【臉書】阿富汗塔利班接管身分系統的民主啟示

背景

開工日來翻譯《史丹佛區塊鏈法律與政策期刊》上個月發表的論文〈人工智慧與民主的數位身分危機〉，裡面竟然以台灣作為女巫攻擊（協同操縱）的案例探討。

先舉一個驚心動魄的片段：「塔利班接管阿富汗的身分驗證系統是一個關於中心化身分證明資料庫危險性的警示故事。在入侵阿富汗後，外國政府建立了包含阿富汗人生物辨識和個人資料的全面資料庫，用於各種目的。當美軍撤出阿富汗時，塔利班獲得了其中一些系統的訪問權限，這些系統包含了虹膜掃描、指紋、照片、職業、家庭地址和親屬姓名等資訊 。其中一個由美國政府資助的系統中，至少包含了250萬阿富汗人的記錄。有證據表明，塔利班利用這些生物辨識資料來打擊其認為的對手，包括在占領期間與外國政府合作的人。 」

（翻譯全文見連結）

以下是論文摘要：

人工智慧與民主的數位身分危機

觀察

現代民主制度取決於數位溝通的完整性。使用AI的工具已經成熟，使少數人可以利用過時且易受攻擊的身分驗證系統，進行前所未有的不實訊息活動。政府可能會藉由大規模中心化身分驗證系統來減輕這一風險；然而，這些中心化系統本身可能對其保護的民主進程構成風險。

身分證明

隨著人工智慧系統能夠模仿人類互動，具有彈性且保護隱私的身分證明（Attestation）可以大幅減少冒充事件，並使不實訊息易於識別和遏止。身分證明至少有兩項關鍵：證明的技術如何組成，與其如何治理。將兩者去中心的身分證明可以讓使用者對自己的身分資料擁有控制權，保護隱私，減少被駭客攻擊的風險，並降低操縱可能。

藉由了解身分證明在「中心—去中心」光譜上的定位，我們更容易了解各種身分證明的成本和效益。我們將討論各種身分證明種類，包括政府、生物辨識、聯邦身分和信任網絡等。其中案例包含愛沙尼亞數位身分（e-Estonia）、中國社會信用系統、世界幣（Worldcoin）、OAuth、X（前身為Twitter）、Gitcoin Passport和以太坊證明系統（EAS）等。

身分驗證系統

使用者、身分證明（Attestation）和身分提供者之間的關係構成了身分驗證系統。我們相信不斷進化且與其他進化中的身分相連接的身分，並且彼此互相驗證，是最具彈性的系統。在這種類型的系統中，每個實體都對證明過程做出了相應的「信任」貢獻，從而打造了更大、更全面的證明集合。身分聚合器（aggregators）服務由此誕生，例如 Gitcoin Passport 是一個聚合器，它使社群能夠藉由單一工具要求多個中心化或去中心化的證明來驗證使用者身分。我們相信這些系統可能是驗證身分和防範惡意行為者利用人工智慧對民主造成威脅的最佳方法。

想法

政府對身分的中心化方法的危險

我們相信，使用人工智慧進行冒充和不實訊息攻擊將對民主過程產生重大影響。政府可能會全面使用個人資訊和生物辨識的中心化數位身分驗證系統；然而，我們在此提出警告，不要使用這些系統，因為它們可能使政府過度強大，並對民主產生鬆動的風險。特別是現有的和未來即將發生的驗證系統，政府將把這些作為壓制民主和打壓持異己的手段。在本節中，我們將研究中國的社會信用系統、e-Estonia以及塔利班在阿富汗接管西方身分驗證系統和資料的情況。

給政策制定者的建議

鑑於上述風險又急又廣，政策制定者需要加快並支持身分證明和認證系統的研究。

1. 支持身分標準制定組織發展：政府應參與標準制定組織的建立和維護，這些組織可以幫助制定數位身分的標準，以改善其各種功能，包含但不限於安全性、可靠性和兼容性。

2. 為去中心化工具的開發者提供釐清法規：去中心化身分驗證和相關工具的開發者常常面臨法律不確定性，這限制了創新的可能。我們建議美國政策制定者藉由立法提供法律明確性，並促進善意行為者在相關技術上的創新。

3. 資助有效的身分驗證系統：目前相關研究仍然有限，包含各種數位身分驗證系統的效能，以及政府使用這些系統的長期影響。我們建議政府在大規模部署之前，應該資助使用者研究，以了解身分驗證系統在不同情境下的運作方式。此外，隨著更多資料出台，我們建議持續評估這些系統及其實際效果。