Formally Verified Linear-Time Invertible Lexing

本文介绍了 ZipLex，这是一个基于 Stainless 验证器构建的已验证框架，它通过结合新的令牌序列抽象、Huet 拉链及验证过的哈希表等优化技术，实现了兼具线性时间复杂度、最长匹配语义以及词法分析与打印互为逆运算特性的可逆词法分析。

要点

这篇论文介绍了一个名为 ZipLex 的新工具，它就像是一个**“拥有完美记忆且绝不记错账的超级翻译官”**。

为了让你更容易理解，我们可以把计算机处理代码的过程想象成把一堆乱糟糟的乐高积木（源代码字符）拼成一个个标准的积木块（Token），然后再把这些积木块拆下来重新拼回原样的过程。

1. 核心问题：为什么现在的“翻译官”会犯错？

在计算机世界里，词法分析（Lexing） 就是把原始字符（比如 val x = 1）变成有意义的单词块（比如 val, x, =, 1）的第一步。

• 传统问题：以前的翻译官（Lexer）很聪明，能认出最长的单词（比如认出 x_ 是一个整体，而不是 x 和 _）。但是，它们有一个致命弱点：不可逆。
  • 比喻：想象你在整理乐高。你把 x 和 _ 拼在一起变成了 x_。如果你把中间的缝隙（空格）去掉，打印出来变成 x_=1，再让翻译官去读，它可能会把 x_ 当成一个全新的词，而不是原来的 x 和 _。
  • 后果：信息丢失了！在软件开发工具（比如自动重构代码的工具）中，如果“读”和“写”不能完美对应，修改代码时就会悄悄弄丢数据，导致程序出错。

2. ZipLex 的解决方案：完美的“双向翻译”

ZipLex 的目标是做到**“可逆”**（Invertible）。

• 比喻：ZipLex 就像是一个拥有“魔法镜子”的翻译官。
  • 它把字符变成积木块（Lexing）。
  • 它把积木块变回字符（Printing）。
  • 关键点：无论你怎么折腾（比如把积木块顺序打乱、删掉空格再拼回去），只要经过 ZipLex 的“魔法镜子”一照，它都能保证：变回去的字符，一定能被重新识别成完全一样的积木块序列。 没有任何信息会在这个过程中“蒸发”。

3. 它是怎么做到的？（三个魔法道具）

为了实现这个目标，同时还能跑得飞快，ZipLex 用了三样“法宝”：

A. “可分离性”检查（Separability）

• 比喻：想象你在排队。ZipLex 会检查相邻的两个人（两个积木块）是否站得太近，以至于别人会把他们看成一个整体。
  • 如果 foo 和 bar 挨在一起，可能被看成 foobar（错误）。
  • ZipLex 会确保它们之间有足够的“安全距离”（比如通过特定的字符规则），或者在拼接时自动检查，确保它们不会被误读。这就像给积木块贴上了“防粘连”标签。

B. “拉链”技术（Zippers）

• 比喻：传统的翻译官读一本书，每读一个字就要把整本书重新翻一遍，效率很低。ZipLex 使用了一种叫“拉链”的数据结构。
  • 想象书里有一个书签，书签不仅标记当前位置，还记录了“如果往左翻一页会发生什么”、“往右翻一页会发生什么”。
  • 这样，翻译官不需要每次都重读整本书，只需要移动书签，就能瞬间知道下一步该读什么。这让处理速度大大提升。

C. “超级记忆”（Memoization）

• 比喻：ZipLex 有一个**“永不遗忘的笔记本”**。
  • 以前，如果翻译官遇到过 abc 开头的词，下次再遇到 abc，它得重新分析一遍。
  • ZipLex 会把分析过的结果记在笔记本上。下次再遇到同样的开头，直接查表：“哦，这个我算过了，结果是 X"。
  • 效果：这让它的速度从“ quadratic（随着字数增加，时间平方级增长，慢得吓人）”变成了“linear（随着字数增加，时间线性增长，非常快）”。

4. 为什么这很重要？（不仅仅是快）

• 数学级保证：这个工具不是靠“大概也许”来运行的，而是用数学方法严格证明了它永远不会出错。就像你买了一把锁，厂家不仅说“这锁很结实”，还给你看了数学证明，告诉你“这锁绝对打不开”。
• 实用性强：
  • 它处理 JSON 数据（一种通用的数据格式）非常快。
  • 它比之前最好的“可验证”工具快100 倍（两个数量级）。
  • 它甚至能处理那些故意用来卡死普通翻译官的“刁钻”输入，而不会崩溃。

5. 总结

ZipLex 就像是给计算机语言处理加了一个**“完美且极速的翻译器”**。

• 以前：翻译器可能把 x_ 读错，或者处理大文件时慢得像蜗牛，而且没人能 100% 保证它不出错。
• 现在（ZipLex）：它保证**“读”和“写”完全一致**（信息不丢失），并且通过“拉链”和“记忆”技术，处理速度极快，甚至能处理以前会卡死的复杂情况。

这项技术对于构建绝对可靠的编译器、自动修复代码的工具以及安全的数据处理系统至关重要，因为它消除了“翻译错误”这一层隐患，让软件工程师可以像搭积木一样放心地修改和重组代码。

技术摘要

论文技术总结：形式化验证的线性时间可逆词法分析 (ZipLex)

1. 研究背景与问题定义

背景：
词法分析（Lexing）是编译器和数据工具流水线中的第一步，负责将原始字符序列转换为结构化 Token 序列。尽管其至关重要，但在许多经过形式化验证的编译器（如 CompCert）中，词法分析器通常仍属于“可信计算基”（Trusted Computing Base），未被完全验证。现有的验证词法生成器（如 Coqlex, Verbatim++）主要关注正则表达式语义和“最长匹配”（Longest Match/Maximal Munch）原则的正确性，但存在两个主要局限：

1. 缺乏可逆性保证：在 IDE 重构、程序合成或编译器管道中，经常需要将 Token 序列“打印”回字符串。如果打印后的字符串再次经过词法分析不能还原为原始 Token 序列（即丢失信息），则会导致严重错误。
2. 性能瓶颈：许多验证过的实现（如 Verbatim++）在最坏情况下具有 $O(n \log n)$ 甚至 $O(n^2)$ 的时间复杂度，难以满足实际应用需求。

核心问题：
如何设计一个词法分析框架，既能形式化验证其正确性（包括最长匹配语义），又能保证可逆性（Lexing 和 Printing 互为逆运算），同时还能实现线性时间复杂度（$O(n)$）？

2. 方法论与核心设计

作者提出了 ZipLex，这是一个基于 Scala 和 Stainless 验证器构建的完全验证的词法分析框架。其设计依赖于以下两大核心思想：

2.1 可逆性与可分离性 (Invertibility & Separability)

• 可逆性定义：
  • print(lex(s)) = s：打印 Token 序列生成的字符串，再次词法分析应得到原字符串（保证注入性）。
  • lex(print(ts)) = ts：将字符串词法分析得到的 Token 序列打印出来，再次词法分析应得到原 Token 序列（保证无信息丢失）。
• 可分离性条件 (Separability)：
  • 为了解决 lex(print(ts)) = ts 不总是成立的问题（例如 foo 和 bar 打印为 foobar 会被识别为一个 Token），作者定义了可分离性谓词 sep(ts)。
  • 如果 Token 序列满足 sep，则保证打印后再词法分析能还原。
  • R-Path 抽象：作者引入了一种基于二元关系 $R$ 的序列谓词（R-Path）。对于相邻 Token $t_i, t_{i+1}$，如果 $R(t_i, t_{i+1})$ 成立，则它们不会在打印后合并。
  • 具体关系 sep：定义为 $t_1$ 和 $t_2$ 是否可分离，取决于 $t_2$ 的首字符是否足以确保 $t_1$ 是打印字符串中的最长匹配前缀。这通过检查正则表达式的前缀集合 (Prefix Set) 来实现。
  • PrintableTokens 抽象：实现了一个抽象类型，维护 R-Path 不变量。切片操作自动保持该不变量，而拼接操作仅需在边界处进行常数时间的 sep 检查。

2.2 线性时间优化与验证

• Brzozowski 导数 (Derivatives)：基于导数的正则表达式匹配引擎，避免了自动机构建的开销。
• Huet 的 Zippers：为了优化导数计算并支持记忆化，使用 Zippers 将正则表达式表示为“上下文”的集合。这种表示法证明了在推导过程中可达的状态集是有限的，从而支持高效的缓存。
• 验证的记忆化 (Verified Memoization)：
  • 利用 Reps 提出的记忆化技术将最长匹配词法分析的时间复杂度降至 $O(n)$。
  • 实现了一个可变的、经过验证的哈希表（基于 Scala 的 LongMap 扩展），用于存储导数计算结果。
  • 通过尾递归和显式栈模拟，解决了 JVM 上的栈溢出问题，同时保持形式化验证的正确性。
• 数据结构的混合使用：
  • 规范层：使用 List 进行形式化证明（Stainless 对代数数据类型支持良好）。
  • 执行层：使用 BalanceConc（一种平衡二叉树结构，叶节点为不可变数组）替代 List 以获得运行时性能，同时证明其与 List 的等价性。

3. 主要贡献

1. 可分离性定义与机制：提出了一种高效的 sep 谓词定义，以及检查和维护该条件的机制（R-Path），使得 Token 序列的切片和拼接操作在保持可逆性的同时具有低开销。
2. ZipLex 框架设计：
   • 实现了基于正则表达式和最长匹配语义的完全验证词法分析器。
   • 支持任意字母表（不仅是 ASCII）。
   • 实现了可逆打印功能，确保打印与词法分析互为逆运算。
   • 通过验证的记忆化实现了线性时间复杂度 $O(n)$。
3. 实现与验证：
   • 使用 Stainless 验证器在 Scala 中实现了所有组件。
   • 代码与标准 Scala 构建工具链兼容。
   • 提供了 JSON 词法分析器和排序应用的完整示例。

4. 实验结果与性能评估

实验在 AMD EPYC 服务器上进行，对比了 ZipLex 与 Coqlex、Verbatim++、Flex 和 OCamllex。

• 时间复杂度验证：
  • 在对抗性语法（如规则 $r_1=a, r_2=a^*b$）上，Flex 和 Coqlex 表现出 $O(n^2)$ 行为，Verbatim++ 在输入较大时栈溢出。
  • ZipLex 表现出严格的线性时间复杂度，即使在 3000 万字符的输入下也能保持线性增长。
• 性能对比：
  • ZipLex vs Verbatim++：ZipLex 比 Verbatim++ 快两个数量级（100 倍）。Verbatim++ 需要 DFA 转换的预处理开销，而 ZipLex 基于导数和 Zippers，无此开销。
  • ZipLex vs Coqlex：ZipLex 比 Coqlex 慢约 8 倍，但 Coqlex 不支持可逆性且依赖未验证的代码生成步骤。
  • 可逆性开销：计算 sep 谓词（R-Path 检查）的开销很小，因为导数缓存已在词法分析阶段被填充。使用 PrintableTokens 进行切片和重组时，仅需常数时间的边界检查，效率远高于重新计算整个序列的 sep。
• 代码规模：
  • 实现代码约 1,766 行，规范与证明代码约 12,844 行（总约 14,610 行）。
  • 验证过程生成了 24,217 个验证条件（VCs），耗时约 120 分钟。

5. 意义与结论

• 理论突破：这是首个提供可逆性证明（打印 Token 序列的可逆性）且具备线性时间复杂度的形式化验证词法分析器。
• 实用性：证明了形式化验证的高成本并非不可逾越。ZipLex 能够处理真实的 JSON 和编程语言词法分析任务，且性能足以满足实际应用需求。
• 应用前景：为构建完全可逆的解析器（Invertible Parsing）、支持 IDE 重构工具、程序合成以及高保真编译器管道提供了坚实的基础。它消除了词法分析阶段信息丢失的风险，使得从源代码到 AST 再回源代码的转换过程在形式上得到保证。

总结：ZipLex 成功地将形式化验证、可逆性保证和线性时间性能结合在一起，解决了长期存在的词法分析验证与性能之间的权衡问题，为构建高可信度的软件开发工具链迈出了重要一步。