“The Newton Protocol is designed around three core components: Newton Model Registry, Newton Keystore, and Automation Intents.”三層架構,六個核心合約:二層合約、質押合約、代理註冊表合約、zkPermission權限合約、罰沒合約、治理合約。每一個都承載着不同的職責,但每一個都必須準確無誤地運行。
Binance Research 的文檔也確認了這套架構:“Newton Keystore: a specialized rollup responsible for storing and updating user permissions”。一個專門存權限的 Rollup,加上 ZK 證明、TEE 硬件隔離、跨鏈代理執行——每一個單拎出來都是硬骨頭,疊在一起,落地難度呈指數級上升。
Gate 百科的風險評估也點出了同樣的問題:ZKP+TEE 結合做 AI 代理可驗證執行,屬於行業前沿技術,技術研發難度遠超普通 DeFi 項目。
那目前跑通了什麼?
我翻了一圈,發現唯一落地的應用是“定投 AI 代理”——設置購買頻率、支付幣種、截止時間,一個自動買入程序。用戶界面就是一個“Start a New Agent”按鈕,入個 10 U 設置定投週期。
去年六月,$NEWT 在HTX上線時,開盤價接近0.49美元。整整一年過去了,價格徘徊在0.05美元附近。跌了將近90%。 不是市場沒給機會,是項目方沒把答卷交出來。 打開Newton的白皮書,開篇就甩出了幾個極其性感的詞:Rollup、零知識證明、可信執行環境、AI代理鏈下計算。“Newton Protocol is a pioneering decentralized infrastructure layer that combines trusted execution environments (TEEs) and zero-knowledge proofs (ZKPs) to enable automated onchain finance with cryptographic verification.”
OpenGradient官方博客裏寫得很清楚:“We've solved this with an x402 settlement layer that allows users to pre-fund an account with tokens.”預存賬戶,先充值後消費,體驗更順滑。
但看到後半句,我後背一涼:“Inference requests draw from this balance, meaning async workloads aren't blocked waiting for on-chain settlement to complete before computation begins.”
“LLM proxy nodes provide anonymous, private, and verifiable access to third-party LLM providers like Anthropic and OpenAI.”
LLM推理節點,本質上是“代理節點”——把用戶的請求轉發給Anthropic和OpenAI,套了一層TEE外殼,加了一道簽名上鍊。官方自己說得明明白白:“act as secure intermediaries between users and external LLM APIs.”翻譯過來:安全中介。中介就是中介,去中心化網絡解決不了上游API被掐斷的問題。
昨晚翻 @OpenGradient 文檔時,一段話讓我反覆看了幾遍:“We use AWS Nitro Enclaves, which generate attestation documents signed by AWS as a certificate authority”。TEE 節點要註冊上鍊,系統會檢查認證簽名是否來自 AWS Nitro 根證書。這意味着,你的推理請求是否“可驗證”,最終靠的是 AWS 簽發的認證文件來證明。
文檔裏還寫着一句話:“ZKML proofs provide mathematical certainty that a specific model produced a specific output”——這是密碼學層面的理想。但現實是,OpenGradient 把所有 LLM 推理都交給了 TEE。而 TEE 的信任錨點在 AWS,在 Intel,不在鏈上。
前天翻 @OpenGradient 文檔時,一行字讓我反覆看了幾遍:“We use AWS Nitro Enclaves, which generate attestation documents signed by AWS as a certificate authority”。TEE 節點要註冊上鍊,系統會檢查認證簽名是否來自 AWS Nitro 根證書。這讓我想起一個老問題:信任被轉移了,不等於信任消失了。
先看 Intel SGX。安全研究人員整理過涵蓋數十種攻擊方式的清單——控制通道、推測執行、微架構數據採樣。Foreshadow(CVE-2018-3615)能從 CPU 緩存中直接提取 SGX 隔離區內的數據。2020 年的研究更直白:Intel 通過微碼更新應對側信道攻擊,但事實證明措施是無效的。
翻一翻 @OpenGradient 文档,我注意到一个被包装得很精巧的表述:“LLM proxy nodes provide anonymous, private, and verifiable access to third-party LLM providers like Anthropic and OpenAI”。翻译一下:这些节点本质上是给 OpenAI、Anthropic 的 API 套了一层 TEE 外壳,帮用户做匿名转发和签名上链。
问题来了。OpenGradient 宣称自己是“decentralized, high-performance, and verifiable computing infrastructure”。但主流大模型推理的实际执行方是谁?是 OpenAI 的服务器、Anthropic 的 Claude API。TEE 能证明你的请求被安全送到了 OpenAI、没有被中间人篡改。但 OpenAI 内部用哪个版本的模型处理你的请求?有没有偷偷调整输出?这些核心问题,TEE 证明不了,签名上链也证明不了。模型本身的“黑箱”依然存在。
更现实的风险是 API 依赖。OpenAI 有明确的 IP 黑名单和地域封禁机制,违规账号会被永久封停。中转节点一旦触发风控,所有依赖该路径的推理请求全部失效。OpenGradient 自己也承认这些节点是“secure intermediaries”——中介就是中介,去中心化网络解决不了上游 API 被掐断的问题。
文档里提到两种节点:LLM Proxy Nodes(中转第三方 API)和 Local Inference Nodes(本地跑开源模型)。前者才是大模型场景的主力,后者目前只能跑 Llama、Mistral 等开源模型。开源模型的能力和商业化大模型之间的差距,短期内填不平。
我的判断很简单:OpenGradient 的“去中心化”叙事,在本地推理场景下是有意义的——用 TEE 或 ZKML 验证开源模型的执行过程。但只要你的请求最终落到 OpenAI 的服务器上,“去中心化”就只是一个签名包装。模型本身的黑箱和 API 厂商的单点依赖,这两层风险始终存在。 #opg $OPG