2026 年的零知识证明:什么真正达到了生产就绪
2024 年,证明一个以太坊区块需要几分钟外加一座数据中心。到 2025 年底,只需几秒,硬件塞得进一张桌子底下。证明成本约 45 倍的坍塌,正是零知识证明悄悄从密码学会议走进 Google Wallet 和欧盟身份监管的原因。这篇文章是写给架构师的领域现状:哪些 zkVM 可以放心地在上面构建、证明的真实成本是多少、手机上能跑什么,以及安全的尸体都埋在哪里。它与我们的用 ZK 和 FHE 构建应用的务实指南配套,后者讲的是这一切到底什么时候该用。
这是工程视角,不是供应商推销。供应商基准都标注了出处,我们无法独立确认的数字都加了保留。参考点来自 Wavect 在零知识与 web3 上的工作。
在界定一个 ZK 功能或审计?
预约免费咨询2024 到 2026 年之间变了什么?
三个转变,每一个都改变你该构建什么:
- zkVM 取代了手写电路。你现在写普通的 Rust,编译到 RISC-V 目标,zkVM 产出一个“程序被正确执行”的证明。电路 DSL 时代,那种每做一个功能都要专家干几个月的时代,对通用场景来说正在结束。
- 证明成本一年降了约 45 倍。以太坊基金会在 2025 年 7 月定下了具体的实时证明目标:99% 的主网区块在 10 秒内证明完成,设备成本不超过 10 万美元,功耗不超过 10 千瓦,证明小于 300 KiB,且不允许 trusted setup (Ethereum Foundation, July 2025)。到 2025 年底,多个团队达标,公开的 ethproofs 跟踪器上证明一个区块的平均成本从 1 月的 1.69 美元跌到 12 月的不足 4 美分 (ethproofs.org)。
- 大厂交付了 ZK 身份。Google Wallet 用一个零知识证明验证“年满 18 岁”,并在 2025 年 7 月开源了底层的 Longfellow 库 (google/longfellow-zk)。这是迄今为止 ZK 走出区块链小圈子的最清晰信号。
你该在哪个 zkVM 上构建?
对大多数团队,zkVM 是务实的切入点:普通 Rust 进,证明出。2026 年年中的格局:
| zkVM | 背后团队 | 2025/26 标志性成绩 | 生产状态 |
|---|---|---|---|
| SP1 (Hypercube) | Succinct | 在 16 张 RTX 5090 GPU 上,99.7% 的以太坊区块在 12 秒内证明完成 (Succinct, Nov 2025) | 生产级,已在主网基础设施上运行 |
| RISC Zero | RISC Zero | 成熟的 GPU 证明,在独立基准中扩展平滑 | 生产级,支撑着在运行的 coprocessor |
| OpenVM | Axiom 与社区 | 模块化、无 CPU 设计;被 Scroll L2 采用 | 在其生态内达到生产级 |
| Airbender | Matter Labs (ZKsync) | ethproofs 榜单上最快的单 GPU 成绩,单张 H100 上证明以太坊区块远低于一分钟 | 在 ZKsync 内达到生产级 |
| Jolt | a16z crypto | Twist and Shout 升级后,32 核 CPU 上每秒超过 100 万 RISC-V cycle,证明约 50 KB (a16z crypto, 2025) | 有前景,阶段更早 |
| Pico、Nexus、zkWASM | 多家 | 模块化或 WASM 方向的设计;Pico 报告相对自家 CPU 基线 10 到 20 倍的 GPU 加速 | 更早期或利基 |
我们的默认推荐很无聊:SP1 或 RISC Zero,因为两者都经受住了独立基准、约束系统的形式化验证工作,以及真实的对抗性使用。Fenbushi Capital 2025 年 8 月对八个 zkVM 的独立基准发现,这两者连同 OpenVM 交出了整体上最稳健的表现,它们的 GPU 证明器内存占用近乎恒定,而几个更年轻的 zkVM 的证明时间和内存随输入规模膨胀 (Fenbushi Capital)。只有当更新的系统的特定优势(单 GPU 成本、证明大小、WASM 支持)恰好是你的瓶颈时,才选它们。
证明到底有多快、多便宜?
对构建决策真正要紧的数字:
- 延迟:以太坊区块的实时证明(包含数百笔交易的区块 10 到 12 秒)已在 16 张消费级 GPU 的设备上演示。更小的程序在单张 GPU 上几秒完成证明。
- 成本:到 2025 年底,ethproofs 榜单上证明一个以太坊区块的平均成本约 4 美分,一年降了 45 倍。应用规模的证明,规模化之后按不到一美分计。验证是常数时间、几乎免费,这正是全部的经济学要点:证明一次,到处验证。
- 证明大小:现代基于 STARK 的系统会把证明包进一层最终的 Groth16 或 PLONK 证明,以便在链上或设备上廉价验证,最终落在几十 KB 到亚 KB 区间。一个注意点:这层最终包装重新引入了基于配对的密码学,所以如果抗量子是硬性要求,就留在原始的基于哈希的 STARK 上,接受更大的证明。
这对加密圈之外意味着什么:任何需要第三方信任其正确性的批量计算(一次清算、一次合规计算、一次 ML 推理)现在都能花几美分带上一个证明。对服务器侧证明来说,ZK 的成本反对理由基本已死。

"一年 45 倍的成本坍塌,意味着问题从“我们证明得起吗”变成了“什么东西值得证明”。"
能在手机或浏览器里做证明吗?
能,在限度之内。而这正是最有意思的非加密产品所在的地方:
- 移动端证明。Mopro 工具包为 iOS 和 Android 封装了 Circom、Halo2 和 Noir 的证明器,原生移动端证明比同一证明器经 WASM 在浏览器里跑快至多 10 倍 (zkmopro.org)。对身份证件、邮件内容和小型凭证的证明,在一部中端手机上几秒内即可完成,已经实用。
- zkEmail。证明一封带 DKIM 签名的邮件里的事实(“这个地址收到了雇主 X 的解约信”),而不泄露邮件本身。很强,但注意下面的安全一节:它的正则组件在 2025 年被模糊测试查出十一个已确认的约束 Bug。
- zkTLS。证明任意 HTTPS 会话里的事实,把每个网站变成一个可验证的数据源,无需网站配合。两种架构在竞争:基于 MPC 的(TLSNotary 一脉,由 Pluto 产品化,以及带 slashing 安全机制的 Opacity)对阵基于代理的(Reclaim Protocol,更快但信任模型更弱)(tlsnotary.org)。被证明的事实具有对抗价值时选 MPC 方案;速度和覆盖面更重要时选代理方案。
- ZK 护照与人格证明。Self、Rarimo 和 Anon Aadhaar 通过 NFC 芯片或签名二维码,从政府证件中证明年龄、国籍或唯一性。World ID 在基于 Semaphore 的证明上有数百万已验证用户。这个类别从 demo 到已部署应用只用了大约 18 个月。
ZK 在加密之外的胜场在哪里?
身份,而且时机是监管给的。按 eIDAS 2.0,每个欧盟成员国必须在 2026 年底前提供欧洲数字身份钱包,且该框架明确偏向选择性披露。Google 开源的 Longfellow ZK 库正是瞄着这里,第一个用例就是年龄核验 (Google, July 2025)。
一个大多数报道没提的务实坑:欧盟钱包当前的架构参考框架强制采用加盐哈希的凭证格式(ISO mdoc 和 SD-JWT VC),它们提供选择性披露,但不可关联性充其量有限;而能解决这一点的密码学方案(BBS 家族签名、基于 ZK-SNARK 的凭证)尚未获得欧盟密码评估机构 SOG-IS 的批准。这暂时把它们挡在公共部门部署之外,只能待在私营部门试点里(记录在 ETSI TR 119 476)。如果你在构建 EUDI 相关产品,请把凭证格式设计成批准落地后可替换的。加密之外应用的更全景图,见我们之前的加密之外的 ZK 用例。
zkML 是真的了吗?
真了一半。把这个词拆开看:
- 推理证明(“正是这个模型产出了这个输出”)对中小模型正在接近实用。Lagrange 的 DeepProve 报告证明了一次完整的 GPT-2 级(1.24 亿参数)推理,并声称相对此前的 EZKL 基线有数量级加速,框架现已开源 (Lagrange, vendor benchmark)。供应商数字要谨慎对待,但趋势方向没有歧义。
- 经由 ZK 的私有推理(在证明计算的同时隐藏输入)仍然利基且昂贵。如果目标是输入隐私,FHE 或机密 GPU 通常是更好的工具;这个取舍我们在 FHE 那篇和决策框架里都讲了。
前沿模型级 zkML(证明一次 Llama 级推理)仍是研究。今天把它当生产级来卖的人,卖的是路线图。
该选哪种语言和工具链?
| 工具 | 它是什么 | 什么时候选它 |
|---|---|---|
| Rust zkVM(SP1、RISC Zero) | 普通 Rust,无电路 DSL | 通用计算,通往生产的最快路径,团队里没有 ZK 专家 |
| Noir | 类 Rust 的电路语言,后端无关 | 需要自定义电路且想要当前最好的开发体验;对手工塑形的逻辑,证明比 zkVM 更小 |
| Circom | 底层约束语言 | 只在审计预算充足时用;久经沙场,但历史上大多数可靠性 Bug 也出自它 |
| Cairo | Starknet 的原生语言 | 你在 Starknet 上构建;生产上最久经锤炼的共享证明器流水线 |
| o1js | TypeScript 电路(Mina) | Mina 生态内的 JS 原生团队 |
2026 年一个产品团队的诚实默认值:通用需求上 Rust zkVM,当证明大小或客户端证明逼你写自定义电路时用 Noir。zkVM 相对手工调优电路的证明开销是真实存在的,但证明成本已经跌到对大多数应用而言,工程时间才是等式里的主导项。
会坏在哪里?安全失败模式。
- 约束不足的电路是主流 Bug 类别。少一条约束,验证者就会悄无声息地接受对虚假陈述的证明。研究工具 zkFuzz 在 452 个公开电路里找到 85 个 Bug,其中 59 个是零日漏洞、39 个获开发者确认 (arXiv 2504.11961)。审计和模糊测试都要做预算;它们抓的是不同的 Bug。
- 审计是必要条件,不是充分条件。RISC Zero 为一个在先前多轮审计之后才发现的可靠性 Bug 付了 5 万美元赏金。ChainLight 在 2023 年于 zkSync Era 的生产 ZK-EVM 中找到了一个可靠性 Bug。结论不是“这些团队粗心”,他们属于这个领域最强的一批。结论是 ZK 可靠性 Bug 格外难以察觉、又格外灾难性,所以分层保障(审计、模糊测试、形式化验证、赏金)如今是行业常态。
- 避开按应用的 trusted setup。有记录的最早现实世界 ZK 攻击,针对的是 Groth16 trusted setup 被搞砸的电路,而不是证明数学本身 (zkSecurity, 2025)。STARK 家族的透明系统让整个仪式变得不必要,这也是以太坊基金会的实时证明规范干脆禁掉 trusted setup 的原因之一。
常见问题
什么是 zkVM,它为什么重要?
2026 年生成一个 ZK 证明要多少钱?
SP1 还是 RISC Zero:我们该选哪个?
零知识证明抗量子吗?
我们还需要 trusted setup 吗?
最终思考
2026 年的 ZK 干净地分成两个世界。服务器侧证明是一个已解决的成本问题:zkVM 让普通 Rust 团队花几美分证明任意计算,以太坊实时证明是那个把整条技术栈拖着往前跑的公开基准。客户端 ZK 更年轻但正在交付,移动端证明、zkTLS 和 ZK 身份已落进真实产品,而欧盟数字身份监管即将让选择性披露成为主流要求。
把交付了的 ZK 产品和事故复盘区分开来的纪律没有变:选生产上锤炼过的工具(SP1、RISC Zero、Noir),拒绝按应用的 trusted setup,把电路审计加模糊测试当作做这门生意的固定成本。数学已经就绪。你真正在选的,是它周围的工程文化。
需要人看一眼你的 ZK 架构或电路?
预约免费咨询