开源 AI 产品需求征集
AI 所创造的大部分价值,都流向了那些已经拥有最多的人。我们支持的恰恰相反:开源、私密、运行在普通人手中设备上的 AI,服务于那些长期被市场跳过的人群。
有一个信念贯穿其中。
这项技术应当属于它所服务的人,运行在他们已经拥有的硬件上,并触达世界上最便宜的手机。这份清单分为两部分。第一部分直接面向这些人。第二部分则是让第一部分值得信任的基础。
我们所说的“开源”是什么意思。
一个项目至少有一个核心部分——它的模型、权重、代码、数据或评估集——是任何人都可以运行、检查并在其基础上构建的,而这种开放性正是该产品更优秀的原因。
第一部分
我们正在寻找那些前沿 AI 实验室通常会忽视的、具备公共利益且面向真实世界应用场景的产品。想想那些从未拥有过好工具的人:在没有信号的紧急状况下求助的人、被 AI 诈骗盯上的人、或是从未请过家教的人。
每天有 1,000 名美国人在医院外发生心脏骤停。大脑死亡在 3 分钟内就会开始,而救护车需要 8 到 14 分钟才能赶到。能够救人的知识确实存在,只是保存在他们无法触及的地方。我们希望支持一款即使在网络中断时也能正常工作的紧急指南。
在所有紧急情况下,这种规律都适用:结果在最初的几分钟内,由站在那里的任何人决定。许多在送医前死去的人,如果当时身边的人知道如何打开气道或止血,本可以活下来。 我们迄今为止构建的每款工具都假设有网络信号。打电话、查症状、看视频。但死亡往往集中在信号最弱的地方:农村地区、灾难现场、或是基站倒塌的时刻。能够救人的知识确实存在,只是保存在他们无法触及的地方。 现在,这个问题是可以解决的。小到足以在廉价手机上运行的模型已经变得很优秀。它们可以像惊慌失措的人那样接收输入——一句喊出的话或一张伤口的照片,并引导他们执行正确的急救流程,同时根据情况变化进行调整。 我们希望支持一款即使在网络中断时也能正常工作的紧急指南。它必须在设备本地运行,因为在唯一需要它的场景中,依赖云端的工具是毫无用处的;同时,急救流程必须是开源且因地制宜的,因为印度农村的毒蛇咬伤与俄亥俄州的心脏骤停截然不同。
去年,60 岁以上的美国人报告因诈骗损失了 49 亿美元,平均每人损失 8.3 万美元,而真实数字还要更高,因为大多数人因感到羞耻而选择不报案。AI 让诈骗成本变得极低:完美的网络钓鱼、克隆的声音、甚至能用孙辈一模一样的声音哭喊着要钱,而且全是大规模量产,狠狠地瞄准了那些最没有防范能力的人。如今的防御手段往往在钱财损失之后才迟迟赶到。但同样的技术也可以用来提前阻断伤害。手机上的 AI 应用可以在电话、短信或链接落入手机的瞬间进行读取,并在任何人点击之前识破诈骗的本质。
我们希望支持一款常驻设备本地的“守护者”,它能直截了当地告诉你:“这个来电者正在冒充你的银行。”开源是闭源模型永远无法比拟的优势,因为对于一个会读取你收到的每条消息的工具,你必须能够看透其内部结构。 武装诈骗分子的同一波 AI 浪潮,也可以成为最终在技术上压倒他们、站在接听者这一边的武器。
在低收入和中等收入国家,70% 的 10 岁儿童无法阅读一个简单的故事——这并不是因为他们没上学,而是因为一个拥有 50 名学生且只有一位疲惫教师的班级,根本无法替代一个坐在你身边、在正确的时刻提出正确问题的人。
导师之所以有效,在于因材施教:当你学得顺畅时增加难度,当你遇到绊脚石时变得更温柔。这是没有导师的学习者永远无法得到的,也是以往的教育软件从未真正实现过的。几十年来,软件只会给每个人提供一成不变的固定问题。 大模型将个性化从“课程级别”推进到了“句子级别”。AI 可以陪同学习者一起阅读,将每个问题调整到适合他们的水平,在他们犹豫的瞬间提供帮助,并追踪他们尚未掌握的知识。把它对准记账本而不是书本,它就能教会一个成年人这个世界以为他们早已掌握的数学。 我们希望支持一款能够因材施教、满足每位学习者需求的导师。它在开源环境中构建,可搭载阅读水平扩展包、阅读障碍友好模式以及任何出版商都不会资助的地方语言版本。它必须能在家里最便宜的设备上运行,而且必须免费运行,因为一个身处 50 人班级里的孩子不能按提问次数被收费,而按使用量计费的导师对最需要它的人来说根本算不上导师。
一位农民把她的收成带到她唯一能接触到的买家面前,接受对方给出的价格,因为她没办法证明自己的作物品质更值钱。小农户种植了全球 33% 以上的粮食,但往往因为中间商而损失作物 30% 到 60% 的价值,而且往往根本不知道买家最终卖了什么价格。
中间商并不是恶棍,他们做了农民做不到的实际工作:评估质量、为品质做担保、了解买家和市场行情。但这部分工作终于可以自动化了。 一款 AI 应用可以运行她以往无法企及的“信任层”。通过一张照片,AI 就能为农产品分级,生成远方买家可以信赖的产地记录,将批次与买家进行匹配,根据实时市场进行定价,并从农场一路追踪到销售。中间商过去提供的每项功能,本质上都是这些大模型现在可以胜任的判断任务。 我们希望支持开源构建这一工具的团队,因为最明显的失败模式是该工具变成新的中间商,榨取同样的租金。只有开源版本,才能让价值和数据真正留在农民手中。 农业是地球上最大的市场之一,而其中损失最惨重的人却属于最贫困的群体。
独居的老年人比以往任何时候都多,他们面对着残酷的现状:寿命更长了,目标感在萎缩,社交接触在变少,孩子们离得太远无法时常探望。晚年的孤独不仅令人伤感,它还会带来肉眼可见的身体伤害,而目前的选项大抵只有机构养老或者无人问津。
现在的改变在于,AI 应用可以维持一段真正的、持续的关系:一个每天陪老人聊天、记得他们的家庭、历史和生活习惯的伙伴。这种日常陪伴能做到其他独立应用做不到的三件事:缓解孤独:引导他们走向真实的人群,并且只有当他们与真人建立联系时,AI 才会认为自己成功了。赋予目标感:将他们的技能和经验与需要帮助的人进行匹配。守护健康:每天的交谈意味着它知道老人的正常状态,因此可以发现警示信号(如说话含糊不清或提到摔倒),并通知他们的家人。 我们希望支持在开源环境下构建这一工具的团队。这是一个人拥有的最敏感的数据,家庭只会信任那些无法被打包出售或强行关闭的技术。它还必须融入当地生活,因为“家庭”和“奉献”的含义在世界各地有着巨大的差异。 每个有幸变老的人最终都会走到这一步,或者看着父母走到这一步。
全球有 13 亿人生活在严重残疾中,约有 10 亿需要辅助工具的人无法获得工具。在最贫困的国家,只有 3% 的人能用上,因为那些能为他们打开世界大门的工具(字幕、手语翻译、屏幕阅读器)依然昂贵、分散,且被锁定在各大厂商内部。
现在,一款 AI 应用就能胜任所有这些工作:它可以看懂屏幕、描述内容并进行操作;跟随实时语音;并在手语和语音之间切换——这些工作过去需要购买独立且昂贵的各种产品。 我们希望支持一款人们拿起来就能用的开源助手,因为开源和免费才能让“无障碍”从一项付费功能变成默认配置。盲人用户不应该为了阅读屏幕的权利而永远支付订阅费,按使用量计费的工具恰恰把最需要它的目标群体拒之门外。开源让社群可以将其调整为自己的语言和手语,这是任何商业厂商都无法做到的。
今天有 7,000 种语言仍然存活,超过 40% 面临濒危。商业世界大约只服务其中的 100 种。当最后一位流利的讲述者去世时,一种理解世界的完整方式也随之消逝:那些从未被写下来的故事、医药知识、以及对植物和季节的认知。过去,拯救语言是少数语言学家的工作,一次一个社区,全靠手工。他们的人手从未够过。
这种困境刚刚被打破。一款 AI 应用可以与社区的长者坐在一起,引导他们进行对话和讲故事,并将其转化为活着的东西:不是书架上的档案,而是一个会说这种语言、能教导下一代、并能就它所学到的故事回答问题的模型。难点从来不是录音,而是“合成”——将碎片转化为能够回应的生命体。 我们希望支持那些为了“社区所有”而非“社区租赁”而构建此工具的团队,使其应用可以在本地进行分叉、托管和治理。一种语言绝不能属于一家可以将其出售、锁定或直接撒手不管的公司。 语言是看待世界方式的最后底本。此时此刻,它们正一个接一个地走向消亡。
网络上的深度伪造视频在五年内激增了 500% 以上,到 2024 年,全球每五分钟就会发生一次新的深度伪造攻击。一个真人的假视频、一个从未发生过的故事、一个连音节都和你的儿子一模一样的声音——现在这些都可以零成本制作,在真相醒来之前就已经触达数百万人。受害最深的是那些最没有时间去核实的人,他们在轮班间隙刷着手机,顺手转发给家人。
制造伪造视频的同样模型也可以捕捉它们。运行在你手机本地的 AI 应用可以标记修改过的图像,将某个说法追溯到它的源头,并在你相信或转发前的几秒钟内,告诉你它的实际依据是什么。 我们希望支持一款只对你负责的开源“心智护卫”,因为由平台拥有的真相过滤器只是换了个好听名字的“审查制度”,而唯一值得信任的验证器必须是任何人都可以打开并检查的。 虚假事物的洪流已经到来。要么人们获得一种由自己掌控的防御手段,要么彻底丧失分辨真假的能力。
向慈善机构捐赠一美元,在触及受助者之前,可能就会有四分之一或更多消失在管理成本中;运作最差的机构传递出的资金甚至不到其筹集额的十分之一。其余部分则取决于人类的判断,偏见、偏袒和盗窃极易潜入其中。最需要帮助的人,在决定谁获得帮助时往往最没有话语权。
AI 改变了这两个环节。它可以大规模评估需求,让每个案例都遵循相同的公开规则,并以几乎零成本的方式转移资金——每项决策和交易都公开透明,任何人都可以检查。 我们希望支持任何慈善机构都能运行的开源框架:资金根据规则释放,而不是取决于“看门人”的情绪;一个不隐藏任何内容的公共账本;管理成本被逼近于零。由人类制定规则并对其负责,而分发过程则变得公平且可查证。它只有开源才有效——其核心承诺就是“可验证性”,你无法检查的援助只是隐藏旧偏见的更快方式。 捐赠者应该能够一路追踪他们的一美元,直到它帮到那个人。有史以来第一次,他们可以做到这一点。
第二部分
上述的应用都希望具备私密性和开源性。但如果没有底层的基础,这一切都无法成立:人们真正拥有的助手、证明模型如其所称的凭据、以及防止智能体调头对抗其所有者的铁轨。这是不显方面的另一半,但它决定了其余的一切究竟是否值得信任。
现在每周有 9 亿人将他们的生活倾注给 AI:那些恐惧、计划、以及不愿对任何人提起的事情,而每一个字都会落入公司的服务器。一个人生活中最亲密的软件,恰恰是他们拥有最少所有权的资产。它会有意地忘记他们,听命于训练它的任何人,并将内心生活的记录变成别人的资产。在今年之前,那是唯一的选择。
如今,一个足够优秀的模型已经可以装进你口袋里的手机中,围绕它的声音、记忆和工具调用能力也已经赶上。它可以记住你凌晨 2 点低语的事情,并在早上依然知晓;能将今天的担忧与一年前的担忧联系起来,并全天为你执行任务。 我们希望支持开源、本地化的“Her”,而且它只有开源才有效:一个你无法看透内部结构的助手是一个悲论,因为它的全部承诺就在于它听命于你。本地化是其核心要义,而不是一个可选功能。私密部分离开设备的瞬间,它就不再属于你了;而当它存在于别人的服务器上时,你就在为自己的内心生活永远支付租金,价格由他们以后说了算。
智能体即将为你预订行程、支付账单并以你的名义签字,而接收端的任何人都无法分辨它是否真的属于你,或者它是否只做了你允许的事情。我们通过证书解决了网站的这个问题,通过透明度日志解决了密钥的问题。但对于现在代表我们采取行动的智能体,我们还一无所有。
一旦它们开始转移真正的资金并调用真实的工具,冒充和权限失控就会成为全部的问题。而解决方案终于可以被构建了:数字签名操作、精确限制在智能体可触及范围内的授权、以及任何人都可以检查的公共日志。 它必须是开源的,因为整个生态系统赖以生存的身份证明不能是一个由一家公司拥有的黑匣子。这一层的信任必须是每个人都可以检查的,否则就毫无价值。我们希望支持打下这一基石的团队。
我们即将把钥匙交给智能体:我们的文件、资金、账户,以及在无人注视时于现实世界中行动的能力。一个什么都能做的智能体,也是一个可能被诱导去做任何事的智能体,这使它成为我们构建过的最大攻击面。
新进展在于,限制机制可以像智能体的进化一样快地被构建出来。智能体可以在一个拥有硬隔离墙的沙箱内运行,权限仅限于眼前的任务,其触及范围被严格缩减到它所需的程度,绝不多给。 我们希望支持开源的沙箱和能力控制层,让智能体可以采取行动而无法背叛我们。因为对于在世界上释放的东西,其约束铁轨必须由每个人都能检查,而不是埋在某家公司产品内部的一个设置。
现在,隐藏在网页上的一句话就可以命令某个人的 AI 清空他们的账户,而智能体会像听从主人一样顺从地执行。大多数推出智能体的团队从未在自己的系统上尝试过这种攻击。十年前,我们会把垃圾字符串扔进表单字段来看看有什么会崩盘;智能体时代需要同样的本能,瞄准提示词注入、被投毒的工具输出以及恶意页面,但现在这种本能还付之阙如。新进展在于,红队智能体现在可以模拟真实攻击者的方法,在构建流水线中一遍又一遍地运行这些攻击,然后再暴露给任何一个真实用户。
开源使得它成为一个公共资源而不是一款产品:一个团队发现的漏洞变成了每个人都打上的补丁防御,从而使整个生态系统一起变得坚固,而不是让每个团队独自流血。我们希望支持做这个平台的团队。 我们把智能体接入我们的钱包和收件箱的速度,远快于我们了解它们是如何崩溃的速度。
开源 AI 建立在信任之上:你下载一个陌生人的模型并在其基础上进行构建。但模型是一个由数字组成的黑匣子,一个被投毒的模型在失败的那天到来之前,看起来和干净的模型一模一样。一个在项目间流传的、被篡改的模型,可能会同时在成千上万个产品中携带隐藏的后门。威胁是新的,防御也是新的。现在可以对模型和数据集进行扫描,以检测投毒指纹、隐藏触发器和篡改痕迹,就像杀毒软件读取文件一样,赶在任何人基于它们进行构建之前。
我们希望支持开源模型生态系统的“免疫系统”:能够检查不应存在的内容并分享每个新特征码的工具,从而让一个坏模型无法悄悄感染其余模型。它必须是开源的,因为全世界都依赖的扫描器本身不能是一件让你凭信念盲信的东西。 开源 AI 通过“每个人在每个人的基础上构建”来传播。这是它巨大的优势,而如果没有免疫系统,这也将是它单一的失效点。
你可以追溯一段引言的来源,也可以阅读食品罐头上的标签,但现在回答你最敏感问题的模型在送达时却空无一物:没有谁训练了它、用了什么数据、或者沿途改变了什么的记录。我们给予我们最强大工具的盲目信任,超过了我们给一盒牛奶的信任。这个差距可以被弥补。模型的整个历史、它的起源、它的训练数据、以及此后的每一次变动,都可以被签署并使其具备防篡改特性。这样一来,下载模型不再是一场供应链的赌博,你确切地知道自己正在运行什么。
我们希望支持开源的模型溯源和签名,建立一条从训练运行到下载的托管链。因为一个模型是什么,应该是任何人都可以验证的,而不是网页上的一个声明。开源正是让记录本身变得值得信赖的原因,而不是变成又一个可以伪造的标签。 我们即将让世界运行在那些并非由我们训练的模型上。我们至少可以要求知道它们来自哪里。
当 AI 拒绝了你的贷款、读取了你的医学扫描、或者从堆积如山的简历中筛掉了你时,你被告知是由模型做出的决定,并且你被期望去相信它。你无法看到究竟是哪个模型在实际运行,或者他们广告里宣传的那个严谨模型是否就是他们实际使用的模型。盲信不再是唯一的选择。现在已经可以生成密码学证明,证实某个输出确实来自某个特定模型和所声称的精确代码,且运行在没人能秘密更换的硬件上——这是一份无法伪造的收据。
我们希望支持开源的可验证推理,即允许任何人确认实际运行了什么的证明层。因为随着 AI 步入改变人生的决策中,运营商的一面之词是远远不够的,一个每个人都能检查的证明,胜过一个没人能打包票的承诺。 很快,关于一个人最大的决策将由模型做出。我们究竟是可以审计它们,还是只能简单地信任它们,这在当下正被决定。
少数几家实验室决定了每个主要 AI 的思考方式:它会说什么、不会说什么、坚守哪些底线。数十亿人继承了这单一的设置,无论它是否契合他们的生活、信仰或文化。没有哪个个体能够重新训练一个模型来反映他们自己的价值观。这种设置不再是固定的了。模型可以接收对某人所看重事物的朴素陈述,并真正改变其回答方式,无需重新训练——只需将几个问题转化为一个可移植的文件(系统提示词或技能),你就可以将其附加到任何 AI 上,并在你改变主意时随时编辑。
它必须是开源的,这样任何人都可以确切地阅读该文件在做什么,并确信它听命于他们,而不是幕后的某个人。我们希望支持打造这种技能的团队。 人类历史上使用最广泛的工具,不应该由少数建造者塞进一套单一的价值观。
医院、学校、城镇供水系统遭受着与银行相同工具的攻击,但只有银行才雇得起最先找到漏洞的人才。其他所有人都在盲目交付,并在被攻破的那天被动得知自己已经暴露;而据估计,网络犯罪正朝着每年给世界造成超过 10 万亿美元损失的方向发展。这个差距正在迅速缩小。AI 智能体现在可以探测系统、将系统弱点串联起来,并以任何人类团队都无法企及的速度像攻击者一样思考。
我们希望支持一个由攻击型智能体组成的开源公社,资产所有者可以在获得授权的情况下在自己的系统上启用它们,进行不间断的测试,并将每种技术流回共享存储库。开源使它成为一个公社而不是又一个被锁定的工具:智能体在被信任之前可以接受审计,且防御在开源环境中产生复利。 有史以来第一次,防御这一方复利增长的速度可能快于攻击那一方。
开源 AI 的自由度取决于其底层的硬件,而现在,这些硬件是可以被收回的。云服务商可以暂停账户,公司可以下架模型,政府可以命令服务停摆,而且一旦你依赖它,价格随时可能上涨。数万人赖以生存的工具在隔夜之间消失了,或者变得负担不起,而这往往发生在危机使其显得最至关重要的时刻。这种依赖并不是一条自然法则。模型现在可以在分布式算力上运行,没有任何单一的云、公司或国家可以将其关闭,就像在网络中共享的文件比任何一台宕机的机器活得都久一样。
我们希望支持开源 AI 的抗审查主干网络,即当某些有权势的人想要让其停摆时依然能保持运行的算力与分发网络。因为如果访问权可以随时被剥夺,运行模型的自由就毫无意义,只有开源的分布式网络才没有在任何人触及范围内的开关。 一个社会所依赖的 AI 不能属于任何可以将其夺走的人。归根结底,韧性只是主权的另一种说法。