 BTC 数量达数百万枚，按当前价格计算（截至 2025 年 12 月）价值数千亿美元。

然而，量子技术对比特币的威胁并非突如其来的灾难，而更像是一个有选择、循序渐进的过程。量子计算机无法同时破解所有加密——肖尔算法必须逐个攻击单个公钥。早期的量子攻击成本极高且耗时。因此，一旦量子计算机能够破解单个比特币签名密钥，攻击者就会有选择地攻击高价值钱包。

此外，那些避免地址复用且不使用 Taproot 地址（Taproot 直接在链上暴露公钥）的用户，即使在协议没有变更的情况下也基本受到保护：他们的公钥会一直隐藏在哈希函数之后，直到代币被花费。当他们最终广播一笔花费交易时，公钥就会暴露出来，此时会出现一场短暂的实时竞赛：一方是需要确认交易的诚实花费者，另一方是任何拥有量子计算能力的攻击者，他们试图找到私钥并在真正所有者的交易最终完成之前花费这些代币。因此，真正脆弱的代币是那些公钥已经暴露的：早期的 P2PK 输出、重复使用的地址和 Taproot 持仓。

对于那些已被弃用的脆弱代币来说，没有简单的解决办法。一些可行的方案包括：

比特币社区同意设立一个“旗帜日”，之后所有未迁移的代币都将被视为销毁。
任由被遗弃的、易受量子攻击的代币被任何拥有密码学相关量子计算机的人攫取。

第二种选择会引发严重的法律和安全问题。即使声称拥有合法所有权或出于善意，使用量子计算机在没有私钥的情况下获取代币，也可能在许多司法管辖区引发盗窃和计算机欺诈法下的严重问题。

此外，“被遗弃”本身就是一种基于不活跃状态的推定。但实际上，没有人知道这些代币是否有能够访问密钥的在世所有者。即使证据表明你曾经拥有过这些代币，也未必能提供足够的法律依据来破解加密保护并取回它们。这种法律上的模糊性，增加了被遗弃的、易受量子攻击的代币落入恶意行为者手中的可能性，而这些恶意行为者往往会无视法律约束。

比特币特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定，将所有易受量子攻击的资金迁移到后量子安全地址，按比特币当前的交易速率计算也需要数月时间。

这些挑战使得比特币现在必须开始规划其后量子时代的转型——这并非因为在 2030 年之前可能会出现具有密码学意义的量子计算机，而是因为迁移价值数十亿美元的代币所涉及的治理、协调和技术后勤问题将需要数年时间才能解决。

比特币面临的量子威胁确实存在，但时间压力并非来自即将到来的量子计算机，而是来自比特币自身的局限性。其他区块链也面临着量子易受攻击资金带来的挑战，但比特币的特殊之处在于：其早期交易采用的是“支付到公钥（P2PK）”输出，这直接将公钥置于链上，使得相当大比例的 BTC 极易受到密码学相关量子计算机的攻击。这种技术差异——再加上比特币的运行年限、价值集中度、低吞吐量以及治理机制的僵化——使得这个问题尤为严重。

请注意，我上面描述的漏洞指的是比特币数字签名的密码学安全性，而不是比特币区块链的经济安全性。这种经济安全性源于工作量证明共识机制，该机制不易受到量子计算机攻击，原因有三：

PoW 依赖于哈希算法，因此仅受格罗弗搜索算法的二次方量子加速影响，而不受肖尔算法指数级加速的影响。
实现格罗弗搜索的实际开销使其极不可能让任何量子计算机在比特币的工作量证明机制上实现哪怕是适度的实际加速。
即使实现了显著的速度提升，这些速度提升也只会让大型量子矿工比小型矿工更有优势，但不会从根本上破坏比特币的经济安全模型。

后量子签名的成本和风险

要了解为什么区块链不应该急于部署后量子签名，我们需要了解性能成本以及我们对后量子安全性的信心（这种信心仍在不断发展）。

大多数后量子密码学基于以下五种方法之一：

哈希 (hashing)
编码 (codes)
格 (lattices)
多元二次方程系统 (MQ)
同源性 (isogenies)

为什么会有五种不同的方法？任何后量子密码原语的安全性都基于这样一个假设：量子计算机无法高效地解决特定的数学问题。问题的“结构化”程度越高，我们基于此构建的密码协议就越高效。

但这有利有弊：额外的结构也为攻击算法提供了更多可利用的攻击面。这就造成了一种根本性的张力——更强的假设能够带来更好的性能，但代价是潜在的安全漏洞（也就是说，假设被证明是错误的可能性更大）。

一般来说，基于哈希的方法在安全性方面最为保守，因为我们最有信心量子计算机无法有效地攻击这些协议。但它们的性能也是最差的。例如，即使在最小参数设置下，NIST 标准化的基于哈希的签名大小也为 7-8 KB。相比之下，如今基于椭圆曲线的数字签名只有 64 字节。这大约是 100 倍的大小差异。

格方案是当今部署的重点。目前唯一的加密方案以及 NIST 选定的三种签名算法中的两种都基于格。其中一种格方案（ML-DSA，原名 Dilithium）生成的签名大小范围从 2.4 KB（128 位安全级别）到 4.6 KB（256 位安全级别），比目前基于椭圆曲线的签名大约大 40 到 70 倍。另一种格方案 Falcon 则具有较小的签名（Falcon-512 为 666 字节，Falcon-1024 为 1.3 KB），但它包含复杂的浮点运算，NIST 本身也将其标记为特殊的实施挑战。Falcon 的创建者之一 Thomas Pornin 称其为“我迄今为止实现过的最复杂的加密算法。”

实施安全性在基于格的签名方案中也比基于椭圆曲线的方案更具挑战性：ML-DSA 存在更多敏感的中间值，且非平凡拒绝采样逻辑需要侧信道和故障保护。Falcon 增加了恒定时间浮点运算的担忧；事实上，针对 Falcon 实现的多个侧信道攻击已经恢复出了私钥。

这些问题构成了直接的风险，这与具有密码学意义的量子计算机这一更为遥远的威胁截然不同。

在部署性能更优异的后量子密码方案时，谨慎行事是完全合理的。历史上，像 Rainbow（一种基于 MQ 的签名方案）和 SIKE/SIDH（一种基于同源的加密方案）这样的领先候选方案都在经典计算机上被破解了——也就是说，是用今天的计算机而不是量子计算机破解的。

这件事发生在 NIST 标准化流程的后期阶段。这体现了科学的健康运作，但也说明过早的标准化和部署可能会适得其反。

如前所述，互联网基础设施正在采取审慎的方式进行签名迁移。考虑到互联网加密转换一旦开始就需要很长时间，这一点尤其值得注意。MD5 和 SHA-1 哈希函数（尽管网络管理机构多年前就已在技术上弃用）的迁移，实际上花费了数年时间才在整个基础设施中真正实施，并且在某些语境下仍在进行中。即使这些方案已经完全被破解，而不仅仅是可能容易受到未来技术的影响，这种情况依然发生了。

区块链与互联网基础设施相比的独特挑战

幸运的是，由开源开发者社区积极维护的区块链（例如以太坊或 Solana）比传统网络基础设施升级速度更快。另一方面，传统网络基础设施受益于频繁的密钥轮换，这意味着其攻击面移动速度比早期量子计算机所能瞄准的速度更快——这是区块链所不具备的奢侈条件，因为代币及其关联密钥可以无限期地暴露在外。

但总的来说，区块链仍然应该遵循互联网在签名迁移方面采取的审慎方法。这两种场景都不会受到针对签名的 HNDL 攻击，而且无论密钥的保存时间长短，过早迁移到不成熟的后量子方案的成本和风险仍然十分巨大。

区块链特有的挑战也使得过早迁移变得尤为危险和复杂：例如，区块链对签名方案有着独特的要求，特别是快速聚合大量签名的能力。如今，BLS 签名之所以被广泛使用，是因为它们能够实现非常快速的聚合，但它们并不具备后量子安全特性。研究人员正在探索基于 SNARK 的后量子签名聚合。这项工作很有前景，但仍处于早期阶段。

就 SNARKs 而言，目前社区主要关注基于哈希的构造方法，将其视为后量子时代的主流选择。但重大转变即将到来：我相信在未来的几个月和几年里，基于格的选项将成为极具吸引力的替代方案。这些替代方案在诸多方面都将优于基于哈希的 SNARK，例如显著缩短证明长度——类似于基于格的签名比基于哈希的签名更短。

目前更大的挑战：实施安全性

在未来数年内，实现漏洞将比具有密码学意义的量子计算机构成更大的安全风险。对于 SNARKs 而言，主要问题是漏洞。

漏洞对于数字签名和加密方案来说已经是一个挑战，而 SNARKs 则要复杂得多。实际上，数字签名方案可以看作是一种非常简单的 zkSNARK，它证明了“我知道与我的公钥对应的私钥，并且我授权了这条消息”这一陈述。

对于后量子签名而言，直接风险还包括诸如“侧信道攻击”和“故障注入攻击”之类的实现攻击。这类攻击已有充分的文献记载，并且能够从已部署的系统中提取私钥。它们构成的威胁远比遥远的量子计算机更为紧迫。

社区将持续数年时间来识别和修复 SNARKs 中的漏洞，并加固后量子签名实现以抵御侧信道和故障注入攻击。由于后量子 SNARK 和签名聚合方案的尘埃尚未落定，过早过渡的区块链可能会将自身锁定在次优方案中。一旦出现更优方案或发现实现漏洞，它们可能需要再次迁移。

我们应该怎么做？7 条建议

基于上述情况，我将最后向包括构建者和政策制定者在内的各利益相关方提出建议。最重要的原则是：需要认真对待量子威胁，但不要基于“具有密码学意义的量子计算机将在 2030 年之前到来”这一假设而急切采取行动。目前的进展并不支持这种假设。尽管如此，我们现在仍然可以而且应该做一些事情：

我们应该立即部署混合加密。

或者至少，在长期保密性至关重要且成本可以接受的地方部署。许多浏览器、CDN 和即时通讯应用（例如 iMessage 和 Signal）已经部署了混合方案。这种混合方案——后量子经典——既能抵御 HNDL 攻击，又能规避后量子方案中潜在的弱点。

能接受签名体积比较大的前提下，应立即采用基于哈希的签名。

软件/固件更新——以及其他此类低频、对大小不敏感的场景——现在就应该采用混合哈希签名。（采用混合签名是为了防范新方案中的实现漏洞，而不是因为对基于哈希的安全假设存在疑问。）这种保守的做法为社会提供了一个明确的“救生艇”，以防万一具有密码学意义的量子计算机意外地过早出现。如果没有预先部署好后量子签名的软件更新机制，一旦 CRQC 出现，我们将面临冷启动问题：我们将无法安全地分发抵御所需的补丁。

区块链不需要急于实现后量子签名——但现在就应该开始规划。

区块链开发者应效仿 Web PKI 社区的做法，采取审慎的方式部署后量子签名。这允许后量子签名方案在性能和我们对其安全性的理解上继续成熟。这种方式也为开发者提供了时间，让他们能够重新设计系统架构以处理更大的签名，并开发更优的聚合技术。

对于比特币和其他 L1：社区需要制定针对被遗弃的、易受量子攻击资金的迁移路径和政策。被动迁移是不可能的，因此规划至关重要。由于比特币面临着一些特殊的挑战，这些挑战大多是非技术性的——治理缓慢，以及大量高价值的、可能被遗弃的、易受量子攻击的地址——因此，比特币社区现在就开始规划尤为重要。

与此同时，我们需要让后量子 SNARK 和可聚合签名方面的研究更加成熟（可能还需要几年时间）。再次强调，过早迁移可能会导致锁定在次优方案中，或者需要进行二次迁移来解决实现漏洞。

关于以太坊账户模型的说明：以太坊支持两种账户类型，对后量子迁移有不同的影响——外部拥有账户 (EOA)，即由 secp256k1 私钥控制的传统账户类型；以及具有可编程授权逻辑的智能合约钱包。

在非紧急情况下，如果以太坊添加了后量子签名支持，可升级的智能合约钱包可以通过合约升级切换到后量子验证——而 EOA 可能需要将其资金转移到新的后量子安全地址（尽管以太坊很可能也会为 EOA 提供专门的迁移机制）。在量子紧急情况下，以太坊研究人员提出了一种硬分叉计划，冻结存在安全隐患的账户，并允许用户通过使用后量子安全 SNARK 证明其知晓助记词来恢复资金。此恢复机制适用于 EOA 和任何尚未升级的智能合约钱包。

对用户而言，实际意义在于：经过良好审计、可升级的智能合约钱包或许能提供略微更顺畅的迁移路径——但这种差异微乎其微，而且还会带来对钱包提供商的信任以及升级治理方面的权衡。比账户类型更重要的是，以太坊社区仍在继续推进后量子原语和应急响应计划的工作。

给构建者的更广泛设计经验：如今许多区块链将账户身份与特定的加密原语紧密耦合——例如比特币和以太坊与 secp256k1 上的 ECDSA 签名耦合，其他区块链则与 EdDSA 耦合。后量子迁移的挑战凸显了将账户身份与任何特定签名方案解耦的价值。以太坊正朝着智能账户的方向发展，其他链上的账户抽象努力也反映了这一趋势：允许账户升级其认证逻辑，而无需放弃其链上历史记录和状态。这种解耦不会使后量子时代的迁移变得轻而易举，但它确实比将账户硬编码到单一签名方案中提供了更大的灵活性。（这也支持了诸如代付交易、社交恢复和多重签名等其他功能。）