ロールアップを超えるZK証明:Ethereumでの検証可能なAI推論
Engineering Team
スケーリングを超えるZK証明の可能性
ゼロ知識証明は2021年以来、ブロックチェーンスケーリングの代名詞でした。zkSync、StarkNet、Scroll、Polygon zkEVMは数千のトランザクションをEthereum L1で検証される単一の証明に圧縮するために使用しています。しかしスケーリングは最初のアプリケーションに過ぎません。ZK証明の真の力は検証可能な計算 — 任意のプログラムが正しく実行されたことを再実行せずに証明する能力です。
この枠組みは重要です:ZKはたまたま他の用途がある何らかのスケーリング技術ではありません。ZKは汎用の検証可能計算技術であり、たまたまブロックチェーンスケーリングで最初の大規模市場を見つけたのです。
2026年、最もエキサイティングなZKアプリケーションはロールアップではありません:
- zkML — モデルの重みを明かさずに機械学習モデルが特定の出力を生成したことを証明
- ZKコプロセッサ — 重い計算をオフチェーンで実行し、簡潔な証明をオンチェーンに投稿
- 検証可能な資格情報 — 年齢、国籍、クレジットスコアなどの身元属性を基礎データを明かさずに証明
- MEV保護 — トランザクションの意図を暗号化し、ブロックビルダーに詳細を明かさずに妥当性を証明
zkML:検証可能なAI推論
人工知能とブロックチェーンの交差はこれまでほとんどハイプでした。しかしzkML — ゼロ知識証明を機械学習推論に適用すること — は実際の問題を解決します:AIモデルが特定の出力を生成したことをどうやって信頼するか?
信頼の問題
AIモデルを信用スコアリングに使用するDeFi貸出プロトコルを考えてみましょう。モデルは借り手のオンチェーン履歴を取得し、担保比率を決定するクレジットスコアを返します。3つの信頼問題が発生します:
- モデルの整合性 — 借り手はプロトコルが主張するモデルを使用し、差別する別のモデルではないことをどうやって知るのか?
- 入力の整合性 — プロトコルは偽造データではなく、正しいオンチェーンデータを入力として使用したことをどうやって証明するのか?
- 実行の整合性 — 計算が正しく行われたことを誰がどうやって検証するのか?
ZK証明なしでは、答えは「プロトコル運営者を信頼する」です。zkMLがあれば、答えは「証明を検証する」になります。
zkMLの仕組み
zkMLシステムはニューラルネットワーク推論を算術回路に変換し、正しい実行のZK証明を生成します:
1. モデル量子化:浮動小数点の重みを固定小数点に変換
(例:float32 → int8またはint16)
2. 回路コンパイル:各ニューラルネットワーク層を算術制約に変換:
- 線形層 → 行列乗算回路
- ReLU活性化 → 比較回路
- Softmax → ルックアップテーブル回路
3. ウィットネス生成:実際の入力でモデルを実行し、
すべての中間値を記録
4. 証明生成:証明システム(Halo2、Plonky3、SP1)を使用して
回路が正しく実行されたことの簡潔な証明を生成
5. 検証:Ethereum上のスマートコントラクトがモデルサイズに
関係なくO(1)時間で証明を検証
現在の制限と実用的な境界
2026年のzkMLは実在しますが制約があります:
| モデルサイズ | 証明時間 | 証明サイズ | 検証ガス | 実用的? |
|---|---|---|---|---|
| 極小(100Kパラメータ) | 5-30秒 | 256バイト | ~300Kガス | はい |
| 小(1Mパラメータ) | 1-5分 | 256バイト | ~300Kガス | はい、非同期タスク向け |
| 中(10Mパラメータ) | 15-60分 | 256バイト | ~300Kガス | GPUプルーバーで実現可能 |
| 大(100M+パラメータ) | 数時間〜数日 | 256バイト | ~300Kガス | 研究のみ |
| LLMスケール(1B+パラメータ) | 非現実的 | — | — | まだ不可 |
重要な洞察:証明サイズと検証コストはモデルサイズに関係なく一定です。証明時間だけが計算の複雑さに比例してスケールします。
zkMLの本番ユースケース
1. オンチェーン信用スコアリング
DeFiプロトコルが借り手のオンチェーン取引履歴に対して信用スコアリングモデルを実行します。zkML証明は以下を保証します:正しいモデルの使用、正しい入力データの使用、正しい計算の実行。
2. 検証可能なコンテンツモデレーション
分散型ソーシャルメディアプラットフォームがAI分類器を使用して有害コンテンツを検出します。zkMLは分類器がすべての投稿に一貫して適用されたことを証明します — 選択的な検閲なし、隠れたバイアスなし。
3. プライベート機械学習
ヘルスケアプロトコルが患者データに対して診断モデルが特定の結果を生成したことを証明します — 患者データもモデルの重みも明かさずに。
ZKコプロセッサ:オフチェーン計算、オンチェーン検証
Ethereum上のスマートコントラクトは意図的に計算が制限されています。ガスコストにより複雑なロジックは非常に高コストです。ZKコプロセッサは計算をオフチェーンに移しつつオンチェーンでの検証を保持することでこれを解決します。
アーキテクチャ
+------------------+ +-------------------+ +------------------+
| スマートコントラクト |---->| ZKコプロセッサ |---->| 証明検証器 |
| (リクエスト) | | (オフチェーン) | | (オンチェーン) |
+------------------+ +-------------------+ +------------------+
| 1. イベント発行 | | 2. ステート読取 | | 4. 証明検証 |
| クエリ付き | | 3. プログラム実行 | | 5. 結果保存 |
| | | 証明生成 | | |
+------------------+ +-------------------+ +------------------+
なぜオラクルだけではダメなのか?
オラクル(Chainlink、API3)はスマートコントラクトにオフチェーンデータを提供しますが、オラクル運営者を信頼する必要があります。ZKコプロセッサはトラストレスな計算を提供します:
| プロパティ | オラクル | ZKコプロセッサ |
|---|---|---|
| 信頼モデル | 運営者を信頼 | 数学を信頼(証明を検証) |
| データソース | 外部API | ブロックチェーンステート(検証可能) |
| 計算 | 単純な集約 | 任意のプログラム |
| コスト | リクエストごとの手数料 | 証明検証ガス |
| レイテンシー | 秒 | 分(証明時間) |
主要なZKコプロセッサプロジェクト
Axiom — Ethereum初のZKコプロセッサ。履歴状態クエリに特化。
Brevis — ブロックチェーンデータに対するカスタム計算をサポートする汎用ZKコプロセッサ。
Lagrange — クロスチェーン状態証明に特化。
証明システム比較:SP1 vs RISC Zero vs Jolt
証明システムの選択がZKアプリケーションの開発者体験、パフォーマンス、セキュリティを決定します。
SP1(Succinct)
SP1は任意のRISC-Vプログラムの実行を証明するzkVMです。開発者は標準的なRustコードを書き、RISC-Vにコンパイルし、SP1が正しい実行のZK証明を生成します。
RISC Zero
RISC ZeroはRISC-V zkVMアプローチの先駆者です。STARKベースの証明システムを使用し、最も成熟したツーリングエコシステムを提供します。
Jolt(a16z)
JoltはSNARKやSTARKが使用する複雑な算術回路を回避する新しいルックアップベースの証明アプローチ(Lasso + Surge)を使用します。
比較表
| 機能 | SP1 | RISC Zero | Jolt |
|---|---|---|---|
| ISA | RISC-V | RISC-V | RISC-V |
| 証明システム | Plonky3(STARK) | STARK + Groth16ラッパー | Lasso/Surge(sumcheck) |
| 言語 | Rust | Rust | Rust |
| 検証ガス | ~270K | ~250K | ~300K |
| 証明速度 | 高速(1x) | 中程度(1.5x遅い) | 高速(0.9x) |
| GPUアクセラレーション | あり(CUDA) | あり(CUDA、Metal) | あり(CUDA) |
| 成熟度 | 本番(2025+) | 本番(2024+) | ベータ(2025+) |
よくある質問
ZK証明とZKロールアップの違いは?
ZKロールアップはZK証明の一つのアプリケーションです — ブロックチェーンスケーリングのためにバッチトランザクション実行を検証するためにZK証明を使用します。ZK証明自体は検証可能な計算のための汎用暗号ツールです。
ZKで構築するために暗号学を理解する必要がありますか?
現代のzkVM(SP1、RISC Zero、Jolt)を使えば、不要です。標準的なRustコードを書けば、zkVMが暗号証明の生成を処理します。
EthereumでのZK証明検証のコストは?
Groth16証明の検証は約250-300Kガス(一般的なガス価格で約$0.50-1.50)です。STARK検証はより高コスト(~500K-1Mガス)ですが、証明合成で削減可能です。
ZK証明はAIの安全性を保証できますか?
いいえ。ZK証明は計算の整合性 — プログラムが正しく実行されたこと — を保証します。プログラム(またはモデル)自体が安全か、偏りがないか、人間の価値観と一致しているかは保証しません。
ZK証明はいつ大規模言語モデルに対応しますか?
2026年では対応しません。現在のzkVMは合理的な時間で最大約1,000万パラメータのモデルを扱えます。LLMは数十億のパラメータを持っています。ハードウェアアクセラレーション(ASIC)とアルゴリズムの改善により、中規模LLMの証明は2028-2029年に実現可能になるかもしれません。