谷歌把论文锁进保险箱：25,000量子比特就能破解比特币？

两个数字放在一起，足够让加密货币持有者失眠：25,000，和256。

前者是加州理工学院团队估算破解比特币签名所需的物理量子比特数量——一年前，这个数字还是"数百万"。后者是谷歌本周用零知识证明（一种不透露具体内容即可验证真实性的密码学技术）锁起来的研究成果：他们找到了更高效的电路，能攻破256位椭圆曲线加密。两件事叠加，时间线被大幅压缩。没人知道具体省了多少年，因为"没人知道"本身就是量子计算领域的常态。

从"百万级"到"两万五"：容错计算的代码革命

约翰·普雷斯金（John Preskill）的团队这次玩的是编码层面的优化。高码率量子纠错码（high-rate codes）——这个听起来像通信工程术语的东西——实际上改变了量子计算机的"公摊面积"。

类比一下：以前建量子计算机，90%的量子比特都在干"修bug"的活儿，真正算题的没几个。Caltech的新方案把纠错效率提上去，让中性原子架构（neutral-atom）这类允许非局域操作的平台，能用更少物理资源实现同等容错能力。离子阱（trapped ions）等其他支持非局域操作的架构也可能受益。

关键突破不在硬件，而在"怎么用"——这通常是工程领域最被低估的杠杆点。

普雷斯金本人在博客里把这事说得轻描淡写，但数字不会说谎。当容错开销从指数级压到接近线性，整个量子计算的实用化时间表都要重新涂改。

谷歌的"保险箱论文"：数学史上头一遭

如果说Caltech的工作是"让武器更轻"，谷歌做的事相当于"宣布造出了武器，但把图纸烧了"。

他们用零知识证明（zero-knowledge proof）来"发表"成果——验证者可以确认Shor算法的高效电路确实存在，但完全不知道电路长什么样。这种发表方式，作者斯科特·阿伦森（Scott Aaronson）说他这辈子头一回见。历史上有先例：16世纪数学家用决斗挑战来证明自己能解四次方程，但不透露解法。

谷歌的谨慎有其逻辑。256位椭圆曲线加密（ECC P-256）保护着从比特币钱包到TLS握手的无数场景。一旦具体电路参数泄露，攻击者可以立即开始优化实现。但阿伦森也承认，这种保护的实效存疑——"一旦其他团队知道存在更小的电路，他们可能很快就能自己找到。"

保密发表更像是一种姿态，而非真正的技术屏障。

密码学界对这种做法反应复杂。阿伦森最初联想到1940年的弗里施-派尔斯备忘录（Frisch-Peierls memorandum）：那两位物理学家算出铀-235的临界质量，选择不公开发表，尽管核裂变的基础研究一年前刚开放出版。这是核时代的"知识封锁"原型。

但他尊重的密码学家和网络安全专家强烈反对这个类比。「我们有几十年的经验，答案是：发表。」他们的原话更直白：「如果发表能让还在用量子脆弱系统的人吓出屎——那也许现在就该吓一吓。」

比特币的量子倒计时：被压缩的未知

把两项成果叠在一起看，威胁模型变了。

Caltech的25,000物理量子比特估算，前提是结合谷歌式的算法优化。这意味着比特币的ECDSA签名——基于256位椭圆曲线的那个——可能比预期更早进入危险区。具体早多少？阿伦森的措辞很精确："也许一年？"然后补了一句：从一个没人知道的数字里减去。

这种不确定性本身就是量子计算叙事的核心张力。我们既知道它要来，又无法确定"它"的定义——是逻辑量子比特还是物理量子比特？是特定算法还是通用破解？是理论可行还是工程可行？

加密货币社区的反应呈现典型的认知分层。

技术层已经在推进后量子密码学（PQC）标准，NIST的筛选流程进行了数年。但应用层的迁移速度远慢于威胁演进速度。比特币的协议升级需要共识机制，这比替换一个TLS证书复杂几个数量级。以太坊等智能合约平台同样面临历史交易永久可追溯、但未来签名需抗量子的两难。

阿伦森的呼吁直接指向行动：「他们——意思是，如果相关的话，你——真的该动手了。」这个"你"的指涉范围，比大多数人愿意承认的更广。

发表伦理：恐惧作为催化剂

谷歌选择零知识证明发表，触碰了一个老问题：危险知识的管理边界在哪里？

核物理的历史提供了参照系，但密码学的逻辑不同。核武器的制造需要国家级的资源动员；而密码破解算法一旦公开，复制成本接近于零。这导致"发表促安全"派占据主流——漏洞公开（full disclosure）的传统在网络安全领域根深蒂固，前提是相信系统运营者会在压力下修补。

但量子威胁的特殊性在于，它无法通过"打补丁"解决。比特币的ECDSA根植于协议底层，迁移到抗量子签名需要硬分叉，这在去中心化网络中近乎政治工程。以太坊研究者维塔利克·布特林（Vitalik Buterin）等人讨论过"量子紧急分叉"方案，但预案的存在不等于执行的可行性。

谷歌的保险箱策略，或许是对这种治理困境的回避。

他们不替社区做选择，只是把压力传递出去：电路存在，但我们不说细节。这种"负责任的披露"（responsible disclosure）变体，在密码学史上没有成熟先例。零知识证明在这里既是技术工具，也是道德缓冲——我们证明了能力，但没有直接提供武器。

批评者会指出，这种姿态的保质期有限。逆向工程的窗口可能以月计算，而非年。一旦竞争团队（IBM、IonQ、Xanadu等）确认优化空间存在，资源投入会立即倾斜。谷歌的真正优势可能是时间差——几个月的领先，足够他们内部完成更完整的迁移方案。

阿伦森提到记者们"这周疯狂找他评论"，时机尴尬：他要招待四拨来访的客人。这种学术生活的日常琐碎，与话题的宏大形成奇怪的反差。量子计算的进展往往如此——在会议室和咖啡机之间，某个数字被改写，然后连锁反应开始。

25,000量子比特是个什么概念？IBM的Condor处理器去年宣布1,121量子比特，路线图指向2033年10万量子比特。谷歌自己的Sycamore是70量子比特级别，但逻辑门保真度更高。中性原子阵营（QuEra、Pasqal等）的扩展曲线更陡峭，但逻辑错误率仍是瓶颈。

这些分散的数据点难以拼成完整图景，除了一个结论：时间比乐观派想象的少，比悲观派想象的仍多。这个模糊区间，就是决策的战场。

当Caltech和谷歌的成果同时落地，"量子优势"（quantum supremacy）的语义已经漂移。它不再指某个特定计算任务的超越，而指向一种系统性不确定——我们知道旧密码会死，但不知道葬礼日期；我们知道新密码该来，但不知道迁移成本。

阿伦森结尾的催促带着罕见的紧迫感。这种语气来自一个通常以冷幽默著称的写作者。或许他自己也被数字冲击到了——不是被25,000本身，而是被"从百万到两万五"的压缩速度。

如果谷歌的保险箱论文最终被破解，或者Caltech的编码方案被证伪，时间线会回弹。但这两个"如果"的概率，似乎低于它们被确认和放大的概率。密码学的历史充满此类非对称博弈：防御者必须永远正确，攻击者只需一次突破。

比特币持有者现在该做什么？技术层面的答案清晰：关注BIP-360等后量子签名提案，监控地址重用风险，避免暴露公钥。但大多数人不会这样做，直到某个 headline 把"25,000"翻译成"你的钱包"。

谷歌选择零知识证明，或许正是为了避免那个 headline 的即时爆发。但这种延迟策略能争取多少时间——几个月？几周？——取决于竞争对手的解码速度。而在这个领域，竞争对手的名单越来越长，动机越来越复杂。

阿伦森没给出答案。他只是在忙碌的一周里，把信息抛出去，然后回去招待客人。这种克制的姿态，本身也是一种信号：重要的不是解读，而是行动。但行动需要共识，共识需要时间——而时间，根据最新的估算，可能比"没人知道"要少一点。

当保险箱论文成为发表方式，我们进入了一个奇怪的学术-安全混合地带。知识的存在被认证，但内容被冻结。这种冻结是保护还是拖延？是负责任还是逃避？密码学界的分歧表明，这个问题没有标准答案——只有特定情境下的权衡。

比特币的量子脆弱性，最终会成为这种权衡的试金石。不是因为它特别重要，而是因为它特别可见。一个价值万亿的实验，测试着开源社区应对渐进式灾难的能力。Caltech和谷歌的成果，把这个实验的倒计时调快了几格。

阿伦森的类比游戏——从16世纪决斗到1940年核机密——暗示着某种历史循环。但循环从来不是精确的重复。量子计算的威胁没有蘑菇云的即时性，也没有决斗的仪式感。它是缓慢的、分布的、数学的。这种形态，或许比任何 bombshell 都更难应对。

25,000量子比特。256位加密。两个数字之间的张力，定义了未来若干年的密码学议程。而议程的执行者——从核心开发者到普通用户——能否在张力断裂前完成迁移，是另一个没人能回答的问题。

当阿伦森说"他们——意思是，如果相关的话，你——真的该动手了"，他是在对谁说？交易所的安全团队？协议维护者？持币者？这个问题的模糊性，恰恰反映了量子威胁的分布式本质。它不是某个机构的危机，而是整个信任基础设施的缓慢腐蚀。

谷歌的保险箱会打开吗？什么时候？被谁？这些问题的答案，可能比25,000量子比特本身更能决定比特币的量子安全时间表。而在那之前，所有数字都是临时的——包括"临时"这个词的持续时间。

如果零知识证明发表成为新常态，学术诚信和公共安全之间的张力将如何重塑？这是谷歌实验留下的真正问题，比任何特定电路都更深远。