Vitalik prône la preuve à divulgation zéro pour la protection de la vie privée de l'IA ! Paiement anonyme des conversations pour lutter contre l'abus

Davide Crapis, responsable de l’IA à la Fondation Ethereum, et Vitalik Buterin, co-fondateur d’Ethereum, proposent d’utiliser la preuve à divulgation nulle de connaissance pour garantir la confidentialité des interactions des utilisateurs avec de grands modèles linguistiques, tout en empêchant le spam et les abus. Chaque fois qu’un utilisateur envoie un message à un chatbot IA, cela déclenche un appel API. Ils affirment que le défi central pour les utilisateurs et les fournisseurs est la confidentialité, la sécurité et l’efficacité.

Risques de confidentialité et juridiques liés aux enregistrements de conversations IA

(Source : Davide Crapis)

Chaque fois qu’un utilisateur envoie un message à une application logicielle (par exemple, un chatbot IA), cela déclenche un appel API. Crapis et Vitalik Buterin ont indiqué dans un article de blog mercredi que le défi principal pour les utilisateurs et les fournisseurs est la confidentialité, la sécurité et l’efficacité. Ils déclarent : « Nous avons besoin d’un système où l’utilisateur peut déposer des fonds une seule fois, puis effectuer de manière anonyme, sécurisée et efficace des milliers d’appels API. » Ils ajoutent : « Il faut garantir que le fournisseur reçoive le paiement et soit protégé contre le spam, tout en assurant que la requête de l’utilisateur ne puisse pas être liée à son identité ou à d’autres utilisateurs. »

Avec l’usage croissant des chatbots IA, la fuite de données de grands modèles linguistiques (LLM) devient une préoccupation majeure. Les chatbots traitent souvent des données hautement sensibles, et relier l’usage à l’identité pourrait entraîner de graves risques juridiques, de confidentialité et de sécurité. Les logs peuvent même servir de preuve en justice. Ces risques ne sont pas théoriques, des cas concrets existent déjà.

Par exemple, si quelqu’un demande dans ChatGPT « comment éviter légalement l’impôt » ou « comment gérer un litige de patrimoine avec un ex-partenaire », ces conversations pourraient être invoquées lors d’un divorce ou d’une enquête fiscale. Dans des cas extrêmes, si quelqu’un pose des questions sur des sujets politiques sensibles ou du contenu illégal dans un pays autoritaire, ces enregistrements pourraient conduire à des persécutions politiques. Les services IA actuels conservent généralement les conversations, prétendant qu’elles sont cryptées et anonymisées, mais ces protections peuvent échouer face à une assignation ou à une attaque de hackers.

Les trois principaux problèmes des appels API IA actuels

Risques pour la confidentialité : le fournisseur sait qui a demandé quoi, ce qui peut être divulgué ou contraint à divulguer

Traçabilité : basé sur l’identité, avec email ou carte bancaire, révélant la vraie identité

Coût et inefficacité : paiement sur chaîne par requête, lent, coûteux et traçable

Crapis et Buterin expliquent qu’actuellement, les fournisseurs sont contraints de choisir entre deux « chemins sous-optimaux » : une approche basée sur l’identité, obligeant l’utilisateur à fournir des informations sensibles comme email ou carte bancaire, ce qui pose des risques pour la vie privée ; ou un paiement sur chaîne par requête, lent, coûteux et traçable. Aucun de ces deux chemins ne protège réellement la vie privée de l’utilisateur.

Solution d’anonymat par dépôt avec preuve à divulgation nulle de connaissance

Crapis et Buterin proposent un système où l’utilisateur dépose des fonds dans un contrat intelligent, puis effectue des appels API sans révéler son identité ou relier ses requêtes, en utilisant la preuve à divulgation nulle de connaissance et un limiteur de débit pour payer et lutter contre le spam. Ils déclarent : « L’utilisateur dépose 100 USDC dans le contrat intelligent, puis envoie 500 requêtes à un LLM hébergé. Le fournisseur reçoit 500 requêtes valides, payées, mais ne peut pas les relier à un même déposant ni entre elles, tout en empêchant leur lien avec l’identité de l’utilisateur. »

La logique technique est la suivante : l’utilisateur dépose 100 USDC (ou autre crypto) dans le contrat, qui génère pour lui un ensemble de preuves anonymes (basées sur la preuve à divulgation nulle de connaissance). À chaque requête, l’utilisateur fournit une preuve anonyme « j’ai payé, mais je ne te dis pas qui je suis ». Le fournisseur vérifie la validité de la preuve, fournit le service, mais ne peut pas savoir à qui appartient la requête ni relier plusieurs requêtes à un même utilisateur.

« Ce modèle impose que l’utilisateur prouve que ses dépenses cumulées (représentées par un indice de ticket actuel) restent strictement dans la limite du dépôt initial et des remboursements vérifiés. » Cela empêche la double dépense. L’utilisateur ne peut pas faire plus de 500 requêtes avec 100 USDC (par exemple, 0,2 USDC par requête), la preuve à divulgation nulle garantissant que la dépense ne dépasse pas le dépôt, sans révéler qui dépense.

Mécanisme innovant contre la double mise et l’abus

Pour empêcher les fraudeurs, la production de contenu illégal, les tentatives de jailbreak et autres violations des conditions d’utilisation, Crapis et Vitalik Buterin proposent un système de double mise. Si un utilisateur tente de faire une double dépense, son dépôt peut être saisi par n’importe qui (y compris le serveur). Mais si l’utilisateur viole les conditions, son dépôt est envoyé à une adresse de destruction, et cet événement de saisie est enregistré sur la blockchain.

Crapis et Buterin expliquent : « Par exemple, un utilisateur peut soumettre une requête demandant une explication pour fabriquer des armes ou contourner des contrôles de sécurité, ce qui viole souvent les politiques d’utilisation. Bien que l’identité de l’utilisateur reste cachée, la communauté peut auditer la fréquence à laquelle le serveur brûle des dépôts et examiner les preuves de ces actions. »

Ce mécanisme équilibre confidentialité et responsabilité. L’utilisateur bénéficie d’une anonymat complet, mais en cas d’abus (contenu illégal, jailbreak), il perd son dépôt en guise de punition. Bien que cette punition économique ne puisse pas empêcher totalement tous les abus, elle augmente le coût de l’abus. L’ensemble reste anonyme, le fournisseur et la communauté pouvant voir « quelqu’un a été puni pour violation », sans connaître précisément qui.

Ce design « anonyme mais responsable » pourrait devenir un nouveau paradigme pour la protection de la vie privée. Il prouve que confidentialité et sécurité ne sont pas forcément opposées, et que par l’innovation cryptographique, on peut réaliser les deux simultanément. Si cette solution était adoptée par des entreprises comme OpenAI ou Anthropic, cela pourrait révolutionner le modèle de confidentialité des services IA.

Pour l’utilisateur, cette solution pourrait signifier : déposer 100 USDC une fois dans son portefeuille, puis utiliser anonymement le service IA pendant des mois ou des années (selon la fréquence d’usage), sans se connecter à chaque fois ou lier une carte bancaire. En cas de violation, il perdrait au maximum son dépôt, tout en restant protégé. Ce modèle « payer pour l’anonymat » pourrait attirer de nombreux utilisateurs professionnels et institutions soucieux de leur vie privée.

Pour le fournisseur IA, cette approche présente aussi des avantages. Elle résout le dilemme actuel : « si je veux la confidentialité, je n’ai pas de revenus ; si je veux des revenus, je perds la confidentialité ». La gestion automatique des paiements via contrat intelligent élimine les frais de carte et la gestion des litiges. La confidentialité assurée par la preuve à divulgation nulle réduit aussi les risques légaux liés à la fuite de données (car aucune donnée d’identité n’est collectée). La mécanique de pénalité par mise en jeu offre une méthode plus efficace contre l’abus que les simples bannissements.