Vitalik fördert Zero-Knowledge-Proofs für KI-Privatsphäre! Anonyme Bezahlung von Chat-Protokollen gegen Missbrauch

Davide Crapis, Verantwortlicher für KI bei der Ethereum Foundation, und Vitalik Buterin, Mitbegründer von Ethereum, schlagen vor, Zero-Knowledge-Proofs zu verwenden, um die Privatsphäre der Nutzer bei Interaktionen mit großen Sprachmodellen zu gewährleisten und gleichzeitig Spam und Missbrauch zu verhindern. Jedes Mal, wenn ein Nutzer eine Nachricht an einen KI-Chatbot sendet, wird ein API-Aufruf ausgelöst. Sie sagen, dass die Kernherausforderungen für Nutzer und Anbieter Privatsphäre, Sicherheit und Effizienz sind.

Privatsphäre und rechtliche Risiken bei KI-Chat-Logs

(Quelle: Davide Crapis)

Jedes Mal, wenn ein Nutzer eine Nachricht an eine Softwareanwendung (z. B. einen KI-Chatbot) sendet, wird ein API-Aufruf ausgelöst. Crapis und Buterin weisen in einem Blog-Artikel vom Mittwoch darauf hin, dass die zentralen Herausforderungen für Nutzer und Anbieter Privatsphäre, Sicherheit und Effizienz sind. Sie sagen: „Wir brauchen ein System, bei dem Nutzer einmalig Gelder einzahlen können und dann anonym, sicher und effizient Tausende von API-Aufrufen tätigen.“ Sie ergänzen: „Es muss gewährleistet sein, dass Dienstleister Zahlungen erhalten und vor Spam geschützt sind, während gleichzeitig sichergestellt wird, dass die Anfragen der Nutzer nicht mit ihrer Identität oder anderen Nutzern verknüpft werden.“

Mit der breiten Anwendung von KI-Chatbots wächst die Sorge um Datenlecks bei LLMs (Large Language Models). Chatbots verarbeiten oft hochsensible Daten, und die Verknüpfung von Nutzungsdaten mit Identität kann schwerwiegende Datenschutz-, rechtliche und Sicherheitsrisiken mit sich bringen. Nutzungsprotokolle können sogar in Gerichtsverfahren als Beweismittel dienen. Diese Risiken sind nicht nur theoretisch, es gibt bereits konkrete Fälle.

Beispielsweise könnte jemand, der in ChatGPT fragt „Wie legal Steuern sparen?“ oder „Wie mit einem Ex-Partner Vermögensstreitigkeiten regeln?“ diese Gespräche vor Gericht vorbringen. Solche Aufzeichnungen könnten bei Scheidungsprozessen oder Steuerprüfungen nachteilig sein. In extremen Fällen könnten Anfragen zu sensiblen politischen Themen oder illegalen Inhalten in autoritären Staaten zu politischer Verfolgung führen. Derzeit speichern KI-Dienste meist Nutzer-Logs, obwohl sie Verschlüsselung und Anonymisierung versprechen, könnten diese Schutzmaßnahmen bei behördlichen Vorladungen oder Hackerangriffen versagen.

Drei Hauptprobleme aktueller KI-API-Aufrufe

Privatsphäre-Risiko: Anbieter wissen, wer was gefragt hat, und könnten diese Informationen preisgeben oder dazu gezwungen werden.

Nachverfolgbarkeit: Zugriff auf E-Mail oder Kreditkarte basierend auf Identität, was die echte Person offenlegt.

Ineffizienz und hohe Kosten: On-Chain-Zahlungen pro Anfrage sind langsam, teuer und nachverfolgbar.

Crapis und Buterin erklären, dass Anbieter derzeit zwischen zwei „suboptimalen Wegen“ wählen müssen: einer auf Identität basierenden Zugriffskontrolle, bei der Nutzer sensible Daten wie E-Mail oder Kreditkarte offenlegen, was Datenschutzrisiken birgt; oder einer auf Anfragen basierenden On-Chain-Zahlung, die langsam, teuer und nachverfolgbar ist. Beide Wege schützen die Privatsphäre der Nutzer nicht wirklich.

Anonyme Abfrage mit Zero-Knowledge-Proofs und Einzahlungs-Mechanismus

Crapis und Buterin schlagen ein System vor, bei dem Nutzer Gelder in einen Smart Contract einzahlen und dann API-Aufrufe tätigen können, ohne ihre Identität oder Anfragen offenzulegen. Dabei kommen Zero-Knowledge-Proofs und Rate-Limiter zum Einsatz, um Zahlungen und Spam-Prevention durchzuführen. Sie sagen: „Ein Nutzer zahlt 100 USDC in den Smart Contract ein und stellt 500 Anfragen an das verwahrte LLM. Der Anbieter erhält 500 gültige, bezahlte Anfragen, kann diese aber nicht mit demselben Einzahler in Verbindung bringen oder untereinander verknüpfen, während die Anfragen weiterhin anonym bleiben.“

Die technische Logik dahinter: Der Nutzer zahlt 100 USDC (oder andere Kryptowährungen) in den Smart Contract, der für den Nutzer eine anonyme Quittung (basierend auf Zero-Knowledge-Proofs) generiert. Bei jeder Anfrage an die KI beweist der Nutzer mit dieser Quittung, „Ich habe bezahlt, aber verrate nicht, wer ich bin.“ Der Dienstanbieter prüft die Gültigkeit der Quittung, bietet den Service an, ohne zu wissen, wer die Anfrage gestellt hat, und kann 500 Anfragen nicht auf denselben Nutzer zurückführen.

„Dieses Modell erzwingt, dass Nutzer ihre Gesamtausgaben (gemessen am aktuellen Ticket-Index) innerhalb des initialen Einzahlungsbetrags und der verifizierten Rückerstattungsaufzeichnungen halten.“ Damit wird Doppel-Ausgabe (Double-Spending) verhindert. Nutzer können mit 100 USDC keine mehr als 500 Anfragen (bei z. B. 0,2 USDC pro Anfrage) stellen. Die Zero-Knowledge-Proofs stellen sicher, dass die Ausgaben die Einzahlung nicht übersteigen, ohne die Identität offenzulegen.

Innovatives Double-Staking gegen Missbrauch

Um Betrüger, illegale Inhalte, Jailbreak-Versuche und andere Verstöße gegen die Nutzungsbedingungen zu verhindern, schlagen Crapis und Buterin ein Double-Staking-System vor. Wenn ein Nutzer beim Versuch, doppelt zu setzen, erwischt wird, kann sein Guthaben von jedem (inklusive Server) eingezogen werden. Bei Verstößen gegen die Nutzungsbedingungen wird das Guthaben an eine Verbrennungsadresse gesendet, und der Vorfall wird auf der Chain dokumentiert.

Crapis und Buterin erklären: „Beispielsweise könnte ein Nutzer eine Anfrage stellen, um Anleitungen zur Herstellung von Waffen zu generieren oder Sicherheitskontrollen zu umgehen, was gegen die Nutzungsrichtlinien vieler Anbieter verstößt. Obwohl die Identität des Nutzers verborgen bleibt, kann die Community die Häufigkeit der Verbrennungen durch den Server sowie die Beweise für diese Verbrennungen prüfen.“

Dieses System balanciert Privatsphäre und Verantwortlichkeit: Nutzer bleiben vollständig anonym, aber bei Missbrauch (z. B. illegale Inhalte, Jailbreaks) verlieren sie ihr Guthaben als Strafe. Diese ökonomische Abschreckung kann nicht alle Missbräuche verhindern, erhöht aber die Kosten für Missbrauch. Wichtig ist, dass der gesamte Prozess weiterhin anonym bleibt: Anbieter und Community sehen nur, dass „jemand wegen Verstoßes bestraft wurde“, aber nicht, wer genau.

Dieses „anonyme, aber verantwortliche“ Design könnte ein neuer Paradigmenwechsel im Datenschutz sein. Es zeigt, dass Privatsphäre und Sicherheit kein Gegensätze sind, sondern durch kryptographische Innovationen gleichzeitig erreicht werden können. Wenn solche Lösungen von OpenAI, Anthropic und anderen KI-Firmen übernommen werden, könnte das Datenschutzmodell bei KI-Diensten grundlegend verändert werden.

Für Nutzer könnte die praktische Erfahrung sein: Einmal 100 USDC in die Wallet einzuzahlen, um dann anonym Monate oder Jahre KI-Dienste zu nutzen (je nach Nutzungshäufigkeit), ohne sich jedes Mal anmelden oder Kreditkarten binden zu müssen. Bei Verstößen droht maximal der Verlust des Guthabens, die Identität bleibt geschützt. Dieses „Geld für Anonymität kaufen“-Modell könnte viele privacy-basierte Profis und Institutionen ansprechen.

Für Anbieter bietet dieses System ebenfalls Vorteile. Es löst das Dilemma „Wer Privatsphäre will, hat keinen Umsatz, wer Umsatz will, keine Privatsphäre.“ Durch automatische Zahlungen via Smart Contract entfallen Kreditkartengebühren und Streitkosten. Die Verwendung von Zero-Knowledge-Proofs für Anonymität reduziert rechtliche Risiken bei Datenlecks (da keine Nutzer-Identitäten gesammelt werden). Durch das Staking- und Bestrafungssystem wird eine effektivere Missbrauchsbekämpfung ermöglicht als herkömmliche Sperren.