Aztec Network 與 ZKML 深度整合實戰：2026 年隱私協議的最前線

前言：隱私這個題目，說多了容易被請去喝茶

我在寫這篇文章的時候特別糾結——一方面零知識證明和 ZKML 的技術實在太有趣了，另一方面這個領域的監管環境複雜到讓人頭疼。尤其是亞洲市場，日本、台灣、韓國對隱私幣和隱私協議的態度差異大到可以寫好幾本書。

不過技術就是技術，先把東西搞懂再說政治。把 ZKML 整合到 Aztec Network 裡這個方向，代表了一種很有意思的可能性：讓人工智慧可以在不暴露數據的情況下做推理。這在金融領域意味著什麼？意味著你的信用評分可以被驗證，但你不需要把整個財務歷史交給對方。

這個概念本身就足夠值得深入聊聊了。

第一章：Aztec 的雙重 Rollup 架構到底在想什麼

很多人第一次聽到 Aztec 的時候，腦子裡的問號大概跟當年第一次聽說 Layer 2 一樣多。Aztec 既不是 Optimistic Rollup，也不是 ZK Rollup——它是兩者兼顧，官方叫它「雙重 Rollup」。

為什麼需要兩層 Rollup？

想像一下比特大陸的算力戰爭——以太坊的隱私計算就像那些礦工，需要在「正確性」和「效率」之間來回拉扯。

第一層叫做 zkRollup，負責把大量交易打包成一個零知識證明，然後把這個證明提交到以太坊主網。這一層的目標是終局性（finality）——一旦 zkSNARK 證明被驗證，這筆交易就永遠不可逆轉。驗證速度取決於以太坊上的 Gas 成本和驗證合約的效率。

第二層叫做 Private Rollup，這才是 Aztec 的精髓。它維護了一個本地隱私狀態樹，所有交易在這一層都是加密的。外部觀察者只能看到「有交易發生」，但具體是誰轉給誰、轉了多少——完全看不見。

Aztec 雙重 Rollup 架構示意

┌─────────────────────────────────────┐
│        以太坊主網                    │
│  （驗證 zkSNARK 證明，狀態根）       │
└────────────────┬────────────────────┘
                 │
┌────────────────▼────────────────────┐
│      zkRollup 層                    │
│  （批量提交證明，finality）          │
└────────────────┬────────────────────┘
                 │
┌────────────────▼────────────────────┐
│    Private Rollup 層                 │
│  （加密狀態樹，隱私交易）             │
│  （每筆交易產生新的 note hash）       │
└─────────────────────────────────────┘

這種分層設計的巧妙之處在於：zkRollup 層處理的是「如何在以太坊上證明我做了正確的事」，Private Rollup 層處理的是「如何在本地隱藏我做的是什麼事」。兩者各司其職，不互相干擾。

私密 note 的工作原理

Aztec 的隱私模型核心是「note」概念。每筆資產在 Aztec 網路中都是以 note 的形式存在，note 的內容被加密，只有持有對應私鑰的人才能解密。

// Aztec SDK 中創建隱私 note 的示意
import { AztecSdk, GrumpkinAddress } from "@aztec/sdk";

// 用戶 A 向用戶 B 發送 1000 AZT（Aztec Token）
async function sendPrivate(
    sdk: AztecSdk,
    senderKey: Uint8Array,
    recipientAddress: GrumpkinAddress,
    amount: bigint
) {
    // 1. 生成一個新的 note，包含接收者地址和金額
    // 這兩個資訊都會被加密
    const note = await sdk.createNote({
        asset: AZT_CONTRACT_ADDRESS,
        amount: amount,           // 加密
        owner: recipientAddress,  // 加密
        blindingFactor: randomBN(), // 隨機盲因子
    });

    // 2. 創建零知識證明，證明：
    //    - 發送者有足夠餘額（但不暴露餘額具體數字）
    //    - 金額確實是 1000（但不暴露接收者和餘額的關聯）
    const proof = await sdk.createProof({
        functionName: 'transfer',
        args: {
            inputNote: senderNote,
            outputNote: note,
            amount: amount
        },
        sender: senderKey
    });

    // 3. 提交到 Aztec 網路
    await sdk.addProof(proof);
    // 返回的是一個 note hash，外部觀察者只知道「有 note 被創建了」
    // 具體內容？做夢去吧。
}

注意這裡的關鍵：amount 和 owner 都被包在加密的 note 結構裡。外部區塊瀏覽器只能看到「一筆 note 被創建了」，但無法得知金額、接收者、以及這筆 note 和誰的帳戶關聯。

第二章：ZKML 的魔力——在不暴露秘密的情況下做決策

接下來聊一個真正讓我興奮的話題：ZKML。這個縮寫拆開來說就是 Zero-Knowledge Machine Learning，結合了零知識證明和機器學習模型，實現了一種很優雅的能力：我可以證明「我執行了某個模型並得到了結果」，但不需要透露模型本身或輸入數據。

ZKML 在 Aztec 上的應用場景

最有殺傷力的應用場景是信用評估。

傳統金融借貸場景中，你要把完整的財務歷史交給借貸平台，平台用這些數據跑一個信用評估模型，然後決定要不要借給你錢。這裡面有兩個問題：

1. 你暴露了所有財務隱私（收入、消費習慣、債務記錄）
2. 你無法驗證平台的評估模型是否公正

ZKML 可以同時解決這兩個問題：

# 信用評估模型的 ZKML 驗證流程（概念示意）

# 假設用戶 U 想要向借貸合約證明自己的信用分數 >= 750
# 但不希望暴露自己的具體財務數據

# 1. 用戶 U 本地運行信用評估模型
class CreditScoringModel:
    def __init__(self, weights):
        self.weights = weights  # 模型權重是公開的（協議層面）
    
    def predict(self, financial_data: dict) -> int:
        """
        financial_data 包含：
        - 月收入
        - 現有負債
        - 信用歷史長度
        - 還款記錄
        - 消費行為模式
        這些數據完全保密，只在用戶本地使用
        """
        features = self._preprocess(financial_data)
        score = self._forward(features)  # 矩陣乘法 + 激活函數
        return int(score)
    
    def _forward(self, x):
        # 簡化的前向傳播
        # 實際模型會有多層
        result = 0
        for i, w in enumerate(self.weights):
            result += x[i] * w
        return result

# 2. 用戶 U 產生 ZK 證明
# 電路電路（Circuit）定義：
# 輸入：加密的 financial_data
# 電路邏輯：執行 predict()
# 輸出：score >= 750
# 約束：用戶無法篡改模型或輸入

# 3. 電路約束示例（用 Noir 語法表示核心邏輯）
"""
noir
fn credit_check(
    // 加密的輸入特徵
    monthly_income: u64,
    existing_debt: u64,
    credit_history_months: u32,
    payment_score: u64,
    spending_pattern: u64,
    // 模型權重（公開）
    w1: u64, w2: u64, w3: u64, w4: u64, w5: u64,
) -> pub u64 {
    // 加權計算
    let score = w1 * monthly_income 
              + w2 * (1_000_000 / (existing_debt + 1))  // 負債越少分數越高
              + w3 * credit_history_months
              + w4 * payment_score
              + w5 * spending_pattern;
    
    // 這個分數本身就是一個 commitment
    // 外部只知道：這個分數 >= 750
    // 外部不知道：具體的財務數值
    
    assert(score >= 750);
    score
}
"""

# 4. 借貸合約驗證證明
# 合約收到 ZK 證明後，只需驗證：
# - 證明是有效的（電路邏輯被正確執行）
# - 輸出分數 >= 750
# 從頭到尾，借貸合約不知道用戶的月收入、負債、還款記錄

這個流程最妙的地方在於：信用的「可驗證性」和「可隱私性」可以同時成立。借貸平台得到了一個可信的信用評估結果，卻完全不需要接觸用戶的原始財務數據。

ZKML 的技術挑戰

不過說實話，ZKML 目前離大規模落地還有段距離。最大的瓶頸是：在零知識電路中執行神經網路非常昂貴。

拿一個簡單的模型來說：

# 假設我們有一個包含 5 層的神經網路
# 總參數量：約 100 萬個

# 每個參數在電路中都需要約束（constraint）
# 一個 inference 可能需要數百萬個約束
# 以目前的 ZK 證明生成速度：
# - Plonk 電路：每個約束約 100-200 毫秒
# - Halo2（Aztec 使用的）：每個約束約 50-100 毫秒

# 100 萬約束 × 100 毫秒 = 100,000 秒 ≈ 28 小時

# 這就是為什麼目前的 ZKML 應用主要限於：
# - 小型模型（決策樹、邏輯回歸）
# - 有限的特徵數量（< 20 個特徵）
# - 離線預先計算 + 線上驗證的分離架構

好消息是，Aztec 團隊和 Gensyn 等項目正在積極研究硬體加速和更高效的電路優化技術。根據 2026 年第一季度的數據，一些特定的 ZKML 電路已經可以將推理時間壓縮到 30 分鐘以內，隨著 WASM 執行引擎的優化，這個數字還會繼續下降。

第三章：隱私 ERC-20 代幣的實作細節

Aztec 實現隱私 ERC-20 的方式跟傳統代幣合約完全不同。我們來看一下核心架構：

// Aztec Privacy ERC-20 合約核心結構

// 標準 ERC-20 代幣合約（部署在 L1）
contract PrivacyToken {
    mapping(address => uint256) public totalSupply;
    // 注意：這裡的 totalSupply 只是「已鑄造」總量
    // 實際流通中的「隱私余額」存儲在 Aztec 的 L2 狀態樹中
}

// Aztec 隱私封裝合約（部署在 Aztec L2）
contract AztecPrivateToken {
    // 這棵 Merkle 樹的葉子節點存儲了所有 note
    // 每個 note 包含：(owner, amount, nonce)
    // owner 和 amount 都是加密的
    MerkleTree public privateStateTree;
    
    // 零知識電路電路定義
    bytes32 constant DEFI_CIRCUIT_HASH = 
        0x1234...; // 電路 committed hash（不可篡改）
    
    // 隱私存款：從 L1 轉入 L2
    function deposit(
        address asset,       // L1 上的代幣位址
        uint256 amount,       // 存款金額
        bytes32 secretHash    // 用戶提供的秘密承諾（commitment）
    ) external payable {
        // 1. 從用戶那裡轉移代幣到 L1 合約
        IERC20(asset).transferFrom(msg.sender, address(this), amount);
        
        // 2. 在 L2 狀態樹中創建一個新的 note
        // note 內容：owner = msg.sender 的公鑰 commitment
        //            amount = amount
        //            secret = 隨機數（只有用戶知道）
        bytes32 noteCommitment = _createNoteCommitment(
            msg.sender, amount, secretHash
        );
        
        // 3. 提交 commitment 到 L2 狀態樹
        privateStateTree.insert(noteCommitment);
        
        // 4. 發出事件（只有 commitment，無內容）
        emit Deposit(msg.sender, asset, amount, noteCommitment);
    }
    
    // 隱私轉帳：完全不可追蹤
    function privateTransfer(
        bytes32[] calldata inputNotePath,   // 輸入 note 的 Merkle 證明
        bytes32[] calldata outputNote1Path, // 輸出 note 1 的 Merkle 路徑
        bytes32[] calldata outputNote2Path, // 輸出 note 2 的 Merkle 路徑
        bytes calldata zkProof             // 零知識證明
    ) external {
        // 驗證零知識證明：
        // 電路約束確保：
        // 1. input_note.owner == msg.sender（發送者有權使用這個 note）
        // 2. input_note.amount == output_note1.amount + output_note2.amount
        //    （金額守恆，沒有憑空創造代幣）
        // 3. 所有 note 都在當前狀態樹中（沒有雙花）
        
        _verifyProof(DEFI_CIRCUIT_HASH, zkProof);
        
        // 將舊 note 標記為已使用（nullified）
        // 創建新的 note
        // 這一切都發生在 L2，外部完全不可見
    }
}

有個細節特別值得注意：金額守恆定律。在 privateTransfer 中，ZK 電路會強制約束 input_amount == output1_amount + output2_amount。這就是為什麼即使每一筆交易都是加密的，Aztec 仍然可以保證系統的代幣總量不會出錯——數學不會說謊。

第四章：亞洲市場的合規落地策略

說了這麼多技術細節，現在來聊聊最現實的問題：各國監管機構怎麼看這些東西？

台灣：沙盒實驗的窗口期

台灣金管會從 2023 年開放金融監理沙盒以來，已經有多個區塊鏈項目進入了沙盒或準沙盒階段。針對隱私協議，金管會的立場是：可以技術，但不能成為洗錢工具。

實際操作中，Aztec 類型的隱私協議如果要進入台灣市場，需要滿足以下條件：

台灣合規要求摘要：
1. 實名制門檻（Travel Rule）：
   - 超過 3 萬新台幣的轉帳需要記錄發送方和接收方的身份資訊
   - 隱私協議需要在「可選隱私」模式下運行，不能強制隱私

2. 可疑交易報告（STR）：
   - 金融機構有義務報告可疑交易
   - 隱私代幣的「可選擇性揭露」功能變得格外重要

3. VASP 牌照：
   - 在台灣提供加密資產服務需要向金管會登記為 VASP
   - 隱私協議本身可能不需要牌照
   - 但整合隱私功能的交易所/DeFi 應用需要牌照

對於 ZKML 信用評估這一塊，台灣的銀行對這種技術態度謹慎但開放。兆豐銀行和玉山銀行在 2025 年都啟動了區塊鏈信用驗證的內部研究，其中一個方向就是類似 ZKML 的「可驗證但不可見」的信用核查機制。這對用戶來說是個好消息——未來或許可以在不暴露隱私的情況下獲得銀行贷款。

日本：FSA 的嚴格紅線

日本的監管環境是出了名的嚴格。2026 年，日本金融廳（FSA）對隱私代幣和隱私協議的態度可以總結為：原則禁止，例外審批。

具體來說：

• Tornado Cash 類型的強制隱私協議：在日本完全禁止使用，提供此類服務構成刑事犯罪
• Aztec 類型的可選擇隱私協議：理論上允許，但需要滿足 JVCEA 的嚴格審查
• ZKML 信用評估：這是一個灰色地帶，FSA 目前沒有明確的指導方針，但暗示「不暴露原始數據」的技術可能更容易獲得批准

一個值得關注的趨勢是，日本的 DeFi 應用正在探索「合規隱私」模式：預設所有交易都是公開的，但用戶可以選擇啟用隱私模式。選擇隱私模式的用戶需要完成額外的 KYC，並設定單筆和每日隱私交易的金額上限。

這種「可選擇隱私」的設計哲學，其實跟 Aztec 的 Privacy Pool 概念高度吻合——你可以保護隱私，但你要為這個權利付出代價（合規成本）。

韓國：Kimchi Premium 催生的複雜生態

韓國是全球加密貨幣監管最嚴格的地區之一。2025 年修正後的《特定金融交易資訊法》（特別標示法）將所有虛擬資產服務提供商（VASP）納入監管範圍，包括 DeFi 協議的前端運營商。

對於 Aztec 和 ZKML，韓國市場的特殊之處在於：

韓國市場觀察：
1. 泡菜溢價（Kimchi Premium）催生了大量的跨境套利需求
   - 這些需求天然需要隱私保護（避免被監管追蹤跨境資金流動）
   - 但這也讓韓國用戶成為反洗錢（AML）監管的重點對象

2. 韓國交易所（Upbit、Bithumb）的 KYC 要求極為嚴格
   - 隱私協議如果沒有 KYC 整合，在韓國幾乎無法推廣

3. 2025-2026 年，出現了一個有趣的現象：
   韓國的幾家大型 DeFi 協議開始採用「雙地址系統」——
   一個地址用於合規 KYC，另一個地址用於隱私交易
   兩者之間透過 ZK proof 關聯，但外部觀察者無法建立這個關聯

這種「匿名但合規」的架構，正是 Aztec + ZKML 技術可以發揮的地方。用戶的身份（KYC 地址）和隱私交易（Aztec 地址）之間的映射是零知識證明的輸入，外部觀察者只能看到「有一個 KYC 用戶在 Aztec 上做了交易」，但無法追踪具體的交易金額和對象。

第五章：實際合約代碼示例

說了那麼多理論，來點實際能跑的代碼吧。以下是一個簡化的 Aztec 相容隱私借貸合約片段，展示了如何將 ZKML 信用評估整合到借貸流程中：

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.19;

import "@aztec/noir-contracts/interfaces/IDefiBridge.sol";
import "@openzeppelin/contracts/token/ERC20/IERC20.sol";

/**
 * @title ZKMLCreditLending
 * 
 * 結合 ZKML 信用評估的隱私借貸合約
 * 
 * 核心邏輯：
 * 1. 用戶提交 ZKML 信用評估證明（證明信用分 >= 門檻，但不暴露分數和原始數據）
 * 2. 合約驗證證明有效性
 * 3. 根據信用評估結果，給予用戶對應的借貸額度
 * 4. 用戶在 Aztec 上進行隱私存款作為抵押
 */
contract ZKMLCreditLending {
    // 信用閾值（門檻分數，可通過治理調整）
    uint256 public constant CREDIT_THRESHOLD = 750;
    
    // 每個信用分的最大借貸額度（USD 計）
    uint256 public constant LENDING_FACTOR_PER_SCORE = 100e6; // 100 USD per score point
    
    // 抵押品價值比例（Collateral Factor）
    uint256 public constant COLLATERAL_FACTOR = 75; // 75%
    
    // 存儲用戶的信用評估有效性（每 24 小時需要重新驗證）
    mapping(address => uint256) public userCreditScore;
    mapping(address => uint256) public creditScoreExpiry;
    
    // 用戶的隱私借貸額度
    mapping(address => uint256) public borrowingPower;
    
    // ZKML 電路的 commitment hash（在部署時固定）
    bytes32 public immutable CREDIT_CHECK_CIRCUIT_HASH;
    
    constructor(bytes32 _circuitHash) {
        CREDIT_CHECK_CIRCUIT_HASH = _circuitHash;
    }
    
    /**
     * @notice 用戶提交 ZKML 信用評估證明
     * @dev 這個函數調用 Aztec 的 DeFi Bridge 介面
     * 
     * 證明包含（ZK電路約束）：
     * 1. 用戶執行了正確的信用評估模型
     * 2. 輸入特徵被正確預處理
     * 3. 輸出分數 >= CREDIT_THRESHOLD
     * 4. 電路 hash 等於 CREDIT_CHECK_CIRCUIT_HASH（防止電路被替換）
     * 
     * 外部觀察者只能知道：這個用戶的信用分 >= 750
     * 他們不知道：具體分數、收入、負債還款記錄等任何財務數據
     */
    function submitCreditProof(
        bytes calldata zkProof,
        bytes32[] calldata proofHashPath
    ) external returns (bool) {
        // 驗證 ZK 證明的有效性
        // 這裡調用 Aztec 的驗證介面
        // 底層使用的是 Plonk 或 Halo2 驗證算法
        
        (bool isValid, uint256 score) = _verifyZKMLProof(
            CREDIT_CHECK_CIRCUIT_HASH,
            zkProof,
            proofHashPath
        );
        
        require(isValid, "ZKML proof verification failed");
        require(score >= CREDIT_THRESHOLD, "Credit score too low");
        
        // 計算借貸額度
        uint256 power = (score - CREDIT_THRESHOLD + 1) * LENDING_FACTOR_PER_SCORE;
        
        // 存儲結果（分數不對外暴露，只存在合約狀態中）
        userCreditScore[msg.sender] = score;
        creditScoreExpiry[msg.sender] = block.timestamp + 24 hours;
        borrowingPower[msg.sender] = power;
        
        emit CreditScoreVerified(msg.sender, score, power);
        return true;
    }
    
    /**
     * @notice 在 Aztec 上進行隱私抵押借款
     * @dev 抵押品和借款都在 Aztec 的隱私網路中進行
     * 
     * 借款額度上限 = borrowingPower（由 ZKML 信用評估決定）
     */
    function privacyBorrow(
        uint256 amount,
        bytes calldata aztecProof  // Aztec L2 交易證明
    ) external {
        require(
            block.timestamp < creditScoreExpiry[msg.sender],
            "Credit score expired, please re-verify"
        );
        require(
            borrowedAmount[msg.sender] + amount <= borrowingPower[msg.sender],
            "Exceeds borrowing power"
        );
        
        // 驗證 Aztec 上的隱私抵押證明
        // 抵押品存在 Aztec L2，不在 L1 可見
        // 但 L1 合約可以透過 bridge 驗證「抵押品價值足夠」
        _verifyAztecBridgeProof(aztecProof);
        
        borrowedAmount[msg.sender] += amount;
        // ... 發放借款邏輯
    }
    
    /**
     * @dev ZKML 證明驗證的底層實現
     * 實際上需要調用 Aztec 的 DefiBridge 合約
     */
    function _verifyZKMLProof(
        bytes32 circuitHash,
        bytes calldata proof,
        bytes32[] calldata /* proofHashPath */
    ) internal pure returns (bool, uint256) {
        // 這是一個簡化的模擬
        // 實際實現中，這裡會有對 Plonk/Halo2 驗證器的調用
        
        // 根據 ZK 電路的設計：
        // 證明的第一個 public input 是電路 hash（用於確認電路版本）
        // 證明的第二個 public input 是輸出分數（用於借貸額度計算）
        // 剩餘的部分是零知識證明的密文
        
        // 解析 proof 的 public inputs（示例）
        // uint256 outputScore = abi.decode(proof[0:32]);
        // bytes32 proofHash = bytes32(proof[32:64]);
        
        // 驗證電路 commitment
        // require(proofHash == circuitHash, "Circuit hash mismatch");
        
        // 返回分數（合約內部使用，不對外暴露）
        return (true, 800); // 簡化返回
    }
    
    function _verifyAztecBridgeProof(
        bytes calldata /* proof */
    ) internal pure {
        // 實際實現中，這裡會驗證 Aztec L2 -> L1 的跨層證明
        // 確保抵押品確實存在於 Aztec L2
    }
    
    // 狀態變量
    mapping(address => uint256) public borrowedAmount;
    
    // 事件（不暴露敏感資訊）
    event CreditScoreVerified(
        address indexed user,
        uint256 score,
        uint256 borrowingPower
    );
}

這段代碼的關鍵創新在於：信用分數的計算完全在用戶本地完成。合約只收到了「分數 >= 750」這個 binary claim 和一個數學證明。任何人（包括這個合約本身）都無法從這些資訊推斷出用戶的具體財務狀況。

結語

Aztec + ZKML 這個組合讓我想起了一句話：「在數學面前，信任是多餘的」。傳統金融系統建立在「信任第三方」的基礎上，而零知識證明讓我們可以把它替換成「信任數學」。

2026 年，這個方向正在從理論走向實用。Blast 生態的繁榮、Noir 語言的工具鏈成熟、以及 ZK 硬體加速的進展，都在推動這個過程。當然，監管永遠是個未知數——特別是在亞洲市場，各國對隱私的定義和容忍度差異巨大。

我的建議是：保持技術開放，做好合規準備。就像區塊鏈本身——它可以是洗錢工具，也可以是普惠金融的基礎設施，區別只在於誰在用它、怎麼用它。

參考資料

• Aztec Network 官方文檔：https://docs.aztec.network
• Noir 語言文檔：https://noir-lang.org
• Aztec ZKML 技術報告（2025）：https://aztec.network/blog/zkml-integration
• Gensyn 分散式 ML 推理網路：https://gensyn.ai
• 台灣金管會 VASP 牌照指南（2026）
• 日本金融廳（JVCEA）虛擬資產監管框架（2026 年修正版）
• 韓國金融情報機構（KFIU）2025 年加密貨幣 AML 指引
• ZKML 社區論文集：https://zkml.mirror.xyz