Worldcoin:關于 Worldcoin 隱私問題的思考：哪些風險值得注意？

作者：Matthew Green，編譯：火火/白話區塊鏈

最近，一位讀者寫信問我是否愿意看看 Sam Altman 的Worldcoin，大概是從隱私的角度來思考它。老實說，這是我最不想做的事情，因為生命短暫，研究這個似乎意義不大。

然而：這個要求讓我很好奇。與我更好的判斷相反，我決定花幾個小時研究世界幣的文檔和代碼——希望根除明顯的技術危險信號，從而對整個事情做出真正的惡棍解釋。

更嚴重的是，這篇文章是我嘗試從隱私懷疑的角度來審視世界幣的系統，以了解這個項目實際上有多大風險。我擔心的風險有兩個：

(1)由于 Worldcoin 方面的疏忽而可能給用戶帶來的無意風險

(2) 未來業務決策（無論目前是否計劃）可能導致的“故意”風險)

對于那些不喜歡長博客文章的人來說，本篇內容簡單來說就是：我沒有找到我預期的那么多危險信號。事實上，雖然我仍然傾向于懷疑世界幣的隱私問題，但我對這個結論的信心低于它的預期。

Worldcoin是一種新的加密貨幣，由Sam Altman資助并由 Alex Blania 運營。根據該項目的營銷材料，該項目的目標是為“全球無銀行賬戶的人”提供服務，為此它將以某種方式將自己轉變為全民基本收入的一種形式。雖然這看起來不像一個商業計劃，但對于加密貨幣項目來說這是相當標準的費用。這些項目中相對較少有聽起來像“真實用例”的項目，而且項目參與相當于“免費贈送東西，希望以某種方式讓每個人都使用該東西”的行為是很常見的。

The Worldcoin Orb.

Worldcoin與其他項目的不同之處在于，免費貨幣附帶一個令人驚訝的條件：為了加入Worldcoin系統并收集免費Token，用戶必須交出眼球以供掃描采集信息。

好吧，這顯然有點戲劇性。更嚴重的是：Worldcoin的新穎技術貢獻是一種名為“球體”的專有生物識別傳感器，它允許系統通過掃描虹膜來唯一地識別用戶，這并非巧合的是人類擁有的是最豐富的生物識別特征之一。Worldcoin使用這些掃描來生成他們稱之為“人格證明”的記錄，根據該項目，這種憑證在未來將有許多未指定的應用。

關于冒充BiKi及貝殼學院的提示與聲明:近期，BiKi及貝殼學院發現市面上多起冒充官方平臺和貝殼學院賬號進行偽裝及抄襲官方策略等行為。為保護用戶利益，維護本學院的品牌權益，任何自稱貝殼學院、無涯老師以及近似的社區、賬號及其行為均與貝殼學院無關，敬請用戶注意區分并自行判斷其宣發信息，以免給自己帶來損失。[2021/3/17 18:53:33]

無論這項技術的長期應用是什么，該項目的近期目標都是將數億眼球登記到他們的系統中，使用虹膜掃描來確保任何用戶都不能重復注冊。許多人對該計劃潛在的安全和隱私風險表示擔憂。更重要的是，人們懷疑世界幣最終可能會濫用或利用其正在構建的龐大生物識別數據庫。

世界幣可以說是因為未能為其技術闡明一個聽起來現實的商業案例而讓自受到批評（正如我上面所說，這對于許多加密貨幣項目來說都是常見的）。相反，該項目辯稱他們的生物識別數據庫不能被濫用——因為它們嵌入了各種隱私保護功能。

世界幣對其系統做出了一些重要的聲明。首先，他們堅持認為虹膜掃描只有一個目的：在注冊時識別重復的用戶。換句話說，他們只是用它來防止同一用戶多次注冊（從而收集重復的獎勵）。他們聲稱 - 盡管不是特別一致，但請參閱下文！— 您的虹膜本身不會充當訪問錢包資金或金融服務的任何類型的備份“密鑰”。

這是一個非常重要的主張！僅使用虹膜代碼來識別重復用戶的系統將使其用戶面臨相對較少的直接威脅。也就是說，攻擊者能做的最糟糕的事情就是找到直接詐騙 Worldcoin 的方法。相比之下，使用生物識別技術來授權金融交易的系統對用戶來說可能更加危險。如果虹膜掃描可以用來偷錢，那么整個系統就相當危險了。

其次，Worldcoin幣聲稱它不會存儲您實際虹膜的原始圖像，除非您要求他們這樣做。它們只會存儲稱為“虹膜代碼”的派生值：

Worldcoin的最后一個聲明是，他們不會將您的生物識別數據與大量個人或財務數據聯系起來，這可能使他們的數據庫可用于跟蹤。他們通過將個人身份信息 (PII) 的提供設為“可選”而非強制來實現這一點。此外，他們使用技術使公司無法將區塊鏈交易與您的虹膜記錄聯系起來：

辟謠 | 火幣關于EOS節點投票爭議的說明:火幣聲明：近期有媒體反饋，有“內部文件”顯示，火幣EOS節點存在投票牟利的情況，經內部初步查證，火幣與文中提及的相關節點并無任何財務往來。有關情況還在進一步了解中。據了解，今日自媒體EOSONE爆料，近日一份《火幣礦池節點賬戶數據20180911》的Excel數據表在網上流傳，表內數據顯示，火幣與其他節點票數互投，并控制其他節點分割節點收益。[2018/9/30]

顯然，這里仍然存在一些問題：特別是聲稱您“不需要”任何個人信息確實為人們“自愿”提供信息留下了空間。在無人監督的Worldcoin承包商在相對貧困的社區收集數據的情況下，這可能是一個問題。坦率地說，如果用戶沒有計劃用這些數據做事，Worldcoin首先允許用戶提交這些數據，這有點奇怪。

注意：以下大部分內容基于 Worldcoin 自己的文檔，以及對其部分合約代碼的審查。我還沒有驗證所有這些，部分內容可能不正確。

Worldcoin采用兩種不同的技術。第一個是基于 EVM 的標準加密貨幣Token ( ERC20 )，它在“第 2 層” 區塊鏈Optimism上運行。第二種是該公司可以根據有限的“通貨膨脹供應”模型創建Token，然后將其贈送給人們。盡管Worldcoin的鏈上協議有一些影響隱私的新穎方面，但該項目的這一部分大部分都很無聊。（我將在下面進一步討論這些內容。）

世界幣的新穎之處在于其基于生物識別的“人格證明”身份驗證技術。Worldcoin的項目網站大量介紹了該技術的未來應用，其中許多涉及“人工智能”。目前，這項技術僅用于一個目的：確保每個 Worldcoin 用戶僅注冊一次其公共貨幣空投。這種保證使得 Worldcoin 可以向注冊用戶提供免費Token，而不必擔心同一個人會獲得多次獎勵。

要注冊到系統中，用戶需要訪問世界幣球體掃描位置，在那里他們必須向現實生活中的操作員驗證自己的身份。該球體聲稱包含防篡改硬件，可以掃描用戶的一只或兩只眼睛，同時還執行各種測試以確保眼球屬于活生生的、會呼吸的人。該傳感器拍攝高分辨率虹膜圖像，然后使用Worldcoin 選擇的算法在球體內進行內部處理。該過程的輸出是一種稱為虹膜代碼的“摘要值”。

公告 | 雄岸基金發布關于李笑來先生辭去雄岸基金管理合伙人職務的聲明:雄岸基金發布關于李笑來先生辭去雄岸基金管理合伙人職務的聲明，聲明中稱：雄岸基金自2018年4月9日宣布成立以來一直得到各級政府和各界人士的大力支持，李笑來先生因個人原因于2018年7月9日辭去雄岸基金管理合伙人一職，雄岸基金對李笑來先生在雄岸基金籌建過程中所作的貢獻表示由衷感謝！同時雄岸基金將繼續致力于用資本推動全球區塊鏈技術及應用發展，重點服務中國實體經濟，在新時代引領創新發展。[2018/7/10]

虹膜代碼的操作就像虹膜的模糊“散列”：至關重要的是，一個虹膜代碼可以與另一個代碼進行比較，這樣，如果一對之間的“距離”足夠小，則可以認為這兩個代碼源自相同的虹膜代碼。虹膜。這意味著編碼必須能夠應對掃描過程引起的小錯誤，甚至用戶眼睛內與年齡相關的微小變化。（我不清楚 Worldcoin 今天使用的確切算法，因為他們的文檔提到了兩種不同的方法：一種基于機器學習，另一種使用更標準的圖像處理技術。）理論上，使用在篡改中計算的虹膜代碼算法- 抗硬件應該意味著您的原始虹膜掃描是安全的——球體永遠不需要輸出它們，它可以簡單地輸出這個（希望）價值低得多的虹膜代碼。

（然而，實際上，這并不完全正確：Worldcoin允許用戶選擇“數據托管”，這意味著他們的原始虹膜掃描也將由該項目存儲。Worldcoin聲稱這些圖像將被加密，盡管可能是這樣使用項目本身持有的密鑰。托管被推廣為一種更新虹膜編碼算法的方式，而無需強迫用戶在球體上重新掃描眼睛。目前尚不清楚有多少用戶選擇了此托管程序，而且這不是很好。）

一旦球體掃描了用戶，虹膜代碼就會上傳到由 Altman/Blania 公司Tools for Humanity運營的服務器上。該代碼可能會、也可能不會附加到 Worldcoin 收集的其他個人用戶信息，例如電話號碼和電子郵件地址（Worldcoin 的文檔在這一點上稍微含糊，除了指出此數據是“可選的”。）服務器現在比較新代碼對照其先前注冊的虹膜代碼庫。如果新代碼與所有之前的代碼足夠“距離”，系統將認為該用戶是唯一的首次注冊用戶。（這些文件對于已經注冊后會發生什么也有些模糊，請參閱下文。）

為了完成注冊過程，用戶下載 Worldcoin 的錢包軟件以生成兩種不同形式的憑證：

1）標準以太坊錢包公鑰和私鑰，用于實際控制世界幣ERC20合約中的資金。

越南總理簽署關于“加強對比特幣和其他數字貨幣管理的法律框架”的指示:據《越南新聞》消息，越南總理辦公室昨日發出公告，越南總理Nguy?nXuanPhúc已簽署了關于“加強對比特幣和其他數字貨幣管理的法律框架”的指示。1.國家銀行應指示信貸機構和中介支付服務機構不要進行數字貨幣的非法交易。2.上述組織須加強管理，審查和報告與數字貨幣有關的可疑交易。3.SBV將與部合作，處理使用數字貨幣作為支付手段的行為。4.財政部將引導上市公司、證券公司、基金管理公司和證券投資基金，不進行涉及數字貨幣的非法發行、交易和經紀活動。財政部須研究國際經驗，提出實際措施來管理ICO。5.用于挖掘虛擬貨幣的硬件進口應受到限制。6.、工貿、信息、通信、司法等部門應加大與數字貨幣有關的營銷詐騙活動的調查、預防和處理。7.各部委和地方當局必須加強傳播有關數字貨幣投資和交易風險的信息。8.副總理根據財政部、信息通信部和國家銀行的意見，委托司法部研究和完善法律框架。[2018/4/12]

2）一種稱為“身份承諾”的專用數字憑證，它帶有自己的匹配密鑰材料。

重要的是，這些關鍵材料都不是來自用戶的生物識別掃描。（公共）“身份承諾”被上傳到 Tools for Humanity，與用戶的虹膜代碼一起存儲在數據庫中，而所有秘密密鑰材料都存儲在用戶手機本地（可以通過云存儲）備份*）。作為最后一步，Tools for Humanity 將用戶的身份承諾（但不是虹膜代碼數據！）導出到駐留在世界幣區塊鏈上的智能合約管理的數據結構中。

用戶可以選擇上傳虹膜掃描并將其托管。

好的。只剩下一件事了。

如前所述，虹膜掃描業務的全部目的是允許用戶在其區塊鏈上執行斷言，“證明”他們是獨特的人類：最明顯的一個是請求空投Token。（值得注意的是，這些斷言發生在注冊過程之后，并且僅使用您錢包中的密鑰材料：這意味著一旦您被掃描到系統中，就有可能出售您的身份數據。）

從隱私角度來看，對這些斷言的一個非常現實的擔憂是，Worldcoin（又名人類工具）可以監控這些鏈上交易，從而將用戶的錢包鏈接回與其關聯的唯一生物識別記錄。這將立即創建鏈接生物識別和財務數據的寶貴來源，這是此類系統最明顯的擔憂之一。

美國財政部金融穩定監督委員會發布關于金融市場和國家經濟狀況的年度報告: 美國財政部金融穩定監督委員會（FSOC）于12月13日發布了關于金融市場和國家經濟狀況的年度報告。該報告詳細說明了加密貨幣“代表了一種不同與往常的支付方式”，并指出目前只有少部分人正在使用它們，一些銀行和其他金融服務提供商也已經進入市場。與美國其他一些監管機構一樣，FSOC在報告中指出，技術的使用可能會給監管機構帶來問題，尤其是在分布式網絡而不是一個集中的地方存儲信息。作者還寫道到，與任何新的發展一樣，虛擬貨幣和分布式賬本技術可能帶來風險和脆弱性，需要持續的監管和協調。特別是分布式分類賬數據存儲的分散可能會給監管和監管帶來挑戰，因為目前的監管做法是為更集中的系統而設計的。除了這些潛在的問題外，FSOC報告認為，目前加密貨幣和區塊鏈的使用普遍“小而不斷增長”。雖然這些技術對更廣泛的金融體系的影響目前可能是優有限的，但它對支付和金融基礎設施的適用性值得進一步審查。然而，鑒于市場參與者和金融機構越來越多地投資于這些領域，金融監管機構應該監督和分析其對金融穩定的影響。[2017/12/16]

值得贊揚的是：Worldcoin似乎認識到這是一個問題。他們的協議通過兩種方式解決這些問題。首先：他們不會將用戶的以太坊錢包地址上傳到 Tools for Humanity 的服務器。這意味著用戶進行的任何金融交易都不應該與用戶的生物識別憑證輕易關聯。（這顯然不會使鏈接成為不可能：交易可以在稍后的某個時刻通過公共區塊鏈分析鏈接回用戶。）但世界幣確實試圖避免這里明顯的陷阱。

這樣就解決了一半的問題。然而，為了能夠空投到用戶的錢包，Worldcoin必須在某個時候將用戶的身份承諾與其錢包地址聯系起來。如果天真地實現，這似乎需要一個公共區塊鏈交易，其中會提及目標錢包地址和身份承諾——這將隱式地將這些（通過人類工具服務器已知的綁定）鏈接到用戶的生物識別虹膜代碼。這非常糟糕。

Worldcoin以一種巧妙的方式避免了這個問題：他們的區塊鏈使用零知識證明來授權空投。具體來說，一旦身份承諾被放置在鏈上，用戶就可以使用他們的錢包來生成隱私保護交易，以“證明”以下陳述：“我知道與鏈上有效身份承諾相對應的密鑰，并且我之前并沒有根據這個承諾做出證明。” 最關鍵的是，這個證明并沒有揭示用戶引用的是哪個承諾。這些保護措施使得任何外部方（包括 Tools for Humanity）相對更難將該交易鏈接回用戶的身份和虹膜代碼。

Worldcoin使用稱為Semaphore的零知識憑證系統（由以太坊項目開發，使用與 Zcash 非常相似的架構）來進行這些交易。盡管有大量不同的方式，但這在實踐中都可能會出錯（更多內容見下文） ），從架構 角度來看，世界幣的方法似乎是經過深思熟慮的。至關重要的是，它應該有助于防止鏈上空投交易直接鏈接到人類工具記錄的生物識別標識符。

總結以上所有內容……如果Worldcoin如宣傳的那樣工作，那么在您注冊并使用該系統后，應滿足以下條件：

1）Tools for Humanity 會將您的虹膜代碼副本存儲在其數據庫中。

2）假設您“選擇”進行數據托管， Tools for Humanity也可能存儲了您的原始虹膜掃描的副本。（該數據將使用 TfH 知道的密鑰進行加密。）

3）Tools for Humanity 將存儲每個虹膜代碼與相應的“身份承諾”之間的映射，這本質上是您的 ID 憑證的公共組成部分。

4）Tools for Humanity可能已將虹膜代碼與他們選擇性收集的其他PII綁定，例如電話號碼和電子郵件地址。

5）Tools for Humanity 不應該知道你的錢包地址。

6）您的所有密鑰都將存儲在您的手機中，除非您啟用備份，否則不會備份到其他任何地方。（世界幣也可能允許您使用電話號碼“恢復”，但此功能對我不起作用，所以我不確定它的作用。）

7）如果您在區塊鏈上進行任何引用身份承諾的交易，Worldcoin 或 TfH 都不應將這些交易與您的身份關聯起來。

8）最后（也是最重要的）：生物識別信息（或生物識別衍生信息）不會被發送到區塊鏈或存儲在您的手機上。

湯姆·克魯斯在《少數派報告》中改變了他的眼球密碼。

正如您所看到的，該系統似乎避免了基于生物識別的區塊鏈系統的一些更明顯的陷阱：至關重要的是，它不會將原始生物識別信息上傳到志愿者運行的區塊鏈。此外，虹膜掃描不用于獲取密鑰材料或用于支付加密貨幣（盡管下文將對此進行更多介紹）。與您的生物識別憑證相關聯的數據量相對較少（除了那些電話號碼！），并且鏈上交易不容易鏈接回憑證。

這種架構排除了許多可能導致您的眼球被盜或需要更換的威脅。

正如我之前提到的，僅使用虹膜代碼來識別重復用戶的系統對用戶本身造成的威脅相對較小。相比之下，使用生物識別技術來授權金融交易的系統可能面臨更大的風險。套用一句老話：如果虹膜掃描可以用來偷錢，那么用戶可能需要睜著眼睛睡覺。

雖然Worldcoin當前的架構似乎并未授權使用生物識別數據進行交易，但這并不意味著該平臺將永遠以這種方式運行。生物識別數據庫的存在可能會產生激勵，迫使公司將這些數據用于更危險的用途。

讓我說得更具體一些。

加密貨幣中最著名的用戶體驗問題是加密貨幣的“定義”功能——資金的自我托管——非常難以使用。用戶經常會丟失錢包密鑰，并隨之失去所有資金。即使對于能夠使用銀行保險箱和專用硬件錢包的成熟的第一世界加密貨幣采用者來說，這個問題也是普遍存在的。對于一種聲稱是數十億缺乏這些資源的人的全球“普遍基本收入”的加密貨幣來說，這將是一個更加嚴重的問題。

如果世界幣按照自己的標準取得成功——即它成為擁有十億用戶的全球加密貨幣——那么它就必須面對許多用戶將丟失錢包秘密的事實。這些人會想要重新授權自己拿回這些資金。與大多數加密貨幣不同，世界幣的生物識別數據庫提供了最終的資源來實現這一點。

Worldcoin白皮書描述了如何使用生物識別技術作為最后的賬戶恢復機制。目前Worldcoin網站上尚未提及這一點。

目前，該公司無法使用生物識別技術來重新獲取丟失的錢包，但他們擁有實現這一目標所需的許多工具。在目前的系統中，情況如下：

1）原則上，Tools for Humanity 的服務器可以將現有虹膜代碼重新綁定到新的身份承諾。然后，他們可以使用智能合約中的特殊調用將新的承諾發送到鏈。

2）雖然這可以允許用戶獲得第二次空投（如果 Worldcoin/TfH 選擇允許），但它（目前）不允許用戶控制現有錢包。

因此，為了實現錢包恢復，Worldcoin需要更改其鏈上合約，這將涉及要么用允許 ID 授權恢復的合約替換 ERC20 合約，要么更實際地部署一種新形式的智能合約錢包，允許用戶通過身份斷言“重置”所有權。Worldcoin還沒有做這兩件事，我很好奇他們將如何承受長期的壓力。

另一個明顯的擔憂是，Tools for Humanity 可以使用其生物識別數據庫作為一種“石頭湯”來構建未來（并且更具隱私侵犯性）的生物識別數據庫，然后可以將其部署到與加密貨幣無關的應用程序中。例如，一個明顯的應用是為缺乏政府頒發的身份證件的客戶記錄和授權信貸。我可以看到硅谷風險投資者對此感到非常興奮。

原則上，沒有什么可以阻止該項目未來朝這個方向發展。另一方面，一個合理的反駁是，如果世界幣真的想這樣做，他們可以從一開始就這樣做：讓很多人加入一些奇怪的隱私友好型加密貨幣似乎有點分散注意力。但也許是我的想象力不夠。

一個相關的擔憂是，世界幣可能會以某種方式將 PII 進一步分層到其現有數據庫上，或者找到其他方法使這些數據更有價值——即使鏈上數據無法鏈接。一些報告表明，作為注冊過程的一部分，Worldcoin幣員工確實會收集電話號碼和其他個人身份信息。如果Worldcoin不打算在未來以某種方式使用這些數據，我們真的不清楚為什么它會收集這些數據。

最后，Worldcoin很有可能懷有最好的意圖，但最終會把一切搞砸。數據庫可能被盜。眾所周知，零知識證明很難正確，即使是基于時間的小漏洞也可能造成巨大的隱私泄露：例如，僅根據密鑰和身份承諾的時間來猜測兩者之間的聯系應該不難。發布在鏈上。

世界幣的系統幾乎肯定會部署各種后端服務器來協助生成證明（例如，獲取 Merkle 路徑），而這些服務器的日志可能會進一步破壞隱私。隨著世界幣繼續“去中心化”世界 ID 數據庫（無論需要什么），情況只會變得更糟。

我在寫這篇文章時對 Worldcoin 抱有很大的懷疑：我 100% 相信該項目是引導一個有價值的生物識別數據庫的借口，該數據庫將用于電子商務應用程序，并且 Worldcoin 會構建他們的系統來最大化數據收集的機會。

在對這個項目進行了一些研究之后，老實說我仍然有點懷疑。我認為Worldcoin幣在某種程度上是為電子商務應用程序引導有價值的生物識別數據庫的借口。但我想說我的信心水平下降到了 40% 左右。這主要是因為我無法想出一個令人信服的故事來說明邪惡的未來Worldcoin將如何處理由虹膜代碼和一些電話號碼組成的大型數據庫。更重要的是，我對 Worldcoin 在保持交易數據與 ID 數據庫脫鉤方面投入的大量精力感到驚喜。

毫無疑問，我仍然遺漏了一些東西，也許其他人會補充一些細節和更正。與此同時，我個人仍然不會將眼球伸入Orb。

白話區塊鏈

媒體專欄

閱讀更多

金色財經

金色財經 善歐巴

web3中文

金色早8點

YBB Capital

吳說Real

元宇宙簡史

Tags：WorldcoinLDCDCOCOINworldcoin幣圈子Worldcoin幣app下載lomocoin

BNB價格