V3DB: Audit-on-Demand Zero-Knowledge Proofs for Verifiable Vector Search over Committed Snapshots

本文提出了 V3DB，一种支持审计的零知识证明向量搜索服务，它通过结合多集相等性检查与轻量级边界条件，在不泄露数据的前提下，为不可信提供商执行的近似最近邻检索生成高效且可验证的正确性证明。

要点

这篇论文介绍了一个名为 V3DB 的系统，它的核心任务是解决一个现代互联网的大难题：当你使用 AI 搜索或推荐时，如何相信服务商真的“公平、准确”地找到了结果，而不是偷偷作弊或偷懒？

为了让你轻松理解，我们可以把整个系统想象成一家**“透明厨房”的餐厅**。

1. 背景：看不见的“黑盒”厨房

想象你去一家很火的餐厅（比如 AI 搜索引擎或推荐系统）点菜。

• 现状：厨师（服务商）端给你一盘菜（搜索结果列表）。你只能看到菜，但不知道厨师是怎么做的。
• 问题：厨师可能为了偷懒，只随便抓了几样菜给你；或者因为收了某家供应商的红包，故意把难吃的菜藏起来，把好菜藏到后面；甚至可能用的是过期的食材（旧数据）。
• 困境：如果你怀疑菜有问题，厨师会说：“信我，我做的。”但你没法进厨房看，因为食材配方（数据库）是商业机密，不能给你看。

2. V3DB 的解决方案：带“魔法验真”的透明厨房

V3DB 就像给这家餐厅装了一套**“魔法透明厨房”系统。它允许厨师在端菜时，附带一张“魔法小票”（零知识证明）**。

这张小票有两个神奇的功能：

1. 证明清白：它能证明这盘菜确实是按照“标准食谱”（固定的搜索算法）和“承诺的食材”（承诺过的数据库快照）做出来的。
2. 保护隐私：虽然证明了过程，但完全不会泄露具体的食材配方、菜单细节或厨师的私人笔记。你只能看到“菜是对的”，却看不到“菜是怎么切、怎么炒的”。

3. 它是如何做到的？（三个核心步骤）

第一步：把“乱糟糟的仓库”变成“整齐的货架” (Index Shaping)

• 比喻：传统的数据库像是一个巨大的、杂乱无章的仓库，找东西全靠运气或复杂的规则，很难证明“我找全了”。
• V3DB 的做法：它先把仓库重新整理。不管原来有多少东西，它强制把每个货架（数据列表）都摆成完全一样的高度（固定形状）。
  • 如果某个货架东西太多，就挑出来一些放到别的货架（重平衡）。
  • 如果某个货架空了，就塞进一些“空气”（填充物），并贴上“这是空气”的标签。
• 好处：这样，无论查什么，厨师的操作步骤都是固定且可预测的，就像在流水线上工作，而不是在迷宫里乱跑。这大大降低了“写证明”的难度。

第二步：给仓库拍“指纹照” (Snapshot Commitment)

• 比喻：在开始做菜前，餐厅经理给整个仓库的布局拍了一张加密的“指纹照”（哈希值），并公开展示。
• 作用：这张照片代表了“此时此刻”的仓库状态。如果厨师后来偷偷换了食材，或者用了昨天的旧仓库，这张照片就对不上了。这防止了厨师“偷换概念”或“用旧数据冒充新数据”。

第三步：用“魔法小票”代替“全剧透” (Zero-Knowledge Proofs)

这是最核心的黑科技。

• 传统做法（笨办法）：如果要证明菜是对的，厨师得把整个仓库翻一遍，把找菜的过程全录下来给你看。这太慢了，而且会泄露所有秘密。
• V3DB 的做法（聪明办法）：
  • 拒绝“现场排序”：在找前 10 名最好的菜时，传统方法需要在电路里像小学生一样一个个比大小（排序），这非常慢。V3DB 让厨师在外面（电路外）先排好序，然后只把排好序的结果拿进来。
  • 使用“集合魔法”：在电路里，厨师不需要一个个去比大小，而是用一种**“集合相等性检查”**的魔法。
    • 通俗解释：就像警察查案，不需要把嫌疑人一个个抓来对质。警察只要说：“你手里的名单，和我手里那份‘所有可能嫌疑人’的名单，在数学上是完全匹配的，而且前 10 名确实是你挑出来的。”
    • 通过这种数学技巧，V3DB 避免了在复杂的“电路”里做昂贵的排序和随机查找，让生成证明的速度快了 22 倍，内存占用少了 40%。

4. 实际效果如何？

论文中的实验表明：

• 速度快：以前生成这种“魔法小票”可能需要几分钟甚至更久，现在只需要几毫秒就能验证，生成时间也大幅缩短。
• 味道不变：虽然为了适应“魔法证明”做了很多整理工作（比如填充空气、固定货架），但找到的菜（搜索结果）的准确度几乎没有下降，和原来的系统一样好用。
• 实用性强：它让“按需审计”成为可能。如果你怀疑搜索结果有问题，你可以要求餐厅当场出示“魔法小票”，瞬间验证真伪，而不需要下载整个数据库。

总结

V3DB 就像是给 AI 搜索服务装上了一个**“防作弊且保密的黑匣子”**。

它通过把混乱的数据整理成整齐的流水线，利用数学上的“集合魔法”来代替繁琐的逐个比对，从而在不泄露任何商业机密（如具体数据、索引结构）的前提下，向用户证明：“我给你的结果，绝对是按照承诺的规则，从承诺的数据里找出来的，没有偷懒，也没有作弊。”

这对于金融、法律、专利等需要高度信任的领域来说，是一个巨大的进步。

技术摘要

V3DB 技术总结：基于按需审计零知识证明的可验证向量搜索

1. 研究背景与问题定义

背景：
稠密检索（Dense Retrieval）技术（如语义搜索、推荐系统、RAG）日益普及，通常由远程服务提供商托管向量数据库和近似最近邻（ANN）索引。客户端仅接收 Top-k 结果列表，无法验证检索过程是否公正、完整或基于承诺的数据快照。

核心问题：
在存在潜在恶意服务提供商的情况下，如何在不泄露私有数据（如嵌入向量、索引结构、代码本）的前提下，向客户端提供可审计的、高效的证据，证明返回的 Top-k 列表确实是基于承诺的特定数据快照和标准检索语义生成的？

现有挑战：

1. 隐私与完整性冲突： 传统的验证方法（如认证索引）往往需要泄露访问模式或元数据；可信执行环境（TEE）则依赖硬件信任假设。
2. 零知识证明（ZK）的开销： 直接在电路中模拟完整的 ANN 检索流程（涉及排序、随机内存访问、条件分支）会导致电路规模过大，证明生成时间不可接受。
3. 动态性与版本控制： 数据库是动态更新的，需要确保证明绑定到特定的、不可篡改的数据快照版本。

---

2. 方法论：V3DB 系统架构

V3DB 是一个可验证的、版本化的向量数据库服务，旨在实现“按需审计”（Audit-on-Demand）。其核心思想是将检索过程标准化为固定形状的语义，并利用零知识证明（ZK）来验证执行过程，同时隐藏底层数据。

2.1 核心组件

1. 索引塑形（Index Shaping）：

   • 为了解决 ZK 电路对固定形状执行的要求，V3DB 对原始的 IVF-PQ（倒排文件 + 乘积量化）索引进行了重塑。
   • 重平衡（Rebalancing）： 通过轻量级算法将数据点从过满的簇移动到未满的簇，确保每个倒排列表的大小不超过预设上限 $n$。
   • 填充（Padding）： 将所有列表填充至统一长度 $n$，并添加有效性标志位（Validity Flag），将变长列表转化为固定形状结构，消除数据依赖的控制流。

2. 版本化快照层（Versioned Snapshot Layer）：

   • 服务提供商对每个索引快照生成公钥承诺（Commitment）com。
   • com 包含两部分：
     • rootmk：基于 Merkle 树的根哈希，绑定固定形状的 IVF 布局（质心表和倒排列表记录）。
     • rootcb：PQ 代码本（Codebooks）的哈希摘要。
   • 这确保了证明必须基于特定的、不可篡改的快照版本。

3. 证明后端（Proving Backend）：

   • 标准化五步语义： 将 IVF-PQ 检索流程标准化为五个固定步骤：
     1. 计算质心距离。
     2. 选择最近的 $n_{probe}$ 个列表。
     3. 构建 ADC（非对称距离计算）查找表。
     4. 通过 PQ 代码查找表计算候选项距离。
     5. 提取最终的 Top-k 结果。
   • 按需证明： 当客户端挑战时，服务方生成一个简洁的 ZK 证明 $\pi$，证明返回的列表是上述标准化语义在承诺快照上的正确执行结果，且不泄露嵌入向量或索引内容。

2.2 关键技术优化：基于多重集（Multiset）的设计

为了克服传统“纯电路”（Circuit-only）方案中排序和随机访问的高昂开销，V3DB 提出了一种基于多重集（Multiset-based）的优化设计：

• 核心思想： 将昂贵的排序和随机查找操作移出电路（Off-circuit），由证明者（Prover）在外部执行并生成中间轨迹（Trace）。电路仅负责验证这些轨迹与基础算术核（如距离计算、查找表构建）的一致性。
• 具体实现：
  • 探针选择（Probe Selection）： 使用**多重集相等性（Multiset Equality）**检查证明排序后的列表索引集合与原始集合相同，仅辅以轻量级的边界条件检查（Boundary Checks）来验证前 $n_{probe}$ 个元素确实是最小的。
  • 候选项评分（Candidate Scoring）： 使用**多重集包含性（Multiset Inclusion）**检查，证明证明者选取的查找表条目确实存在于电路重新计算的完整查找表中，避免了电路内的随机访问（Random Access）。
  • 最终 Top-k 选择： 同样利用多重集相等性验证排序后的候选列表，并仅检查前 $k$ 个元素的顺序。
• 优势： 将电路复杂度从依赖 $O(N \log N)$ 的排序网络降低为线性或近线性的多重集检查，显著减少了门电路数量（Gate Count）。

---

3. 主要贡献

1. 系统设计与 IVF-PQ 实例化：

   • 提出了 V3DB，首个支持大规模稠密检索的按需审计向量数据库。
   • 设计了固定形状的五步 IVF-PQ 语义，并通过索引塑形（重平衡 + 填充）使其适应 ZK 电路的固定结构要求。

2. 高效的证明后端：

   • 摒弃了低效的纯电路排序和随机访问方案，创新性地结合了多重集相等/包含检查与轻量级边界条件。
   • 理论分析表明，该方法显著降低了门电路复杂度，特别是消除了排序和随机访问带来的瓶颈。

3. 实现与评估：

   • 基于 Plonky2 实现了原型系统，包含纯电路基线（Baseline）和优化后的多重集设计。
   • 提出了基于门电路数量分箱（Binning）的配置选择算法，以在检索效用和证明成本之间取得最佳平衡。

---

4. 实验结果

实验在 AMD EPYC 服务器上进行，使用了 SIFT1M、GIST1M 和 MS MARCO 等数据集。

4.1 检索效用（Retrieval Utility）

• 结果： ZK 友好的预处理（定点编码、重平衡、填充）对检索精度的影响极小。
• 数据： 在 SIFT1M 和 GIST1M 上，Recall@1 和 Recall@100 与浮点基线相比差异仅为 $10^{-3}$到$10^{-2}$ 级别。
• 结论： 索引塑形带来的扰动在可接受范围内，未显著牺牲检索质量。

4.2 证明成本（Proof Cost）

• 性能提升： 与纯电路基线相比，基于多重集的优化设计在大规模配置下实现了显著加速：
  • 证明时间： 最快提升 22 倍（例如在 Large 配置下，从 527 秒降至 24 秒）。
  • 内存消耗： 峰值内存降低约 40%。
  • 验证时间： 保持在毫秒级（< 15ms），适合实际部署。
• 低配场景： 在极小配置下，由于多重集检查的固定开销，基线可能略快，但在实际应用场景（中等至大规模）中，优化方案优势明显。

4.3 配置权衡（Configuration Trade-offs）

• 线性扩展： 在固定扫描预算下，电路规模随列表数量 $n_{list}$ 呈近线性增长。
• 单峰特性： 在固定代码预算下，证明成本随代码本大小 $K$ 的变化呈现单峰特性（ADC 表构建成本 vs. 候选评分成本），验证了理论分析。
• 自动调优： 提出的配置选择算法能有效找到“zk-opt"配置，在满足预算的前提下最大化检索效用。

---

5. 意义与影响

1. 解决信任危机： 为向量搜索服务提供了无需信任服务提供商的数学证明，解决了“黑盒”检索的问责问题。
2. 隐私保护： 实现了真正的零知识验证，客户端无需下载庞大的索引或数据即可验证结果，保护了数据所有者的知识产权和隐私。
3. 实用性突破： 通过索引塑形和多重集优化，将原本被认为不可行的复杂 ANN 检索 ZK 证明变得实用化（毫秒级验证，分钟级证明），为金融、法律、专利等高价值领域的可审计 AI 检索奠定了基础。
4. 技术范式： 展示了如何通过“固定形状语义”和“多重集关系”来规避 ZK 电路中的控制流和随机访问瓶颈，为其他复杂数据结构的可验证计算提供了新思路。

总结： V3DB 成功地在保持高检索精度的同时，利用零知识证明技术实现了向量搜索的透明化和可审计性，通过创新的索引塑形和证明优化技术，解决了大规模部署中的性能瓶颈，是隐私保护与数据完整性领域的重要进展。