G瑞莱智慧徐世真：隐私计算商业化落地面临四大挑战， mpc( 二 ) 合作伙伴|顺丰|美团|山姆|山姆

三、AI发展趋势为隐私计算的未来发展提供借鉴
刚刚聊到AI和隐私计算之间的关系，其实我们可以用AI的发展趋势预测隐私计算将来的发展趋势。
第一，AI为隐私计算解决兼容互通问题提供了借鉴。AI也有很多框架，比如Tensorflow、PyTorch，各个框架之间也很难互通，但后来出现了ONNX，在数据流图层把各家的协议集中汇聚起来，再转移成另一个框架可以执行的东西。数据流图层面的兼容，是AI发展为解决框架之间互联互通问题提出的方案，对隐私计算的互联互通具有借鉴意义。
第二，AI为隐私计算性能优化提供了方向。我们知道AI也是吃算力的，AI的性能优化基本沿着两条路线，一是硬件升级，最早是CPU，后来又有GPU，再到现在专用的AI芯片；二是算法升级，包括模型的压缩、蒸馏、剪枝，把大模型变成小模型，这些对于隐私计算的发展也是适用的。
第三，AI为隐私计算解决安全性问题提供了路径。我们做了一个技术实验，一张雪山的图片，经过添加对抗噪声，可以让AI识别错误，让其识别成一张狗的图片，这是AI的安全性问题。隐私计算也面临类似的问题，比如通过横向联邦中的数据投毒、模型污染化，所以AI和隐私计算在安全性提升方面面临的问题也是相通的。
第四，AI为隐私计算场景落地问题提供了借鉴。前几年一直说AI赋能万物，AI赋能所有产业，现在大家发现是产业结合AI、场景结合AI。隐私计算目前也处在这两种思想的汇聚期，到底是隐私计算作为底座赋能所有产业，还是结合具体场景来选择相应的隐私计算技术？这是两种路线之争。当然，我们相信结合场景的AI更有价值，结合场景的隐私计算也更实际、更可落地、更有价值。
从AI的发展经验来推演隐私计算的发展，在技术路径方面，概括来说有以下几个思路：
第一，编译器路线。兼容互通应该在底层算子层完成，不应该只停留在软件层或集成层，底层数据流图也是安全、可追溯、可验证的工具，可表达计算逻辑。第二，性能优化。短期可以通过优化底层的密码库来实现，未来还需要新硬件的介入，更好地提升速度。第三，隐私计算的安全性，包含抵御密码协议层和应用层的恶意攻击，随着AI的发展，一些对抗样本攻击的问题开始出现，隐私计算的发展将来也将面临一些新安全问题，我们应该在当前发展的时候就考虑到，而不是先发展后治理。
四、隐私计算的产业路径需要逐场景落地
同样参考AI发展模式，我们认为隐私计算的产业路径需要逐场景落地，并根据不同的场景选择不同的技术路线。借用信通院讲的三大技术路线来阐述多方安全计算、联邦学习和可信执行环境各个路线之间的优劣势。
（1）从应用场景来说，MPC更适合数值类简单计算和查询求交类特定计算；联邦学习主要是针对机器学习的场景，计算逻辑比较复杂，不是简单计算；TEE更适合通用计算场景，比如有时候想跑一个完整的Tensorflow或数据库应用，用前两个比较难，用这个比较合适。
（2）从技术优势的角度来说，简单的分布式统计/查询求交场景下，MPC比较成熟，但复杂计算情况下受限于通信情况，还是不太成熟；联邦学习，保证数据不出库的情况下进行复杂的机器学习、建模，大部分情况下的计算性能还是尚可的，但是在一些特别大量的数据下，密码学计算还是主要的限制；TEE是集中式的数据处理，易开发，它的算法/框架生态是最好的。
（3）从技术劣势的角度来说，MPC的通信量大，支持简单的计算逻辑可行，但计算逻辑一旦复杂，就耗费一定时间，比如一个Resnet，2-party，一张图片的inference可能需要10分钟以上，在实际落地中是完全不可接受的；联邦学习主要是面向AI建模场景，但有的场景就是想简单的求和、求最大值，这时候联邦学习就不是理想方案；TEE主要劣势是依赖于硬件厂商的硬件可信性，和用户是否接受数据集中式处理。
目前隐私计算这一赛道比较火热，但是还有很多问题没有解决。比如隐私计算解决的是数据流通安全性的问题，分离了数据所有权和使用权，避免流通过程中的资产损失，但它没办法解决端到端的安全问题。很多企业更希望获得的是端到端安全保障，比如数据存储、数据采集怎么做，以及数据流通前后的权属该怎么定，隐私计算在解决这样的全链路安全问题上，还面临着一系列挑战。所以，隐私计算仅仅是企业合规建设中的一个技术环节，整体上还是需要在法律法规的指导下进行。