引用框里的内容都是 Gemini 生成的。我也不太喜欢这种大量 AI 生成内容的文章,但是很多专业名词和数据又依赖于 AI 给出的数据。所以还是以分享和整理信息为主吧。
对于我们外行人来说,ChatGPT 3.5 似乎是一夜之间出现的,2023 年横空出世,一下子到达了能够通过图灵测试的地步。而实际上 GPT 已经连续多年发布有突破性的论文,让 GPT 模型不断演进:
- 2018年(GPT-1): 发表论文 《Improving Language Understanding by Generative Pre-Training》,正式提出了“生成式预训练”的概念。
- 2019年(GPT-2): 发表论文 《Language Models are Unsupervised Multitask Learners》,证明了网页大模型在不需要微调的情况下,就能做很多不同的任务
- 2020年(GPT-3): 发表了里程碑式的论文 《Language Models are Few-Shot Learners》。这时候模型参数达到了 1750 亿,大家突然发现,大力出奇迹,模型开始展现出惊人的理解能力。
- 2022年 3月,OpenAI 发表了一篇极为重要的论文:《Training language models to follow instructions with human feedback》。在这篇论文中,他们引入了 RLHF(基于人类反馈的强化学习) 技术,训练出了 InstructGPT。
- 2022年 11月,ChatGPT (基于 GPT-3.5 架构)诞生,实际上就是 InstructGPT 的 “亲兄弟” 或直接衍生版。OpenAI 将这种 “听得懂指令” 的模型,套上了一个最符合人类习惯的聊天框界面(UI),并在 2022 年 11 月底作为研究预览版免费开放。
所以针对量子计算的担忧不是杞人忧天,那些我们未曾关注到的行业也许正在发生惊天动地的变化。
如果把之前的量子计算比作 GPT-3 之前的“野生天才”,它空有庞大的计算潜力,但极度不稳定。目前(2026年),整个行业正在全力攻克量子计算的“InstructGPT 时刻”——量子纠错(QEC, Quantum Error Correction)。
目前行业呈现出以下几个核心进展:
- 从 “物理比特” 走向 “逻辑比特”
- 以前媒体炒作 “IBM 达到 1000 个量子比特” 或 “谷歌实现量子霸权”,那些都是物理比特(Physical Qubits)。它们就像极其脆弱的肥皂泡,周围有一点温度波动、Wi-Fi 信号,甚至空气流动,就会发生 “退相干(Decoherence)”,导致计算崩溃。 现在的行业共识是:数量不再是唯一标准,质量(纠错能力)才是。谷歌的 Willow 芯片和微软、IBM 的最新路线图都在证明一件事——通过把几十甚至上百个脆弱的 “物理比特” 绑定在一起,变成一个具有容错能力的 “逻辑比特(Logical Qubits)”。
- 多技术路线的“军阀混战”
不同于大模型几乎全盘采用 Transformer 架构,量子计算目前还没有统一的硬件标准:
- 超导路线(IBM、谷歌): 跑得最快,但需要接近绝对零度(0.015 Kelvin)的极低温冰箱,工程成本极高。
- 拓扑量子(微软 Majorana 1): 走纯物理学底层突破,利用新型拓扑材料自带的抗噪特性,如果成功,能在一颗芯片上塞进 100 万个比特。
- 离子阱/光子路线(Quantinuum、Xanadu): 在常温或更高温度下表现更好,相干时间长。
要让现有的全球加密体系(如银行、政府通信、区块链使用的 RSA、ECC、DH 等非对称加密算法)彻底崩溃,传统的经典计算机和未来的量子计算机需要跨越的算力鸿沟完全不在一个维度。
- 经典计算机:需要“宇宙毁灭级”的算力
目前互联网安全的基石(比如 RSA-2048 算法),其核心数学原理是“大整数质因数分解”。把两个很大的质数乘起来很容易,但要把乘积倒推拆解成这两个质数,极其困难。
要用现有的超级计算机去暴力破解一个 RSA-2048 密钥,需要多大算力?
- 算力需求: 大约需要 2^112 次运算。
- 时间成本: 即使动用全人类目前所有的超级计算机(包括最顶级的超级计算机集群)一起不吃不喝地算,也需要几千万年甚至上亿年。
- 能量成本: 破译一个密钥消耗的电能,可能需要抽干几个地球的能源。 因此,在经典计算机的框架下,现有的主流加密体系在物理上是绝对安全的。
- 量子计算机:只需要“数千个逻辑比特”的降维打击
量子计算机之所以恐怖,是因为它拥有一个专属的数学武器——Shor 算法(秀尔算法)。
Shor 算法在处理“大整数质因数分解”时,把计算复杂度的量级从经典计算机的指数级(Exponential)直接降到了多项式级(Polynomial)。
在量子计算中,算力不再用“每秒运算多少次(FLOPS)”来衡量,而是看“容错逻辑比特(Logical Qubits)的数量”。
根据目前的理论和工程推算,要在一夜之间攻破 RSA-2048,量子计算机需要达到以下指标:
指标 理论需求值 为什么现在做不到? 逻辑比特数量 大约 4000 个完美的、高质量容错逻辑比特 目前人类最顶尖的实验室也只能勉强制造出几十个逻辑比特。 物理比特数量 大约 2000 万个物理比特 因为量子极易受到干扰,平均需要几千个脆弱的“物理比特”去纠错、合成 1 个“逻辑比特”。 破解时间 大约几小时到几天 一旦硬件达标,量子计算机只需要喝一杯咖啡或睡一觉的时间,就能解开经典计算机算上亿年的题目。
比特币使用的是 SECP256k1 椭圆曲线加密。相比于 RSA,椭圆曲线在面对量子攻击时更加脆弱。
- 攻破比特币的公钥私钥对,理论上只需要 2000 到 3000 个逻辑比特。
- 如果量子计算机拥有足够的比特数,它可以在 10 分钟内(比特币下一个区块打包出来之前)直接通过公钥反算出私钥,从而瞬间转移任何钱包里的资产。
既然只需要 4000 个逻辑比特就能让世界瘫痪,那这一天离我们有多远?
目前全球的顶尖量子机构(IBM、谷歌、微软、Quantinuum等)正处于从“几百个物理比特”向“数十万个物理比特”冲刺的阶段。按照目前的工程进度预测:
- 2026 - 2030年(安全期): 量子计算机的逻辑比特数预计突破三位数,能够用来模拟新材料、新药物,但依然无法撼动 RSA-2048。
- 2030 - 2035年(高危期): 如果量子纠错技术(QEC)发生突破,物理比特到逻辑比特的转化率大幅提升,千万级物理比特的计算机可能面世。这时候,现有的加密体系将进入真正的倒计时。
近期比特币社区(特别是核心开发者、Blockstream 等研究机构)关于量子计算的讨论确实骤然升温,甚至可以说是近年来争论最激烈的一次。
引发这波热烈讨论的直接导火索是 2026 年 3 月底谷歌、以太坊基金会和斯坦福大学联合发布的一篇重磅论文。论文指出:攻破比特币底层加密算法(ECDSA)所需的物理比特数量,比之前预估的要整整低了 20 倍(大约只需要不到 50 万个物理比特),并且在极端算力下,最快可能在 9 分钟内反算出私钥。由于比特币出块时间是 10 分钟,这意味着量子计算机有可能在交易发出后、被打包进区块前的这短短几分钟里,进行“拦截偷地雷”。
面对这个被大幅压缩的时间表,目前比特币社区主要在密集进行以下三件事:
- 推进首个抗量子提案:BIP-360 (P2MR)。这是比特币历史上第一个正式写入路线图的抗量子改进提案(Bitcoin Improvement Proposal)。
- 激烈争论:“直接搬用美国标准(NIST)” 还是 “用哈希签名”。NIST(美国国家标准局)推荐了 Dilithium 和 Falcon 等基于格(Lattice-based)的抗量子算法。但比特币核心开发者们发现:直接搬过来会要了比特币的命。
- 排查“沉睡钱包”,商讨软分叉与“遗产冻结”政策。比特币网络中,真正面临迫切量子威胁的,其实是那些公开了公钥的旧地址。
那么我们来搞清楚,到底哪些加密算法会受到量子计算机的威胁,哪些不会:
核心结论:
- 非对称加密(RSA/ECC) 依靠的是“精妙的数学大厦”,量子计算机有“画好的图纸(Shor 算法)”,所以一拆就倒。
- 单向哈希(SHA/Keccak) 依靠的是“无序的混沌黑盒”
我发现这样下去不太好,文章里全是复制粘贴 AI 生成的文本,所以干脆放一些后续的问题列表,能够把这个话题延续下去。只要把这些问题复制给任何 AI,都会得到比较好的解答:
这个问题列表反映出另外一个有意思的点,我早期的 观点和结论 在于,AI 时代,回答问题的能力已经不重要,而提问问题的能力更加重要。这个问题列表正是印证了这一点,答案不重要,任意一个顶级 AI 模型都可以解答。而提问问题的过程和思路是重要的。