Alpha：在异构硬件上对可验证共享状态的确定性同步

技术报告 · auriglyph research · 2026年6月10日 · Mikhail Kostan

1. 问题：无需共享传输的共享状态

分布式系统将其复杂性的很大一部分花在让同一逻辑状态的多个副本保持一致上。占主导地位的模型继承自 Shannon 在 1948 年对通信的框定，将信息视为某种需要被移动的东西：发送方编码一条消息，信道承载它，接收方解码它，而噪声是对手。复制层在此之上构建——它们传送记录、日志条目或状态增量，然后运行调和来消解传输与并发所引入的分歧。

这个模型强大而正确，但对于日益增多的一类系统而言，它在错误的维度上代价高昂。当共享对象庞大且缓慢演化时——一份账本、一个被复制的索引、一个智能体累积的记忆、一个边缘缓存——成本并非由每次变更的信息内容主导，而是由移动和调和状态的机制主导。两个问题变得尖锐起来。第一，两台从未交换过状态本身的机器，能否依然到达相同的状态？第二，当它们声称达成一致时，第三方能否在不信任任一节点的情况下廉价地验证这种一致？

Alpha 正是围绕对这两个问题的肯定回答而构建。它不是一种传送消息的传输；它是一种关于一致性的协议。节点之间并不互相发送状态。它们只发送推进一个共享、确定性过程所需的最小差分，并在本地重建出相同的状态。一致由此成为一种可对照一个小而固定大小的见证来核查的性质，而无需通过比较载荷来重新推导。

2. 背景与相关工作

Alpha 处于若干成熟工作脉络的交汇处，将其精确定位、而非对照一个稻草人来定位，是有益的。

信息传输（Shannon, 1948）。

Shannon 的理论仍然是关于在有噪信道中移动信息、以及关于这样做之极限的正确论述。Alpha 并不与之矛盾，也不声称取代它。Alpha 处理的是一个不同的问题——在一个共享确定性基底上，从最小的差分信号重建出达成一致的状态——这与信道容量正交。在 Shannon 问“这条信道能承载多少”之处，Alpha 问的是“为使两台机器持有相同的可验证状态，最少需要有多少越过信道”。

内容完整性（Merkle, 1987；内容寻址存储）。

Merkle 树与内容寻址存储以哈希对数据作出承诺，并以对数大小的路径证明包含关系。Alpha 的见证在精神上与之相关——一种对状态的密码学承诺——但它相对于状态是恒定大小的，且在整个状态上计算，因此任何单比特的分歧仅凭见证本身即可被检测。

最终一致性与 CRDT。

无冲突复制数据类型（CRDT）以及流言/反熵协议，通过约束合并操作为可交换且幂等，在并发下实现收敛。Alpha 在排序轴上刻意采取相反做法：其状态演化是依赖顺序的，因此历史无法被悄然重排或坍缩。Alpha 中的收敛并非来自可交换的合并，而是来自共享的确定性——相同的输入按相同的顺序，在任何地方都产生相同的状态。

确定性与可复现计算。

可复现构建与确定性执行环境确立了固定输入跨机器产生固定输出这一点。Alpha 使这一性质成为承重的：其状态表示被定义为使得演化是输入的纯函数，与硬件和操作系统无关。我们的评测确认这在两种指令集架构间逐字节成立。

3. 系统模型

我们在可观察结构的层面描述 Alpha。其内部构造——状态空间如何参数化、漂移如何计算——为专有，此处不予披露。

状态。 一个节点的状态是一个 384 维空间中的点，以确定性定点算术表示并归一化到单位幅值。归一化是彻底的：对于任何输入，无论多大或多么具有对抗性，其表示都会被映射回单位超球面，因此每个坐标在构造上都是有界的。

参考网格。 所有节点共享一个共同的确定性参考。当两个节点的参考一致时，它们便“同相”；一次轻量级握手通过比较各自生成的下一个参考信号来确认这一点，而非通过交换状态。

漂移。 一个事件通过一次朝向该事件的小幅差分旋转、随后再归一化来推进状态。越过网络的量是这个漂移，而非由此得到的状态。

见证。 一个状态的完整性由一个在全部 384 个维度上计算的恒定大小（256 位）密码学封印来概括。两个状态仅当逐比特一致时才产生相同的封印；任何分歧都会翻转该封印。

4. 性质

我们陈述 Alpha 旨在提供的性质。每一项在第 5 节都附有可复现的证据；没有任何一项依赖于披露构造。

4.1 确定性与硬件无关性。

给定相同的初始状态和相同的有序漂移序列，两个节点会重建出逐比特一致的状态，无论 CPU 架构、操作系统或编译器如何。确定性由定点算术与一条固定的演化规则锚定；所用到的唯一浮点运算是 IEEE-754 原语，其结果在符合规范的平台间一致，这一性质我们以实证方式加以验证。

4.2 构造上的有界性。

每个状态坐标都被限制在单位超球面上。由于归一化在每个事件之后都被施加，且由于它在计算幅值之前对任意幅值的输入进行稳健的预缩放，因此没有任何事件序列——也没有任何经精心构造、通过网络到达的输入——能将某个坐标驱出其边界或使底层算术溢出。状态空间实际上是一个闭合流形。

4.3 保序性（非交换性）。

由于每个事件都伴随中间的再归一化被施加，演化是非交换的：先施加事件 A 再施加 B，一般不会得到与施加它们的线性组合相同的状态，也不会得到与先 B 后 A 相同的状态。轨迹携带着对其顺序的记忆。一个节点无法通过呈现单个“汇总”了不同序列的向量来伪造历史；封印将不匹配。

4.4 恒定大小的完整性见证。

一个 256 位的封印对完整的 384 维状态作出承诺。验证相对于状态大小是恒定大小且恒定时间的，并对任何单比特变化敏感。这使得第三方仅凭见证即可核查一致。

5. 实证评测

5.1 设置。

我们在四台机器上评测了一个参考实现，这些机器横跨两种指令集架构和两种操作系统：一台 AMD Ryzen 9 7900X（Linux, x86-64）、一台 Apple M2（macOS, ARM64）、一台 AMD Ryzen 7 7840HS（Linux, x86-64）以及一台 Intel i3-9100（Linux, x86-64）。下文所有测量结果均可从该参考实现复现；我们报告确切数字，而非引用文档。

5.2 跨硬件的确定性。

从一个固定的创世状态出发，并施加一个固定的有序事件序列，每一台主机都产生了逐字节一致的 256 位封印。我们进一步运行了一组 2,000 个独立场景的随机化测试（随机种子与随机事件链），并将所得的封印合并为单个摘要；该摘要在 ARM64 与 x86-64 主机上一致。我们在任何场景中都未观察到跨架构的分歧。

在每一台主机上都得到一致的 256 位封印，而它们之间没有任何状态传输——只有共享的创世与共享的事件序列。

5.3 模糊测试下的有界性。

我们用 40,000 个取自六种对抗性范畴的输入向量对归一化进行模糊测试：单位尺度、按 10⁹ 缩放的幅值、原始随机 64 位整数、全为最大值、全为最小值，以及单坐标尖峰。我们还馈入了将每个坐标都设为整数极值的精心构造的传输脉冲，以及病态浮点输入（NaN、±∞）。在每一种情形下，归一化后的最大坐标幅值都保持在单位界限之内；我们记录到零次边界违规，且没有任何输入导致 panic 或算术溢出。

5.4 见证敏感性。

我们施加了 5,000 次单比特扰动，每次翻转随机选取的某一维度的最低位，并计算每个被扰动状态的封印。全部 5,000 个封印都与未扰动的封印不同；我们观察到零次碰撞，这与一个全状态承诺相符。

5.5 可复现性。

上述性质被编码为随参考实现一同发布的可执行不变式测试，因此其中任何一项的回退都会立即失败。完整的测试套件——包括模糊测试与确定性检查——在两种架构上均无警告地通过。独立各方可以通过在自己的硬件上运行该套件来复现这些数字。

6. 威胁模型与安全姿态

我们对安全主张刻意保持保守。两项性质由构造保证并经评测确认：有界性（没有任何输入能逃出状态流形或使算术溢出）以及全状态完整性敏感（任何单比特分歧都在封印中可见）。这些是结构性的，而非概率性的。

我们不声称 Alpha 是“不可攻破的”。网络层与密码学封印层尚未经过独立的第三方审计，我们在参考实现中相应地予以标注。在这样的审计完成之前，Alpha 只应部署于受信任的边界之内或在仿真中。在没有外部评审的情况下声称密码学上的不可侵犯，在我们看来是营销而非工程，我们拒绝作出此类声明。

7. 应用

Alpha 是一个基础层；它对其上的应用不作任何假设。它所提供的不对称——庞大的共享状态、极小的差分流量、确定性的重建、恒定大小的验证——在这种形态反复出现的场合最具价值：

被复制的数据库与索引： 通过交换漂移而非传送行来保持副本一致，并附带一份恒定大小的一致性证明。边缘与 CDN 缓存一致性： 在不广播完整状态的情况下使分布式缓存收敛。智能体记忆： 在会话与设备之间同步一个智能体累积的状态，并具备可验证的连续性。区块链与账本载荷： 以逐字节精确的重建来表示并验证交易历史。受限网络与网状网络： 在移动完整状态不可行的间歇性链路上维持共享状态。

8. 局限与未来工作

这是一份技术报告，而非经同行评审的披露：依其设计，它刻画性质并呈现可复现的证据，同时使构造保持专有且专利申请中。一份带有完整方法的正式论述将在法律固定之后随之而来。最重要的近期工作是第 6 节中提到的对网络层与封印层的独立外部审计；在其完成之前，安全姿态是“结构上有界且完整性敏感”，而非“经审计的安全”。我们还打算发布在真实网络条件下的性能刻画，这是本报告未予覆盖的内容。

9. 结论

Alpha 表明，分布式节点能够在不交换某一状态的情况下持有同一可验证状态——转而通过仅传输差分漂移收敛于一个共享的确定性过程，跨异构硬件重建出逐字节一致的状态，并以一份恒定大小的见证对其作出承诺。我们刻画了这些性质，并表明它们可在四台机器与两种架构间复现，在 40,000 个对抗性输入下表现出有界行为，并在 5,000 次扰动上实现无碰撞的完整性。构造仍被封存；证据则不然。我们所提供的不是一个承诺，而是一个可复现的结果。