Vitalik：ZK-Provers能实现高效运算的核心在于无需对任何中间层数据进行承诺

【Vitalik：ZK-Provers能实现高效运算的核心在于无需对任何中间层数据进行承诺】Vitalik Buterin发文表示，“如果你一直关注“加密货币领域里的密码学方向”，那么此时你很可能已经听说过超高速的ZK证明器（ZK-provers）：例如仅用大约50张消费级GPU就能实现实时证明以太坊L1的ZK-EVM证明器；在普通笔记本上每秒证明200万个Poseidon哈希；以及zk-ML系统不断提升对大语言模型（LLM）推理的证明速度。 在这篇文章中，我将详细解释一种被用于这些高速证明系统中的协议族：GKR。我将重点介绍GKR在证明Poseidon哈希（以及其他具有类似结构的计算）中的实现。如果你想了解GKR在通用电路计算中的背景，可参考Justin Thaler的笔记和这篇Lambdaclass的文章。 什么是GKR，它为什么这么快？ 设想你有一个在“两个维度上都很大”的计算：它需要处理至少中等数量的（低度数）“层”，同时对大量输入反复应用同一个函数。像这样： 事实证明，我们做的大型计算很多都符合这种模式。密码学工程师会注意到：很多计算密集型证明任务都涉及大量哈希操作，而每个哈希内部结构正是这种模式。AI 研究者也会注意到：神经网络（LLM 的基本构建模块）也正是这种结构（既可以并行证明多个 token 的推理，也因为每个token内部由逐元素的神经层和全局的矩阵乘法层组成——虽然矩阵操作不完全符合上图的“跨输入独立”结构，但实际上可以很容易嵌入 GKR系统）。 GKR是一种专为这种模式设计的密码学协议。它之所以高效，是因为它避免了对所有中间层进行承诺（commitment）：你只需要对输入和输出做承诺。这里的“承诺”是指把数据放入某种加密数据结构（如KZG或Merkle树）中，从而能证明与该数据的某些查询相关的内容。最便宜的承诺方式是使用纠删码后的 Merkle树（即STARK 中的方式），但也需要你对每个提交的字节进行4–16字节的哈希——这意味着要进行数百次加法和乘法运算，而此时你实际要证明的运算可能只是一个乘法。GKR避免了这些操作，除了最开始和最后一步。 需要注意的是，GKR并不是“零知识”的：它只保证简洁性，不提供隐私。如果你需要零知识性，可以把GKR证明封装在ZK-SNARK或ZK-STARK中。