王峯十問計算機安全教母宋曉冬，華人會成爲區塊鏈市場的核心玩家

隱私性正成為推動區塊鏈下一波浪潮的關鍵因素！

對話時間：9月5日20:30~23:40

對話嘉賓：

宋曉冬：計算機安全教母、加州大學伯克利分校計算機系教授、Oasis Labs創始人兼CEO。

王峰：火星財經發起人、共識實驗室創辦人、極客幫創始合夥人、藍港互動集團董事長。

王峰：Hi，大家晚上好，久違了，歡迎回到火星財經“王峰十問”，今天是第二十四期。 快兩個月不見了，哈哈。

給大家介紹今晚的嘉賓：加州大學伯克利分校計算機系教授宋曉冬（Dawn Song）。她可是安全領域的資深大牛啊。

先讓我們看一看宋教授的經歷：

1996年獲得清華大學學士學位，1999年獲得卡內基梅隆大學計算機系碩士學位，2002年獲得加州大學伯克利分校博士學位，2002年至2007年任教於卡耐基梅隆大學，2007年起任教於加州大學伯克利分校。當前的研究方向包括深度學習, 網絡安全和區塊鏈。曾獲得麥克阿瑟獎 （MacArthur Fellowship），古根海姆獎（Guggenheim Fellowship），斯隆研究獎（Alfred P. Sloan Research Fellowship），《麻省理工科技評論》“35歲以下科技創新35人”獎（TR-35 Award）等。宋教授還是計算機安全領域中論文被引用次數最多的學者（AMiner Award）。現任Oasis Labs（綠洲實驗室）創始人兼CEO。

我們每個人都生活在信息大爆炸的時代。據福布斯報道，每一天，APP和社交網絡發送信息總計超過600億條，電子郵件發送達到2690億封，然而，信息數據的洩露、被盜用、被篡改等現象也屢屢發生，而且愈演愈烈。區塊鏈技術不可篡改、分佈式的特質，讓我們有機會能掌控自己的數據隱私，但公開透明的賬本，卻讓海量用戶數據在鏈上曝光，隱私問題依舊如空中閣樓，沒有得到根本解決。

我和宋教授第一次見面是在上週的火星硅谷區塊鏈峰會上，我現場聆聽了宋教授主持的“爐火對話”，後來又一起晚餐，只可惜時間都太緊張，沒來得及和宋教授進行深度交流。

很榮幸今晚邀請宋教授參與火星財經的“王峰十問”。宋教授素有“計算機安全教母”的美譽，個人從業經歷橫跨網絡安全、人工智能和區塊鏈三個領域，相信今晚與宋教授的對話，一定能夠給我們以更多啟發和思考。

下面，開始我們今天的“王峰十問”吧。

“華人將會成為區塊鏈領域的核心玩家”

王峰：上週二，我們在火星硅谷區塊鏈峰會見面，您和Dfinity聯合創始人Tom Ding、布比網絡CEO蔣海一起參與的關於“公鏈與分佈式金融”的爐火對話，令人印象深刻。我特別注意到，您和Tom Ding都是常駐硅谷的華人，當天出席活動的DxChain創始人張亮、QuarkChain創始人週期、Celer Network創始人董沫、Ultrain聯合創始人廖志宇等等嘉賓，也都是中國背景的硅谷創業者或在美留學的歸國創業者。

火星財經硅谷峰會上“公鏈與分佈式金融”爐火對話

然而，作為區塊鏈鼻祖的比特幣，其創始人中本聰的身份雖是未解之謎，但更大可能性來自美國、日本或者加拿大；以太坊創始人Vitalik Buterin和EOS創始人Daniel Larimer則分別來自俄羅斯和美國。這與目前新一代公鏈，國內創業者或者灣區華裔人士唱主角的現狀大相徑庭。

我隱隱感覺到，公鏈下一步競爭的入圍者們大都來自華人。有硅谷的朋友告訴我，這一波區塊鏈創業者，估計有超過一半以上是來自硅谷大公司的華人，這個比例遠遠高於互聯網時代的硅谷華人從業者比重。您認為，龍的傳人會成為下一輪公鏈競爭，乃至區塊鏈行業的主導力量嗎？隨著區塊鏈在國內及海外華人社區的大熱，會不會從起步初期，華人在技術、產品和社區方面就更有優勢呢？

宋曉冬：我從小在中國長大，1992年到1996的時候在清華讀物理。大學畢業之後去了美國讀研究生， 之後做一名教計算機的教授。算起來，我在美國生活了20多年，期間親眼看著中國發生了巨大的變化，像火箭一樣快速發展。我覺得，很少有人能預見到中國今天的變化。

舉個例子吧。我在美國讀研的時候，包括計算機科學在內的頂級研究會議上，是很少找到中國人的論文的。但現在就完全不一樣了，很多領域的頂級研究會議上，中國人的論文要佔很大比例。在一些新興和高精尖技術的部署方面，中國的發展也非常給力。比如移動支付和人工智能在快速融入像人臉識別這樣的實際應用中，中國這些方面的發展比美國和世界絕大多數地方都要快。

現在新技術正在快速地改變國人生活，想想來真的很激動。這些例子只是縮影，背後是中國科學家、企業家、各行各業的從業者，乃至整個中國在短時間內所獲得的驚人成就。

這些現象背後有很多原因：很多中國人既聰明又勤奮，在探索新方向和新領域方面又非常的“膽大包天”；另外，中國的競爭比世界其它地方更激烈，這讓中國人反應更快，更容易適應環境，創造力更強；除此之外，中國還是世界最大的市場之一，這也為新技術的發展提供了巨大優勢。

我覺得上面這些原因也適用於區塊鏈。我們現在已經看到了，很多區塊鏈項目是由中國人領導的。不少中國公司和機構也在積極嘗試不用方向的應用。如果一些創新應用最早出現在中國市場，我一點也不會覺得意外，我相信中國的人才將會成為區塊鏈領域的核心玩家。

另外，人們常常關注公鏈的競爭，但我覺得合作精神也很重要。通過合作，不同的團隊和不同的辦法才能集中在一起，探索這個領域，把區塊鏈提升到一個新水平，同時催生新應用。

我們還記得，2000年後，互聯網很快陷入寒冬，原因是資本市場對互聯網商業模式的不確定，雖然當初用戶增長迅猛，但仍導致華爾街對互聯網項目的拋售。互聯網是經歷了漫長的煎熬才看見了錢途，而中國公司後續的崛起，與電商、遊戲等直接來錢的業務成長有關。區塊鏈天生具備價值傳遞的屬性，和歷史上的互聯網比起來，顯然前者離錢更近。

您認為，華人積極參與區塊鏈創業與華人對財富渴求程度有無關係？這個問題，是不是有些冒昧。

宋曉冬：在我看來，中國人是實用主義和理想主義的完美結合體。而區塊鏈能夠吸引到中國人，一方面是因為探索新領域本身充滿吸引力，另一方面是區塊鏈令人遐想的未來前景和它的長遠影響。

“許多人搞不清安全和隱私的概念”

王峰：讓我們回到今天的主題。數據洩露事件已經日益成為公眾的熱議話題。就在上週，華住旗下酒店被爆客戶數據洩露，暗網標價8個比特幣或520個門羅幣，涉及1.3億用戶的個人身份信息及隱私開房記錄；快遞行業巨頭順豐也有超過3億條數據疑似流出。

順豐回應數據洩露

加之今年3月Facebook 5000萬名用戶資料洩露，去年11月Uber被爆曾隱瞞5700萬賬戶數據洩露等事件的發生，這個時代似乎已經毫無個人隱私可言。有哈佛大學學者甚至公開表示：個人隱私已死。您認為，區塊鏈技術在解決隱私保護問題方面給我們帶來了哪些新的希望？區塊鏈能否讓互聯網環境下苦不堪言的個人隱私“死而復生”？

宋曉冬：首先，分佈式賬本是在分佈的、互不信任的各方之間達成協議。區塊鏈本身並不能為你提供隱私保障。比如在以太坊網絡和絕大部分現有平臺上，所有的數據和智能合約都是公開的，不存在隱私保障。但是，人們又希望能通過區塊鏈部署涉及敏感數據的應用，例如醫療保健、金融服務、物聯網等等。因此，在區塊鏈上建立隱私保障技術來支持這些應用，就顯得非常重要了。

王峰：隱私是一個自由人的權利和尊嚴。從人類抓起樹葉遮羞之時起，隱私就產生了。以我的理解，保護好隱私，可以用來防止他人對自己說三道四，給自己一個絕對封閉的心裡安全空間。有人用“化名”和“匿名”來解釋，今天的區塊鏈，更多解決了“化名”身份，而不是“匿名”身份。實際上，兩者不完全一致。以比特幣系統的交易為例，使用者無需使用真名，而是採用公鑰哈希字符串作為交易標識，像一個化名，但由於用戶會反覆使用公鑰哈希值，交易之間顯然能建立關聯，因此，即使是今天的比特幣，也並不真的具備匿名性，實際上就沒有隱私可言。

在我看來，隱私性正成為推動區塊鏈下一波浪潮的關鍵因素。您在今年4月份發表的論文《Ekiden: A Platform for Confidentiality-Preserving, Trustworthy, and Performant Smart Contract Execution（Ekiden：一個保護隱私、可信賴且高效能的智能合約執行平臺）》中，對Ekiden在保護隱私方面的技術架構進行了重點闡述。

論文截圖

為什麼您決定創辦的Oasis Labs的時候，會把隱私保護放到如此重要的一個位置？您的團隊在這方面有什麼優勢？您心目中完美的隱私保護環境是什麼樣的？能否舉例並加以描述？

宋曉冬：我們和很多DApp開發團隊聊天，發現大多數團隊想開發的應用都需要處理敏感數據。他們很想有一種在能使用區塊鏈平臺時保護數據隱私的方法，比如構建分散式信用評分模型，分散式欺詐檢測，基於區塊鏈的基因組數據和物聯網的數據市場，等等。所有這些應用程序都需要保護數據隱私。沒有隱私保護，這些應用根本不可能實現。 現有的區塊鏈平臺無法提供這樣的隱私保護功能。 我們看到了市場對於隱私保障區塊鏈平臺的需求，這也是Oasis項目受到業界及DApp開發者關注的一個主要原因。

我和團隊在安全隱私領域工作過很長時間，我本人從事安全領域幾十年。 在安全領域，我們積累了很多經驗和專業知識，也開發了不少技術，包括已經在Uber應用的隱私保護數據分析技術。 除此之外，我們還寫了第一篇使用安全硬件實現智能合約隱私保護的研究論文。 這些經驗、知識和技術可以幫助我們構建一個以保護隱私作為主要目標之一的區塊鏈平臺。

隱私實際上是一個非常複雜的話題，許多人搞不清安全和隱私的概念，哪怕區塊鏈行業老手也常常搞混。 為了幫助大家搞清楚區塊鏈中安全和隱私的概念，我們寫過一篇文章，《Demystifying the Security of Blockchains》，大家可以瞭解一下。

文章截圖

為了最好的解決隱私保護的個種挑戰，我們集成了各種隱私保護的技術， 包括安全硬件、加密算法、 叉分隱私等。

公鏈之爭的關鍵要素是什麼？

王峰：我認為，目前的公鏈已經是一個擁擠不堪的賽道了。2018年被許多人稱作“公鏈元年”，可能有30多條公鏈在今年內主網上線，和早已主網上線的熱門公鏈項目ETH、EOS、NEO、QTUM、TRON等展開同臺競技，激烈程度絲毫不亞於還在硝煙瀰漫的數字貨幣交易所大戰。

您創辦的Oasis Labs希望通過打造一個高性能的區塊鏈平臺，同時它還能提供完整的隱私保護，甚至提出在區塊鏈上實現諸如人工智能等計算密集型應用的目標，對投資者來說，自然充滿想象力。實際上，很多業內同業者都試圖去同時解決去中心化、安全和效率問題，以突破所謂的“不可能三角”，但是這是非常困難的。當然，進一步拆分，安全裡還有一層獨立的“隱私”問題。不如我們把問題簡單化，一步一步來，您認為，眼下最需要優先解決的是什麼問題，安全性？隱私性？可擴展性？

Oasis Labs創始團隊

宋曉冬：隱私保護和可擴展性是目前區塊鏈需要解決的兩個最重要的問題。 對於可擴展性，我覺得人們需要意識到，它不僅僅是指具備較高的TPS。 為了支持區塊鏈在醫療保健、金融服務等領域得到實際應用，區塊鏈平臺還必須為複雜的智能合約提供可擴展性。

王峰：很多新進入或者準備進入市場的公鏈，目標是取代以太坊，有人把他們包裝成為所謂的區塊鏈3.0。可是我發現，大量項目往往是基於以太坊的ERC20標準和EVM（以太坊虛擬機）開發，卻大談要超過以太坊，這不由讓我想到，許多安卓上的ROM（或UI）都基於安卓原生系統的開發，谷歌每次升級都影響它們的版本迭代，但這些基於安卓系統的ROM（或UI）很難超越安卓本身。而在當前，無論是從應用落地還是生態建設，還沒有出現能撼動以太坊位置的公鏈，您認為其中核心的原因是什麼？目前公鏈之爭的關鍵要素是什麼？

宋曉冬：以太坊網絡是第一個建立智能合約的區塊鏈平臺，運營了不少年，社區也很活躍。 現在市場上的區塊鏈平臺越來越多，DApp開發者有了更多選擇，需要評估哪些方案更適合自己的應用。 就像不同的計算機語言支持不同類型的程序應用一樣，未來我認為我們也會看到不同的區塊鏈平臺支持不同類型的DApp。比如需要不同功能、信任假設、權衡機制、可用性設計選擇的DApp，可以運行在與之對應的區塊鏈平臺上。

王峰：眾所周知，以太坊目前遭遇了很多爭議，Vitalik在嘗試通過Sharding分片提高效率，通過零知識證明提供隱私保護，全力改進和優化以太坊。而據BTCmanager最新消息，以太坊團隊日前又宣佈將推遲Casper開發一年，這個消息並沒有被官方確認，但市場迅速做出跳水反應，截至今晚九點多ETH下跌10%。您本人是否還看好以太坊？如果您給以太坊把脈，會給以太坊開什麼藥方？

王峰：對於通用型公鏈的生態佈局和未來發展機會，您是如何構想的？與通用型公鏈相對應，定製型公鏈也被很多人看好。因為不同的業務場景對底層公鏈的性能、共識機制等有不同的要求，搭建個性化的定製型公鏈成為一些行業和應用的迫切需求。在接下來的競爭中，你更看好通用型公鏈，還是定製型公鏈？未來公鏈市場上，是會出現百鏈千鏈共存，還是一兩個贏家通吃的局面？

宋曉冬：正如我前面說過的，我覺得未來會看到不同的區塊鏈平臺應用於不同類型DApp，就像不同類型的計算機語言適合不同類型的應用程序。

“人們並不瞭解如何評估區塊鏈平臺的價值”

王峰：萬向區塊鏈董事長肖風博士在最近提出，一個公鏈的貨幣價值，就看 DApp 能夠創造出來的經濟價值總量，未來有可能出現1萬億甚至5萬億美元價值的公鏈。您認為公鏈被業內人士看高估值背後的原因是什麼？您能夠給我們描述，一個完美的公鏈以及其生態，究竟會美好到什麼樣子？蘋果公司目前的最新市值也才剛剛突破1萬億美元。

今日蘋果市值快照

宋曉冬：說實話，我認為人們並不瞭解如何評估區塊鏈平臺的價值。 這是一個全新的等待開發的科學領域。 在互聯網的發展史上，人們花了一定的時間來制定評估指標，例如日活躍用戶數量等。我認為確定如何評估一個區塊鏈平臺的價值，背後需要進行大量研究，特別是當我們看到新的商業模式湧現在區塊鏈中的時候。

王峰：今年7月9日，Oasis Labs宣佈完成4500萬美元的融資，投資方基本上囊括了市場上最主要的區塊鏈投資機構。從今年一季度後，整個區塊鏈的二級市場陷入熊市，最近2個月更進一步加劇，有悲觀者認為可能會進一步持續到整個明年。市場的整體情況是否會影響到Oasis Labs後續的融資估值？

宋曉冬：我們專注於構建技術、構建底層區塊鏈平臺，以及新技術因應用而產生的長期價值。 所以我們並不太關注市場的短期起伏。

Oasis Labs總部團隊合照

公鏈競爭70%取決於BD和運營？

王峰：鑑於新一代公鏈項目的研發所採用的技術手段越來越相似，有人認為，2019年公鏈的競爭技術因素將只有30%，70%將取決於BD和運營。過往經歷看，您的兩次創業也都是偏技術型的公司，好像並不依賴於這兩方面的建設。不知在區塊鏈社區及BD方面你是否有所佈局，或者說找到合適的幫手？技術手段越來越相似的看法，您同意嗎?

宋曉冬：我們是一支非常技術化的團隊，但我們也一直在招BD和社區運營的夥伴。我們充分認識到社群生態的重要性，尤其是我們希望在平臺上構建不同種類的新應用，也幫助不同行業進行轉變。所以，我們一直都在招聘BD和社區運營團隊。兩個月前，我們剛剛開始對外啟動，目前已經有很多開發人員對Oasis平臺很感興趣， 要在Oasis平臺上建應用。 我們正在積極與應用開發人員建立合作關係，一起創建區塊鏈生態。

在我的印象裡，Oasis Labs溝通半徑更多是在海外區塊鏈及學術圈，在中國市場，通常意義的認知度是不夠的，只是在頂尖投資人圈子中有認知，中文的社區運營方面幾乎沒有開始，甚至找不到中文的網站。你怎麼看中國的市場，未來在中國有多大的期望？

Oasis Labs官網

宋曉冬：我們大約在兩個月前才對外啟動。而且我們一直專注於構建底層鏈技術，和DApp開發者一起打造應用。 就像我前面提到的，我堅信中國會成為全球區塊鏈的主要角色，所以我們非常期待與國內社區密切合作。

“區塊鏈+AI”的落地場景

王峰：根據CB Insights統計數據，2017年，全球範圍內有152億美元的投資，被投入到AI領域，比2016年增加141%；根據零壹智庫數據顯示，2017年全球與區塊鏈+數字貨幣領域融資相關事件達63筆，融資金額49億元。而今年第一季度，區塊鏈領域融資額就已高達67.2億元，超過去年全年的融資額。我注意到很多側重AI的基金轉向區塊鏈，比如另外一位學者張首晟創辦的丹華基金。而百度ALL IN人工智能的靈魂人物陸奇，在離開百度後也提出，人工智能的數據獲取與開發需要與區塊鏈結合。是不是可以理解為，越來越多的AI的創業者和投資者們會把關注點轉移到與區塊鏈的結合上？

2017年全球與區塊鏈+數字貨幣領域融資相關事件達63筆，融資金額49億元

宋曉冬：對人工智能和區塊鏈交叉領域感興趣，並且在兩個領域都有豐富經驗的人其實非常少。 我偶爾遇到其他同時做過AI和區塊鏈的人時，總是很激動。我們需要更多這樣的人才 。

王峰：一些學者和投資機構不願涉足和提及區塊鏈。您在深度學習、AI的部署和發展應用等領域有很深的研究，您之前一直圍繞AI探索新技術的發展，如今將重點放在了智能合約的區塊鏈項目。在您看來區塊鏈會對AI產生什麼影響？AI可以解決區塊鏈目前存在的哪些難題？兩者是如何相互賦能的？“AI+區塊鏈”首先落地的應用場景會是哪些？

宋曉冬：除了區塊鏈和計算機安全，我還做過很多人工智能和深度學習方面的研究。 我覺得人工智能和區塊鏈的交叉領域非常有趣，而且非常重要，裡面有很多有意思的問題和新的方向值得探索。

舉個例子，現在在Oasis平臺上，有一些DApp開發人員（包括與斯坦福醫生合作）開發一款可有效保護個人隱私的醫療數據交易應用。眾所周知，由於醫療數據本身十分敏感，這類信息往往十分孤立，醫學研究人員很難獲得足夠的數據用於科研工作。

利用Oasis平臺提供的隱私保護智能合約功能，醫學研究人員可以編寫含有訓練機器學習模型代碼的智能合約。智能合約還可以設置使用條款，限制全部數據僅能用於在這個智能合約中訓練機器學習模型，而不會用於其他場景。它還可以規定用戶如何通過向智能合約提供數據獲得報酬。用戶同意智能合約的使用條款後，便向智能合約提供數據。當智能合約收集到足夠的數據時，它便可以開始訓練機器學習模型。醫學研究人員可以在此基礎上評估模型的有效性。

Oasis平臺一方面可以支持智能合約 確保用戶數據的隱私得到保護，另一方面利用採得的數據訓練機器學習模型。正如我們所看到的，這種方式在很大程度上減小了醫學研究人員和製藥公司獲取醫療數據的難度，進而幫助訓練機器學習模型，找到治療疾病的方法。用戶可以通過提供數據獲得報酬，在數據隱私得到保障的同時，又為社會醫療進步做出了貢獻。

這只是區塊鏈幫助解決深度學習獲取數據困難的一個例子。 相同的技術可以應用於許多其他領域，例如，在不同數據源之間搭建合作橋樑，建立信用評分模型、在欺詐檢測中訓練更好的機器學習模型等。

此外，我希望區塊鏈技術可以幫助AI技術民主化。隨著人工智能變得越來越強大，我們需要考慮是誰控制了人工智能的力量。我認為，對於個人用戶而言，能夠控制AI的功能非常重要，這樣AI才能按照用戶的最佳利益行事。 這與現有AI的工作方式截然不同。 我希望，通過使智能合約擁有機器學習功能，實現滿足用戶的最佳利益的智能合約和AI agent。

區塊鏈安全的重要性百倍於互聯網

王峰：在我看來，鑑於區塊鏈技術將前所未有地推動金融革命，安全之於區塊鏈產業的重要程度，將百倍於互聯網時代。目前，區塊鏈在智能合約漏洞、節點網絡漏洞、生態（交易所、錢包）及使用者安全等方面的安全隱患尤為突出。8月，騰訊發佈《2018上半年區塊鏈安全報告》，2018年上半年區塊鏈領域因安全問題損失超過27億美元。其中，智能合約漏洞，主要是集中在以太坊上，比如因為代碼的漏洞或者私鑰的洩露等原因導致的資金損失，達到了12.4億美金。智能合約的漏洞究竟給區塊鏈安全帶來了什麼樣的新挑戰？我們應該如何應對？

基於區塊鏈加密數字貨幣引發的安全問題造成27億美元損失

宋曉冬：智能合約的本質是代碼。 代碼漏洞並不是智能合約獨有的問題，而是所有程序都會遇到的問題。 代碼漏洞是導致計算機系統被攻擊的最主要成因之一。 在我過去的工作中，我的小組一直在設計和開發新的技術和工具來自動查找代碼中的漏洞，包括二進制程序，Web應用程序和移動應用程序。 我的第一個創業公司是構建查找移動應用程序中的漏洞和惡意行為的自動化工具。 在智能合約中，這些漏洞的影響更直接，你可能會損失很多錢。

幾十年來，業界（包括我的團隊）在計算機安全和程序驗證方面，一直致力於構建查找代碼漏洞並提供代碼安全性證明的技術和工具。 這些技術和工具在智能合約中當然也很有用。

此外，編程語言對編寫安全代碼以及驗證代碼安全性的難易程度也有很大影響。我們可以改進智能合約的語言設計，以幫助應用開發者更輕鬆地編寫更安全的代碼。許多經過正式驗證的系統開發採用的另一種方法是進行代碼驗證的協同設計/開發和驗證。在編寫代碼時，開發者可以同時進行驗證。 進行代碼安全性和正確性證明的過程有助於開發安全的代碼。

王峰：很多人開始關注可信賴硬件。不過，最近來自比利時、美國和澳大利亞的兩個技術團隊同時發現了SGX（Software Guard Extensions，Intel開發的一項旨在保障用戶關鍵代碼和數據機密性和完整性的技術）的一個安全漏洞。

美國政府的計算機應急準備小組在 8 月 14 日警告稱，攻擊者可能利用該漏洞可以獲取一個內存芯片內的任意信息，包括敏感數據、通往長期內存的密碼和密鑰，攻擊者還可以將敏感數據在一個安全飛地複製並獲取。有觀點認為，SGX 技術達到很高的安全水準，可能需要耗費數年時間。所以，依賴單一硬件的隱私保護是否可靠？同時，TEE（Trusted Execution Environment，可信執行環境）的原理是私鑰保存在芯片生產商處，比如SGX就是私鑰由Intel負責，所以芯片生產商就成為了一箇中心化的節點，這似乎又與區塊鏈的去中心化理念有悖？

宋曉冬：考慮到其強大的安全屬性，TEE（或安全硬件）可以成為構建安全系統的基石。 TEE使構建安全系統變得更加容易。 但是，我們需要一個值得信賴的TEE。 目前市面上的的解決方案是閉源開發。 因而業界很難分析評估其安全性。 在我們最近的博客文章《Towards an Open-Source Secure Enclave》中，我們指出了現有閉源安全硬件的不足，並強調了開源安全硬件的重要性。

博客文章截圖

Keystone是我們一直在與加州大學伯克利分校和麻省理工學院合作研發的一個項目，一個建立開源TEE （secure enclave) 的項目：https://keystone-enclave.org/。Keystone基於RISC-V中的現有硬件功能開發TEE。 RISC-V是早期在加州大學伯克利分校開發的一種開源RISC架構，已廣泛應用於行業。

我們最近舉辦了第一次關於開源安全硬件的研討會：https://keystone-enclave.org/workshop-website-2018/。 很高興看到整個業界的支持。 來自谷歌、Facebook、微軟、Intel，ARM、加州大學伯克利分校、麻省理工學院、斯坦福大學和其他許多地方的知名研究人員和專家都參與了研討會，交流了最先進的技術，現有的挑戰以及如何建立開源安全硬件的方針。

我們正在與產業型合作伙伴一起構建和部署開源安全硬件。 許多區塊鏈公司也聯繫了我們表示支持，並表示希望加入這項工作。 我們非常感謝業界對此給予的支持，並期待共同努力，實現這一目標。

王峰：我非常理解您在Keystone方向上的戰略意圖，最近有海外媒體報道說，Oasis labs大約在兩週前決定調整隱私保護的技術路線，已經放棄基於SGX以及其他TEE，您需要在這裡澄清一下嗎?很多業界同仁也非常關心您的項目進展。

宋曉冬：感謝業界同仁對我們的關注和支持！我來給大家講解一下我們的設計和思考。

在我們從一開始設計Oasis區塊鏈平臺時，就希望確保區塊鏈平臺的健全性（Intergrity）和可擴展性並不依賴於任何安全硬件（TEE）。 Oasis區塊鏈平臺採用分層設計，具有分立運作的的共識層，存儲層和計算層。這種分層設計允許每個層獨立擴展，可實現更大的可擴展性，尤其是對於複雜的智能合約執行。共識層不使用安全硬件。為了實現隱私保護，一些計算層的節點可以使用安全硬件。 Oasis區塊鏈平臺旨在提供統一的安全計算框架，包括安全硬件和加密技術，如安全的多方計算和零知證明。這種統一的安全計算框架為開發人員提供了更多的選擇和靈活性。開發人員無需成為隱私專家，便可以利用最先進的安全計算技術，並選擇使用最適合其應用的技術。我們沒有改變我們的設計。

V神推崇的“零知識證明”是個迷人的領域

王峰：在去年底舉行的亞太以太坊技術交流會上，Vitalik Buterin發表了主題為“以太坊區塊鏈中的隱私保護”演講，介紹了四種適用於以太坊區塊鏈的兼顧隱私性和安全性的解決方案：通道（Channels）、混合器（Mixers）、環簽名（Ring Signature）及零知識證明(Zero knowledge proofs)。他特別提到，零知識證明是“最為強大”的解決方案，能夠被應用於以太坊區塊鏈上幾乎所有的場景。

這裡順便科普一下零知識證明，即證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的。歷史上有一個故事可以幫我們理解，文藝復興時期，意大利有兩位數學家為競爭一元三次方程求根公式發現者的桂冠，就採用了零知識證明的方法。當時，數學家塔爾塔裡雅和菲奧都宣稱自己掌握了這個求根公式，為了證明自己沒有說謊，又不把公式的具體內容公佈出來，他們約定雙方各出30個一元三次方程給對方解，誰能全部解出，就說明誰掌握了這個公式。比賽結果顯示，塔爾塔裡雅解出了菲奧出的全部30個方程，而菲奧一個也解不出。於是，人們相信塔爾塔裡雅是一元三次方程求根公式的真正發現者。

對於V神推崇有加的“零知識證明”，您如何評價它在保護諸如以太坊網絡等區塊鏈網絡隱私性和安全性的作用？目前，市面上已經有Zcash、Monero等項目，通過零知識證明技術，在探索解決交易中相關信息的隱私安全問題。從應用實踐的效果看，零知識證明還有哪些不足和改進之處？

V神介紹零知識證明

宋曉冬：零知識證明是密碼學中一個很迷人的領域，它具有悠久的歷史。 我之前也在這個領域做過研究工作。 但是，零知識證明具有很高的性能開銷，因此很難應用於複雜的現實應用。

此外，零知識證明通常在計算個人私人數據時使用。 如果您需要計算來自不同數據源的數據，例如我之前提到的用於隱私保護機器學習的智能合約，僅憑零知識證明，並不足以支持此類使用例子。

連續創業，深耕計算機安全行業20年

王峰：我們知道，硅谷盛行學生創業，可以說，沒有在車庫裡的學生創業者，就沒有今天的硅谷奇蹟。硅谷的創業明星中，從早期的喬布斯（蘋果）、拉里·佩奇和謝爾蓋·布林（谷歌），到近幾年的扎克伯格（Facebook）、馬斯克（特斯拉）、傑克·多西（Twitter）等人，大多數是在校期間就開始創業，甚至輟學創業。我感覺，硅谷創業正事兒與教授沒什麼關係。而您不但一直任教於卡內基·梅隆大學、加州大學伯克利分校等頂尖學府，在學術界頗有成就，廣受尊重；同時，還是連續創業者，先後創立了Ensighta Security（後被FireEye Inc.收購）和Menlo Security兩家安全公司，一面在常青藤任教搞研究，另一面和學生們一樣去創業，怎樣做到兩者兼顧的？

宋曉冬：我喜歡在科研中尋找新的想法和技術，我也非常希望看到這些新想法和新技術能夠在日常生活場景中落地實現，從而更好地服務於人們的生活。 在現實世界中部署研究技術的過程中，也有助於我們從實際案例中學習新知識，從而更好地改進技術，幫助人們解決社會發展中遇到的更多問題。

王峰：當時創立第一家公司Ensighta Security，您是受到了怎樣的感召？可否談談創立Ensighta Security和Menlo Security這兩家公司的經歷？有沒有經歷過艱難的至暗時刻？有科技媒體把您稱作計算機安全教母，您認為對互聯網安全的最大貢獻是什麼？這些互聯網安全領域的經歷，對於現在創辦Oasis Labs有什麼幫助？

Ensighta Security專注於構建分析移動應用程序的技。這是用來檢測漏洞和惡意攻擊行為的自動化技術和工具。 Menlo Security旨在構建安全瀏覽的新技術，以保護用戶的計算機免受web的攻擊。 兩家初創公司都是基於我實驗室開發的新技術上而成立的。

我從事計算機安全工作已有20多年，並在許多領域都開發了新的解決方案和最先進的技術。 由於時間限制，我在這裡無法詳細說明。 這些經驗在Oasis Labs技術構建上起了很大的作用。

王峰：這次創辦Oasis Labs，您會有不安全感嗎？它和您過往的兩次創業有什麼不同？

宋曉冬：我認為構建區塊鏈平臺是一個更復雜、更具挑戰性的項目。 研發有價值的技術只是難題的一部分; 如何構建生態系統，也是很值得學習和研究的。我是一個很喜歡新的挑戰的人。我覺得新的挑戰是讓人進步的最有效的方式。

區塊鏈課程越來越受歡迎

王峰：根據最近Coinbase與Qriously的研究報告，全球前50名的大學中，42%的大學現在至少提供一門關於加密技術或區塊鏈的課程。在中國國內，目前清華大學、同濟大學、中央財經大學、北京郵電大學等近10所高校也已經開設了區塊鏈課程。2014年，當紐約大學斯特恩商學院首次開設區塊鏈和金融服務課程時，有35名學生報名，比該校通常的選修課少了8名；而到了2018年春天，選修學生人數攀升至230人，學院被迫將該課程搬至最大的禮堂上課。您認為學生們對區塊鏈課程普遍感興趣的原因有哪些？您任教的卡內基·梅隆大學、加州大學伯克利分校開設區塊鏈的課程進展如何？

全球高校開設區塊鏈課程（截止18年5月）

宋曉冬：上學期，我在伯克利給學生們上了一節非常有趣的區塊鏈課程。 在學術界，以這種形式上課可能是第一次。 它由三所學院共同教授：商學院、法學院、以及由我代表的工程學院的計算機科學系。 班上的學生名額也是這三所學院平均分配。 這堂課非常受歡迎。 報名上這節課的學生人數遠遠超過了課程原定接收的人數。 區塊鏈本質上就是跨學科的，涉及科學，商業，經濟，法律和許多其他領域。對我來說， 教授這樣一門跨學科課程，並與來自不同學院的學生進行互動是非常有意思的。這個學期，我們為計算機科學專業的學生提供了一節區塊鏈和加密經濟學的全新高階課程。該課程涵蓋了區塊鏈不同方面的核心知識和最前沿的技術。

王峰：我注意到，儘管早在2014年就有大學開設了區塊鏈課程，但直到2018年，都鮮有高校設立專門的本科區塊鏈專業。相對於經濟學科領域有金融學、金融工程等專業，計算機相關有電子工程和軟件工程等專業，甚至有電子商務和網絡遊戲專業，區塊鏈領域橫跨了密碼學、經濟學以及軟件工程等領域，已經非常複雜了，今天的大學是否應該開設區塊鏈相關專業了？

宋曉冬：區塊鏈領域仍處於初期階段。 隨著它的發展，更多的學生會想要學習這個領域。區塊鏈對於學生來講無疑是一個非常充實的學習方向。我們這學期的課室沒有錄像設備。學生自己提出要給課程錄像，可見學生對課題的興趣。

我最後也可以給大家講一講我們更長遠的想法。我們在進入數字時代，這裡一個最重要的問題是要確立數字產權，這不但是區塊鏈、也是整個數字經濟下一步能夠成功的經濟基礎，這個問題解決了，世界會完全不同，而現在世界在技術上與社會層面都還沒有成型。我們在OASIS在做這方面的探索，希望能和大家共同做出突破性、獨創性的貢獻。我們希望世界一流的人才能加入我們，一起從這裡為人類做出特有的貢獻！

王峰：如果將隱私保護作為區塊鏈發展歷程中的一次深刻的革命，那麼，這場革命現在才剛剛開始，每一位從業者們任重道遠，仍需努力。希望我們能更加重視隱私保護，更加重視其價值，理解區塊鏈發展中必然需要克服的困難與把握的機會。也希望Oasis Labs能夠更好地實現在安全性、隱私性和可擴展性方面的突破，給整個行業帶來更多希望，在區塊鏈沙漠中搭建起新的“綠洲”。

再次謝謝宋教授，感謝您今天能做客火星財經的《王峰十問》，祝Oasis Labs未來越來越好！

閱讀更多 王峰十問 的文章

關鍵字: 網絡安全 機器學習 教母