量子计算对现有加密体系的威胁已从理论走向工程可预期性。Google 量子人工智能团队于 2026 年 3 月发布的白皮书,将破解椭圆曲线密码学所需的量子资源预估降至约 1,200 个逻辑量子比特与 9,000 万个 Toffoli 门,在超导量子计算机上仅需不到 50 万个物理量子比特即可在数分钟内完成攻击。这一数字较此前的普遍估算降低了约二十倍,意味着区块链行业需要重新评估其安全时间线。然而,如何向业界传达这一威胁而不至于为恶意行为者提供攻击路线图,同时避免引发市场恐慌与信心崩溃,成为一个前所未有的披露困境。Google 在该白皮书中提出了一套结合零知识证明、与政府协调以及避免 FUD 策略的负责任披露框架,为量子计算研究社区提供了可参考的实践范式。
传统负责任披露模式的技术基础
漏洞披露历来是安全领域最具争议性的话题之一。支持「完全不披露」的观点认为,公开漏洞细节等同于向攻击者提供操作手册;而「完全披露」的支持者则主张公众有权知情,以便自行采取防护措施并施加压力促使厂商修复。这两种立场的张力催生了当前主流的「负责任披露」与「协调漏洞披露」模式,其核心特征是在一定期限内对漏洞信息进行保密,为受影响方留出修复窗口。
国际标准 ISO/IEC 29147:2018 对此提供了框架性指导,要求披露方在公开漏洞前应与供应商协调,并设定合理的修复期限。Google Project Zero 将这一原则进一步量化,明确规定漏洞披露的 embargo 期限为 90 天,逾期即自动公开,无论修复是否已完成。该策略的核心逻辑在于:通过设定明确的时间底线,既避免厂商无限期拖延修复,又确保安全社区能够在漏洞公开后自行评估风险并采取缓解措施。 Carnegie Mellon 大学的 CERT/CC 同样采用类似的多阶段披露流程,区别在于其会根据漏洞复杂度酌情延长协调期限。
这些传统框架的技术假设是:漏洞信息本身具有可操作性,攻击者与防御者获取同等信息后,防御方可以通过代码修复、配置变更或升级替换来消除风险。然而,当威胁来自尚处于发展阶段的量子计算硬件、且修复需要整个生态系统协同迁移至后量子密码学时,单纯的「披露 — 修复」二元模式面临根本性挑战。量子攻击的资源门槛虽已大幅下降,但真正部署可用的密码学相关量子计算机仍需数年时间,这一时间窗口既是机遇也是风险:过早披露可能引发市场恐慌与技术滥用,过晚披露则可能使行业错失准备窗口。
零知识证明:验证而不泄露的技术机制
Google 在该白皮书中最具技术创新的部分在于其「可验证但不泄露」的披露方法。团队没有直接公布用于破解椭圆曲线离散对数问题的量子电路实现细节,而是发布了一个「零知识证明」构造。零知识证明是一种密码学协议,证明者可以在不向验证者透露任何实质性信息的前提下,使验证者确信某个陈述为真。在 Google 的方案中,这一构造允许第三方独立验证团队所声称的量子资源估算是否准确 —— 即攻击确实需要约 1,200 个逻辑量子比特与特定数量的 Toffoli 门 —— 但验证者无法从证明中提取出实际的量子电路,因而无法直接利用该信息构建攻击工具。
这一设计精妙地平衡了透明性与安全性。安全社区可以通过审查零知识证明的构造来评估 Google 估算的可信度,从而决定是否需要提高警惕并加速迁移计划;同时,即使恶意行为者获取了这份证明,也无法直接从中萃取出可执行的量子攻击代码。这与传统的漏洞披露形成了鲜明对比:传统模式下,披露的漏洞细节本身就是攻击手册,而在零知识证明框架下,披露的是「存在一种攻击方法」的数学保证,而非该方法的具体实现。
从工程实现角度,零知识证明的构造涉及复杂的密码学假设与电路复杂度分析。Google 团队选择了当前密码学界广泛认可的安全性假设,确保证明本身不会引入新的攻击面。这一选择意味着,即使未来出现对零知识证明协议本身的攻击,证明的可靠性也不会受到影响。从实践角度,任何希望验证 Google 估算的研究团队都可以在理解零知识证明协议后独立运行验证程序,而无需依赖 Google 提供的中心化验证服务,从而实现了去中心化的信任建立。
区块链生态的双重脆弱性
负责任披露在区块链领域的复杂度远超传统软件漏洞,其根本原因在于区块链系统同时承载着技术安全与金融信心两个维度。传统安全威胁通常表现为数据泄露、服务中断或权限突破,这些后果可以通过技术手段评估与修复。但区块链上的加密货币不仅是信息系统,更是价值存储与转移工具,其存在基础既包括底层密码学的数学安全性,也包括公众对系统可靠性的信任。
Google 团队在白皮书中明确指出,未经验证且夸大其词的量子计算威胁本身就是一种攻击手段。通过传播不科学的量子资源估算或渲染量子计算即将突破的言论,攻击者可以制造「恐惧、不确定与怀疑」(FUD),导致持币者抛售、投资者撤离以及生态项目崩溃。这种攻击甚至无需真正掌握量子计算能力,只需利用社区对量子威胁的焦虑即可达成目的。因此,Google 在披露策略中专门设置了「免疫区域说明」与「已有进展澄清」两个模块:前者阐明区块链中哪些环节不受量子计算影响(如哈希函数在当前估算资源下仍属安全),后者列举行业已迈向后量子密码学的具体进展。这两处信息的目的不在于弱化威胁,而在于将讨论锚定在科学事实的基础上,防止威胁被放大为市场操纵的工具。
此外,区块链的治理结构也为披露响应带来了独特挑战。与传统软件厂商可以单方面发布安全补丁不同,区块链的升级往往需要通过社区共识机制实现,涉及核心开发者、矿工、验证节点与代币持有者的多方协调。这意味着披露后的修复周期可能远长于传统系统,从而对披露时机的选择提出了更严格的要求。
实践参数与生态协同机制
将 Google 的框架抽象为可操作的参数,可以提炼出以下关键阈值与机制设计。首先,在披露节奏上,建议采用「政府预协调 — 技术社区验证 — 公众渐进公开」的三阶段流程。Google 在本次披露中选择首先与美国政府相关部门沟通,这一做法的考量在于:政府机构具备跨部门协调能力,可以在披露公开前评估宏观经济影响并准备应急响应预案,同时政府背书有助于提升披露内容的公信力。从时间分配上看,政府协调阶段可设定为 30 至 45 天,技术社区验证阶段通过零知识证明的可公开审查性可在 60 天内完成,之后即可向公众发布经充分验证的威胁评估。
其次,在信息粒度控制上,建议将披露内容分为三层:技术细节层仅面向具备量子计算与密码学背景的专业研究社区,通过零知识证明或类似密码学构造提供可验证但不泄露的估算;影响评估层面向区块链项目方与安全团队,明确说明哪些共识机制、签名算法与密钥派生方法面临风险;公众沟通层则侧重于普及量子威胁的基本概念、澄清误解并指引迁移路径。各层信息披露应遵循「先内后外」原则,确保每一层的信息发布都不会为更广泛的受众提供超出其应对能力的操作细节。
第三,在生态协同角色分配上,量子计算研究团队负责提供科学的资源估算与零知识证明;政府与标准组织负责制定迁移时间线与合规要求;区块链项目方负责评估自身技术栈的脆弱性并制定升级方案;安全社区负责独立验证研究结论并向公众传播准确信息。Google 在白皮书中提到的合作方包括 Coinbase、斯坦福区块链研究中心与以太坊基金会,这一多方协作模式值得行业借鉴。具体的协同机制可包括:定期召开跨社区技术会议、共享量子资源估算的验证结果、以及建立统一的漏洞评分体系以评估不同区块链对量子攻击的敏感度。
从技术迁移的具体参数来看,Google 建议行业采取的短期措施包括:禁止暴露或重复使用易受攻击的钱包地址、评估热钱包与冷钱包的签名算法并优先升级高价值资产所使用的密钥系统;长期措施则指向全面迁移至后量子密码学算法,如基于格密码的数字签名方案。Google 同时指出,由于部分区块链项目已停止维护或社区解散,针对「废弃加密货币」的政策选项(如强制迁移至新链或设置时间锁)也值得政策制定者考虑。
行业对话与持续演进
负责任披露不是一次性的事件,而是一个持续对话的过程。Google 在白皮书末尾明确表示,欢迎量子计算、安全研究与政策社区共同讨论并完善披露规范。这一姿态反映了一个基本事实:在量子计算从实验室走向大规模应用的过程中,没有任何单一实体可以独立完成风险评估与应对准备。量子资源估算会随着硬件进步而持续优化,密码学攻击方法也会不断推陈出新,因此披露框架本身需要具备演进能力。
从更宏观的视角看,Google 的这一实践为整个安全研究社区提供了一个值得深思的范例:当威胁的技术细节本身可能构成风险时,如何通过密码学创新实现「透明但不透明」的披露效果。零知识证明在此扮演的角色不仅是技术工具,更是一种思维方式的转变 —— 从「披露信息」转向「披露信息的可信度」。这一转变或许将深刻影响未来安全漏洞披露的范式,尤其是在涉及国家安全、关键基础设施与大规模金融系统的场景中。
随着量子计算硬件按照 Google 所预测的 2029 年时间线逐步接近实用化,加密货币行业所面临的不是是否需要迁移的问题,而是何时迁移以及如何协调迁移的问题。负责任披露框架的价值在于为这一进程创造一个理性、可验证且具备社会共识的基础,使技术进步的风险能够在充分的信息对称条件下得到管控,而非在恐慌与混乱中被迫应对。
资料来源:Google Research Blog, "Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly" (2026-03-31)