HadAgent 論文閱讀分析：很多去中心化 AI 真正缺的，不是更多節點，而是先證明那些節點真的有老實算

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Harness-Aware Decentralized Agentic AI Serving with Proof-of-Inference Blockchain Consensus
• 作者：Boyang Li
• 年份：2026
• 來源：arXiv:2604.18614
• 論文連結：https://arxiv.org/abs/2604.18614
• DOI：10.48550/arXiv.2604.18614
• 主題：AI Infrastructure Security、Agentic Systems、Proof of Inference、Blockchain Consensus、Runtime Governance、Distributed Systems

這篇論文最值得看的，不是它又把區塊鏈和 AI 湊在一起，而是它抓到一個最近越來越現實的基礎設施問題：很多去中心化 AI 系統真正缺的，不是更多算力，而是先證明你花出去的算力到底是不是在做可信、可驗證、沒被偷改的推論。

過去很多區塊鏈共識機制最大問題，是把大量 GPU / CPU 燒在對外部世界沒有直接價值的 hash puzzle。另一邊，agentic AI serving 正在瘋狂吃掉 GPU，但大多數系統又很難回答幾個關鍵問題：

• 這次 inference 真的是用指定模型、指定條件跑出來的嗎？
• 節點回傳的結果有沒有被改寫、偷換、或只做了部分計算？
• 當某些節點品質不穩、惡意、或只是開始 drift 時，整個網路怎麼在不中斷服務下把它們隔離出去？

這篇提出的 HadAgent，本質上是在回答：能不能把區塊鏈的共識成本，改寫成真正有用的 deterministic inference work，並且再往前一步，把 serving node 的信任管理也做成一個 harness-aware runtime？

這篇在解什麼問題？

作者想處理的，不只是「如何做去中心化 AI」，而是更具體的兩個結構性矛盾：

1. PoW 很耗資源，但對 AI inference 沒幫助；
2. 分散式 AI serving 雖然能攤平算力，但很難保證節點真的老實、結果真的可信。

這個 framing 很重要。因為很多去中心化 AI 設計，只停在「把模型部署到更多節點」；但真正進 production 後，麻煩通常不是 deployment 本身，而是：

• 驗證成本能不能壓到足夠低；
• node reputation / trust management 能不能跟 runtime 事件一起更新；
• tamper detection 與服務延遲之間怎麼取捨；
• 系統怎麼避免被一批低品質節點慢慢污染。

HadAgent 的出發點，就是把這些問題綁成同一件事：不只是共識，還包括 inference integrity、節點分級、heartbeat 監控，以及對不可靠節點的自動剔除。

核心想法：把共識改成 Proof-of-Inference，讓 GPU 至少做點有用的事

HadAgent 最直覺的想法，是把傳統 hash-based mining 換成 Proof-of-Inference（PoI）。也就是說，節點不是靠算無用 puzzle 來拿 block creation rights，而是靠執行可重算、可驗證、條件固定的 deterministic LLM inference 來拿到記帳權。

這個設計有兩層意思：

• 第一層是效率敘事：同樣在燒 GPU，至少把它拿去做有產出的推論，而不是純 hash。
• 第二層是安全敘事：既然共識建立在 inference 上，那驗證的關鍵就變成同一個 forward pass 能不能被別的節點在相同條件下快速重算確認。

作者主打的就是後者。只要推論條件足夠 deterministic，cross-node verification 就不需要重演整個複雜流程，而只要重跑單次 forward pass 即可，這讓共識驗證速度比較有機會貼近 serving 實務。

不是只有 PoI，真正有意思的是它把 serving runtime 做成 harness-aware trust loop

如果只有 PoI，這篇還只是「把 AI inference 拿來當共識工作量」。真正比較有味道的地方，是它再加了一層 harness-aware 設計。

HadAgent 會把次級節點分成兩類：

• trusted nodes：有較好歷史行為，可先走 optimistic execution，直接即時服務；
• non-trusted nodes：需要經過完整共識驗證，不能先享受快路徑。

而決定誰該被信任的，不是靜態 whitelist，而是一個持續更新的 runtime harness。這層 harness 會做幾件事：

• heartbeat probes；
• 透過 deterministic recomputation 做 anomaly detection；
• 自動化 trust management，讓誠實節點逐步升級、可疑節點被降級或隔離。

這點很關鍵，因為它把問題從「單次推論對不對」拉高成「這個節點在長時間 serving 裡是否持續值得信任」。很多 AI infra 真正會壞掉的地方，不是一次性的明顯作弊，而是節點品質 drift、偶發性篡改、或只在部分請求上偷偷偷懶。如果沒有持續性的 harness，這種 degradation 很難被抓。

區塊資料結構也有設計感：三條獨立 lane，把資料、模型、證明拆開

論文裡另一個值得記的點，是 block body 被拆成三條 lane：

• DATA
• MODEL
• PROOF

每條 lane 都有自己的 Merkle root。這樣做的意思，不只是「結構看起來比較乾淨」，而是方便做fine-grained tamper detection：你可以比較直接地知道被動到的是資料紀錄、模型紀錄，還是證明材料本身。

對 AI serving 來說，這比傳統「一整包紀錄簽起來」更貼近真實需求。因為 inference integrity 真正要追的，往往不是單一 payload 是否被改，而是：

• 模型版本是否被偷偷替換；
• 輸入 / 輸出紀錄是否被回填或竄改；
• 證明路徑是否和實際執行對得起來。

最值得記的數字：不是又一個漂亮 demo，而是 integrity / latency / trust convergence 三條線一起交代

從摘要看，HadAgent 給出的關鍵結果有幾個：

• tampered records detection rate 100%；
• false positive rate 0%；
• record 與 hub operation validation latency 低於 1 ms；
• 對抗節點可在 2 rounds 內被排除；
• 誠實節點可在 5 rounds 內晉升為 trusted。

這幾個數字合在一起，比單講 throughput 更有意義。因為它們回答的是部署者真正會問的三件事：

1. 你抓不抓得到竄改？
2. 你為了抓竄改付出的驗證延遲大不大？
3. 你的節點治理到底是死規則，還是真的會收斂？

如果這些數字能在更大規模下站得住，HadAgent 的價值就不只是概念性「AI + blockchain」，而是開始碰到 AI infra integrity plane 這個方向：讓 serving network 不只會分散算力，還會分散式地維持可驗證性。

這篇真正碰到的，是去中心化 AI 的 control placement 問題

我覺得這篇最值得拿走的，不是 PoI 本身，而是它在回答一個越來越重要的問題：

當 AI serving 不再是單機房、單供應商、單節點的事，完整性控制點到底要放在哪？

很多團隊的直覺，是把 control 放在 gateway、wrapper、或後端稽核。但 HadAgent 的思路比較像：把 integrity 驗證、節點分級、行為監控與共識機制本身綁在一起。

這個方向的好處，是不容易被單一路徑旁路；壞處則是系統複雜度會上升，而且對 deterministic execution 的依賴很強。換句話說，這比較像是把治理前移到 substrate 層，而不是事後加審計外掛。

我的看法

這篇 paper 我會把它看成一種很典型、但不討喜地必要的基礎設施論文：它不是在秀模型更聰明，而是在問如何讓一群節點一起提供 agentic inference 時，不至於把「誰算的、算了什麼、結果有沒有被改」全部交給運氣。

我覺得它最好的地方有三個：

• 把去中心化 AI 的價值從算力共享，拉回 inference integrity；
• 沒有停在 PoI，而是往前做了 harness-aware trust management；
• 結果不是只報 throughput，而是交代了 detection、latency 與 trust convergence。

但它也有幾個很明顯的現實挑戰：

• PoI 能成立，多半仰賴相當強的 deterministic inference 假設；
• 模型、硬體、量化設定與 execution environment 的一致性，會直接影響可驗證性；
• prototype 的子毫秒驗證與小輪次 trust convergence，能否在更大規模、更多模型與更不乾淨的網路環境下維持，還要再看；
• 區塊鏈本身帶來的治理與運維複雜度，未必適合所有 AI serving 場景。

所以我不會把它看成「區塊鏈終於拯救 AI」這種故事，而比較像是：它在試圖把去中心化 AI serving 的可信執行問題，從鬆散的 node reputation 機制，改寫成一個可驗證、可收斂、可持續監控的 runtime substrate。

重點整理

• HadAgent 想解的不是單純分散式部署，而是去中心化 agentic AI serving 的 inference integrity 與節點治理問題。
• 核心機制是把傳統 PoW 改成 Proof-of-Inference (PoI)，讓節點靠 deterministic LLM inference 取得 block creation rights。
• 驗證的關鍵前提是：同條件下的 forward pass 可被其他節點快速重算確認，因此 cross-node verification 不必重演整個繁重流程。
• 系統把 block body 拆成 DATA / MODEL / PROOF 三條 lane，分別以獨立 Merkle root 保護，方便做細粒度竄改檢測。
• HadAgent 不只做共識，也做 harness-aware trust management：透過 heartbeat probes、deterministic recomputation 與 anomaly detection，持續調整節點信任等級。
• trusted nodes 可走 optimistic execution 提供即時服務；non-trusted nodes 則必須經過完整驗證，這讓延遲與風險可以分層處理。
• 摘要報告的關鍵結果包括：100% tamper detection、0% false positives、sub-millisecond validation latency。
• 在 trust convergence 上，adversarial nodes 可在 2 rounds 內被排除，honest nodes 可在 5 rounds 內晉升 trusted。
• 這篇最重要的訊號是：去中心化 AI 真正缺的，不只是共享算力，而是把可驗證推論、節點聲譽與 runtime governance 一起做進基礎設施層。

Takeaway

這篇論文真正提醒我們的，是當 AI serving 走向多節點、跨組織、甚至去中心化時，最大的風險不一定是算力不夠，而是你根本沒辦法持續驗證那些算力到底在幫你做什麼。

HadAgent 給出的答案，是把 proof-of-inference、tamper evidence、node trust convergence 與 harness-aware runtime monitoring 接成一套 substrate。它不見得是所有人都該直接照抄的架構，但至少抓得很準：AI infra 真正缺的，往往不是更大的模型，而是更硬的 execution integrity。