Vitalik新作：全栈开放性与可验证性为何如此重要？

文章转载来源： Vitalik Buterin

作者：Vitalik Buterin

编译：Saoirse，Foresight News

或许本世纪迄今为止最显著的趋势，可用「互联网已成为现实生活」这句话来概括。这一趋势始于电子邮件与即时通讯 —— 数千年来，人们依靠口耳相传、纸笔记录完成的私密对话，如今已转移到数字基础设施上进行。随后，数字金融应运而生，既包括加密货币金融，也涵盖传统金融自身的数字化转型。再到后来，数字技术渗透至健康领域：借助智能手机、个人健康追踪手表，以及从消费行为中推断出的数据，各类与我们身体相关的信息正通过计算机及计算机网络进行处理。在未来二十年里，我预计这一趋势将席卷更多领域，包括各类政府事务（最终甚至可能延伸至选举环节）、对公共环境中物理与生物指标及潜在威胁的监测，而最终，通过脑机接口技术，数字技术甚至可能触及我们人类自身的思维层面。

我认为这些趋势不可避免：其带来的益处过于巨大，且在竞争激烈的全球环境中，拒绝这些技术的文明首先会丧失竞争力，进而向接纳这些技术的文明让出主权。然而，除了带来强大益处外，这些技术还深刻影响着国家内部及国家之间的权力格局。

能从新一轮技术浪潮中获益最多的文明，并非技术的「消费方」，而是技术的「生产方」。针对封闭平台与接口所设计的、由中央统筹的平等访问项目，充其量只能实现其中一小部分价值，且在预设的「常规」场景之外往往失效。此外，在未来的技术图景中，我们对技术的信任度将大幅提升。一旦这种信任被打破（例如出现后门程序、安全漏洞），便会引发严重问题。即便只是存在信任被打破的「可能性」，也会迫使人们退回到本质上具有排他性的社会信任模式 —— 即「这件东西是由我信任的人打造的吗？」。这种情况会在技术栈的各个层面催生连锁反应：所谓「主导者」，就是那些能定义「特殊状况」的主体。

要规避这些问题，技术栈中的各类技术 —— 包括软件、硬件及生物领域技术—— 需具备两个相互关联的核心特性：真正的开放性（即开源，包括免费授权） 与可验证性（理想情况下，终端用户应能直接进行验证） 。

互联网即现实生活。我们希望它成为乌托邦，而非反乌托邦。

健康领域中开放性与可验证性的重要性

新冠疫情期间，技术生产手段获取不平等所带来的后果暴露无遗。疫苗仅在少数国家生产，这导致不同国家获取疫苗的时间存在巨大差距：富裕国家在 2021 年就获得了高质量疫苗，而其他国家直到 2022 年或 2023 年才拿到质量较低的疫苗。尽管当时有多项举措试图保障疫苗的平等获取，但由于疫苗生产依赖资本密集型的专有制造流程，且这类流程仅能在少数地区开展，这些举措的效果十分有限。

疫苗面临的第二个主要问题，在于其相关科学研究与信息传播策略的不透明性：相关方试图向公众宣称疫苗「完全无风险、无任何副作用」，这一说法与事实不符，最终极大地加剧了公众对疫苗的不信任感。如今，这种不信任感已升级，甚至演变为对半个世纪以来科学成果的质疑。

事实上，这两个问题都有解决之道。例如，由 Balvi 资助的 PopVax 等疫苗，不仅研发成本更低，且研发流程的开放性更高 —— 这不仅能减少疫苗获取的不平等性，同时也让其安全性与有效性的分析和验证变得更加容易。未来，我们甚至可以在疫苗设计之初，就将「可验证性」作为核心目标。

类似问题也存在于生物技术的数字化领域。当你与长寿研究学者交流时，他们几乎都会提到：抗衰老医疗的未来方向是「个性化」与「数据驱动」。要为当下的人们提供精准的用药建议与营养调整方案，就必须了解其身体的实时状况；而要实现这一点，大规模、实时的数字数据收集与处理至关重要。

一款智能手表收集的个人数据量，是 Worldcoin（世界币）的 1000 倍，这一现象利弊共存。

这一逻辑同样适用于以「防范风险」为目标的防御性生物技术，例如疫情防控。疫情发现得越早，就越有可能从源头遏制；即便无法遏制，每提前一周发现，也能为防控准备与应对措施研发争取更多时间。在疫情持续期间，实时掌握疫情发生地点，对于及时部署防控措施也具有重要价值：若感染疫情的普通人能在得知病情后 1 小时内自我隔离，疫情传播范围将比「带病活动 3 天、传染他人」的情况减少 72 倍；若能确定「20% 的地点导致了 80% 的传播」，针对性地改善这些区域的空气质量，还能进一步降低传播风险。要实现这些目标，需满足两个条件：（1）部署大量传感器；（2）传感器具备实时通信能力，能将信息反馈至其他系统。

若进一步展望「科幻级」的技术方向，我们会看到脑机接口的潜力 —— 它不仅能大幅提升人类的工作效率、通过「心灵感应式通信」帮助人们更好地理解彼此，还能为实现更安全的高智能人工智能开辟路径。

倘若生物与健康追踪（包括个人层面与空间层面）的基础设施为专有技术，那么数据将默认流入大型企业手中。这些企业有权在基础设施之上开发各类应用，而其他主体则被排除在外。尽管它们可能通过 API（应用程序接口）开放部分访问权限，但这类权限往往受限，且可能被用于「垄断性寻租」，甚至随时可能被收回。这意味着，少数个人与企业掌握着 21 世纪某一重要技术领域的核心资源，进而限制了其他主体从中获取经济利益的可能性。

另一方面，若这类个人健康数据缺乏安全保障，黑客一旦入侵，便可能利用健康问题敲诈勒索、通过优化保险与医疗产品定价榨取利益；若数据中包含位置信息，黑客甚至能据此蹲点实施绑架。反之，你的位置数据（频繁遭遇黑客攻击）也可能被用于推断你的健康状况。而若脑机接口被黑客入侵，意味着恶意攻击者能直接「读取」（甚至更糟 ——「篡改」）你的思维。这已不再是科幻场景：有研究显示，脑机接口遭黑客攻击后，可能导致使用者丧失运动控制能力（相关攻击案例可参考此处）。

总而言之，这些技术虽能带来巨大益处，但也伴随着显著风险 —— 而大力强调「开放性」与「可验证性」，正是缓解这些风险的有效途径。

个人与商业数字技术领域中开放性与可验证性的重要性

本月初，我需要填写并签署一份具有法律效力的文件，但当时我身处国外。尽管该国设有全国性电子签名系统，但我并未提前完成注册。最终，我不得不打印文件、手写签名，再前往附近的 DHL（敦豪快递）网点，花大量时间填写纸质快递单，最后支付费用将文件跨国加急寄出。整个过程耗时半小时，花费 119 美元。而就在同一天，我还需要在以太坊区块链上签署一笔数字交易 —— 整个过程仅用了 5 秒，成本仅 0.1 美元（公平地说，即便不依赖区块链，数字签名也可完全免费）。

这类案例在企业或非营利组织治理、知识产权管理等场景中十分常见。过去十年间，绝大多数区块链初创企业的商业计划书里，都能看到类似的「效率对比」案例。除此之外，「通过数字方式行使个人权限」最核心的应用场景，便是支付与金融领域。

当然，这一切都伴随着一个重大风险：若软件或硬件遭遇黑客攻击，该怎么办？加密货币领域很早就意识到了这一风险 —— 区块链具有「无需许可」与「去中心化」的特性，一旦你丢失资金访问权限，便没有任何「救星」可求助，即「没有私钥，就没有资产所有权」。正因如此，加密货币领域早早开始探索「多签钱包」「社交恢复钱包」与「硬件钱包」等解决方案。然而在现实中，许多场景下「缺乏可信第三方」并非出于意识形态选择，而是场景本身的固有属性。事实上，即便是在传统金融领域，「可信第三方」也难以保护大多数人 —— 例如，仅有 4% 的诈骗受害者能追回损失。而在涉及「个人数据托管」的场景中，数据一旦泄露，从原则上讲便无法「撤回」。因此，我们需要真正的可验证性与安全性 —— 既包括软件，最终也包括硬件。

一种用于检测计算机芯片制造是否合规的技术方案

重要的是，在硬件领域，我们试图防范的风险远不止「制造商是否恶意」这一点。更核心的问题在于：硬件研发依赖大量外部组件，且多数组件为闭源模式，只要其中任一组件存在疏漏，就可能导致无法接受的安全后果。有论文（参考此处）显示，即便软件在独立模型中被证明「安全无虞」，微架构的选择也可能破坏其侧信道抗性。像 EUCLEAK（一种攻击方式）这类安全漏洞，正因其依赖的组件多为专有技术，才更难被发现。此外，若人工智能模型在受损硬件上训练，训练过程中可能被植入后门。

另一个问题在于：即便封闭的集中式系统本身安全无虞，也会带来其他弊端。集中化会在个人、企业或国家之间形成「持续的权力杠杆」—— 若你的核心基础设施由某一「潜在不可信国家」的「潜在不可信企业」搭建与维护，你便容易面临外部施压（例如，可参考Henry Farrell 关于「武器化相互依赖」的研究）。这正是加密货币旨在解决的问题 —— 但这类问题的存在范围，远不止金融领域。

数字公民技术领域中开放性与可验证性的重要性

我经常与各行各业的人交流，他们都在探索更适合 21 世纪不同场景的政府治理模式。例如，Audrey Tang 正致力于将已有的功能性政治体系升级，通过赋能本地开源社区、采用「公民议会」「抽签代表制」「二次投票」等机制提升治理水平；另一些人则从「底层设计」入手 —— 部分俄罗斯裔政治学家为俄罗斯起草了一份新宪法（可参考此处），其中明确保障个人自由与地方自治、强调「倾向和平、反对侵略」的制度设计，并赋予直接民主前所未有的重要地位；还有一些学者（如研究土地价值税或拥堵收费的经济学家），则在努力改善本国经济状况。

不同人对这些理念的接受度可能不同，但它们有一个共同点：均需要「高带宽参与」，因此任何切实可行的实施方案都必须是数字化的。纸笔记录或许能满足「简单产权登记」或「四年一次选举」的需求，但对于需要更高参与频率与信息传输效率的场景，完全无能为力。

然而，历史上，安全研究学者对「电子投票」这类数字公民技术的态度，从怀疑到反对不等。有研究（参考此处）很好地总结了反对电子投票的核心理由，其中提到：

「首先，电子投票技术依赖『黑箱软件』—— 公众无法访问控制投票机的软件代码。尽管企业声称『保护软件是为了防范舞弊、对抗竞争』，但这也导致公众完全无法了解投票软件的运作逻辑。企业若想操纵软件、制造虚假选举结果，并非难事。此外，投票机供应商之间存在竞争关系，无法保证他们会从『选民利益』与『选票准确性』出发生产设备。」

大量现实案例（参考此处）证明，这种怀疑并非没有道理。

2014 年对爱沙尼亚互联网投票系统的批判性分析

这些反对理由，同样适用于其他类似场景。但我预测，随着技术发展，在越来越多领域中，「完全拒绝数字化」的态度将变得不再现实。技术正推动世界向更高效率发展（无论利弊），若某一体系拒绝顺应这一趋势，人们将逐渐绕过它开展活动，其在个人与集体事务中的影响力也会不断减弱。因此，我们需要另一种方案：直面难题，探索如何让复杂的技术解决方案具备「安全性」与「可验证性」。

理论上，「安全可验证」与「开源」是两个不同概念。专有技术完全可能具备安全性—— 例如，飞机技术高度专有，但商业航空仍是安全性极高的出行方式。然而，专有模式无法实现的，是「安全共识」—— 即让相互不信任的主体都能认可其安全性的能力。

选举等公民系统，正是需要「安全共识」的典型场景。另一个场景是法庭证据收集。最近，美国马萨诸塞州法院裁定，大量酒精测试仪证据无效 —— 原因是州犯罪实验室被发现隐瞒了测试仪存在普遍故障的信息。该判决文件中提到：

「难道所有测试结果都存在问题吗？并非如此。事实上，多数案件中的酒精测试仪并未出现校准问题。但调查人员随后发现，州犯罪实验室隐瞒了『故障范围比声称更广泛』的证据，因此 Frank Gaziano 法官认为，所有相关被告的正当程序权利均受到了侵犯。」

法庭中的「正当程序」，本质上不仅要求「公平」与「准确」，更要求「公平与准确的共识」—— 若公众无法确认法庭在「依法行事」，社会很可能陷入「私力救济」的混乱局面。

此外，「开放性」本身也具有固有价值。开放性能让本地群体根据自身目标，设计适配的治理、身份认证等系统。若投票系统为专有技术，某一国家（或省份、城市）若想尝试新的投票模式，将面临巨大障碍：要么说服企业将其偏好的规则开发为「新功能」，要么从零开始研发并完成安全验证 —— 这无疑大幅增加了政治体系创新的成本。

在这些领域中，采用「开源黑客伦理」（即鼓励共享、协作与创新的理念），能赋予本地实施者更多自主权 —— 无论他们是以个人身份、还是作为政府或企业的一员开展工作。要实现这一点，需满足两个条件：一是广泛提供「便于构建的开源工具」，二是基础设施与代码库需采用「免费授权」模式，允许他人在此基础上二次开发。若目标是「缩小权力差距」，则「copyleft」模式尤为重要（参考此处）。

未来几年，公民技术领域另一个重要方向是物理安全。过去二十年间，监控摄像头遍布各地，引发了诸多公民自由担忧。但不幸的是，无人机 warfare 的兴起，已让「不采用高科技安全手段」不再是可行选项。即便某国法律不侵犯公民自由，若该国无法保护公民免受「其他国家（或恶意企业、个人）」的非法干预，所谓的「自由」也无从谈起 —— 而无人机让这类攻击变得更加容易。因此，我们需要相应的防御措施，其中可能包括大量「反无人机系统」、传感器与摄像头。

• 若这些工具为专有技术，数据收集将既不透明又高度集中；若这些工具具备「开放性」与「可验证性」，我们便能探索更优方案：安全设备仅在有限场景下输出有限数据，并自动删除其余数据。如此一来，数字化物理安全的未来，将更像「数字看门狗」，而非「数字全景监狱」。我们可以构想这样一个世界：公共监控设备必须开源且可验证，任何公民都拥有「随机选取公共监控设备、拆解并验证其合规性」的法律权利；大学计算机社团甚至可以将这类验证作为教学实践活动。

开源且可验证的实现路径

我们无法避免数字计算机技术深度嵌入个人与集体生活的方方面面。若顺其自然，未来的数字技术很可能呈现这样的形态：由中心化企业开发运营，为少数人的盈利目标服务，被所在国政府植入后门，而全球多数人既无法参与技术创造，也无从判断其安全性。但我们完全可以努力转向一条更优的道路。

不妨构想这样一个世界：

• 你拥有一台安全的个人电子设备—— 它兼具手机的运算能力、加密硬件钱包的安全性，可检查程度虽不及机械手表，却已十分接近。
• 你的所有即时通讯应用均已加密，消息传播轨迹通过混网技术隐藏，且所有代码都经过形式化验证。你完全可以确信，私人对话真正做到了私密无泄露。
• 你的财务资产是链上标准化的 ERC-20 代币（或存储于向区块链发布哈希值与验证证明以确保准确性的服务器中），由个人电子设备控制的钱包管理。若设备丢失，你可通过自主选择的方式（比如结合你的其他设备、家人、朋友或机构的设备 —— 不一定是政府机构：若操作足够便捷，教堂等组织也可能提供此类服务）恢复资产访问权限。
• 开源版 Starlink 级基础设施已投入使用，确保全球通信稳定可靠，无需依赖少数运营主体。
• 你的设备搭载本地运行的开源权重大型语言模型（LLM），可实时扫描你的操作、提供建议、自动完成任务，并在你可能获取错误信息或即将犯错时发出预警。
• 设备的操作系统同样开源，且经过形式化验证。
• 你佩戴着 24 小时不间断工作的个人健康追踪设备，这类设备同样具备开源性与可检查性—— 你能随时获取自己的健康数据，且可确保未经你许可，任何人都无法获取这些信息。
• 我们拥有更先进的治理模式：采用抽签代表制、公民议会、二次投票等机制，通过巧妙结合的民主投票方式设定目标，并借助特定方法筛选专家方案以确定目标的实现路径。作为参与者，你完全可以确信，系统正按照你理解的规则运行。
• 公共场所配备用于追踪生物变量的监测设备（如监测二氧化碳浓度、空气质量指数、空气传播疾病存在情况、废水指标等）。但这类设备（以及所有监控摄像头、防御性无人机）均具备开源性与可验证性，且有相应法律体系保障公众可对其进行随机检查。

在这样的世界里，我们将拥有比当下更高的安全性、更多的自由，以及更平等的全球经济参与机会。但要实现这一愿景，还需在以下各类技术领域加大投入：

• 更先进的加密技术：我将零知识证明（ZK-SNARKs）、全同态加密、混淆技术称为加密领域的「埃及神祇卡牌」—— 它们的强大之处在于，能在多方场景下对数据执行任意程序运算，在保证输出结果可靠性的同时，确保数据与运算过程的私密性。这为开发更强大的隐私保护应用奠定了基础。与加密技术相关的工具（如能确保数据不被篡改、用户不被排斥的区块链，以及通过向数据添加噪声进一步保护隐私的差分隐私技术）也将在此发挥重要作用。
• 应用与用户级安全：只有当应用程序的安全承诺能被用户理解并验证时，它才称得上真正安全。这需要借助软件框架，降低高安全属性应用的开发难度。更重要的是，浏览器、操作系统及其他中间件（如本地运行的监控型大型语言模型）需协同发力：验证应用程序安全性、判定风险等级，并将这些信息清晰地呈现给用户。
• 形式化验证：我们可利用自动化证明方法，通过算法验证程序是否满足关键特性（如不泄露数据、防止未授权第三方修改）。Lean 语言近来已成为该领域的热门工具。目前，这些技术已开始用于验证以太坊虚拟机（EVM）的零知识证明算法，以及加密领域其他高价值、高风险用例，在更广泛的领域也有类似应用。除此之外，我们还需在其他更基础的安全实践中取得进一步突破。

21 世纪初「网络安全无法根治」的宿命论是错误的：漏洞（及后门）并非无法解决。我们「只需」学会将安全置于其他竞争目标之上。

• 开源且以安全为核心的操作系统：这类系统正不断涌现，例如专注安全的安卓衍生系统 GrapheneOS、主打极简安全的内核（如 Asterinas），以及华为的鸿蒙操作系统 —— 鸿蒙拥有开源版本，且正采用形式化验证技术。或许很多读者会质疑：「既然是华为的系统，肯定有后门吧？」但这种观点恰恰忽略了核心逻辑：无论产品由谁开发，只要具备开放性且任何人都能对其进行验证，开发者身份就不应成为顾虑。这一案例充分说明，开放性与可验证性能够有效对抗全球技术分裂趋势。
• 安全的开源硬件：若无法确保硬件真正运行指定软件，且不会在后台擅自泄露数据，那么再安全的软件也形同虚设。在这一领域，我重点关注两个短期目标：

• 个人安全电子设备：区块链领域将其称为「硬件钱包」，开源爱好者则称之为「安全手机」—— 但只要理解了对「安全性」与「通用性」的双重需求，就会发现这两类设备的核心功能最终会趋于统一。
• 公共场所物理基础设施：包括智能锁、前文提及的生物监测设备，以及各类物联网技术。要让公众信任这类设施，开源与可验证性是必不可少的前提。

• 用于构建开源硬件的安全开源工具链：如今，硬件设计依赖大量闭源组件。这不仅大幅推高硬件研发成本、增加开发权限门槛，还让硬件验证难以落地 —— 若生成芯片设计的工具为闭源，开发者根本无法确定验证标准。即便像扫描链这样已有的技术，也常因关键配套工具闭源而无法实际应用。不过，这种现状并非无法改变。
• 硬件验证技术（如 IRIS 技术、X 射线扫描）：我们需要通过扫描芯片，确认其逻辑与设计完全一致，且不存在可被恶意篡改、提取数据的额外组件。验证可通过两种方式实现：

• 破坏性验证：审计人员以普通终端用户身份随机采购含芯片的产品，拆解芯片后验证其逻辑是否与设计匹配。
• 非破坏性验证：借助 IRIS 或 X 射线扫描技术，理论上可对每一颗芯片进行检测。

要实现「安全共识」，理想状态是让广大群体都能掌握硬件验证技术。目前，X 射线设备尚未普及，可通过两方面改善：一方面优化验证设备（及芯片的可验证性设计），降低使用门槛；另一方面，用更简易的验证方式补充「全量验证」—— 例如在智能手机上就能完成的 ID 标签验证、基于物理不可克隆功能生成密钥的签名验证。这类方式可有效验证「设备是否来自已知厂商批次，且该批次已通过第三方随机抽样详细验证」等关键信息。

• 开源、低成本的本地环境与生物监测设备：社区与个人应能自主监测环境与自身健康状况，识别生物风险。这类设备形态多样，包括 OpenWater 等个人医疗设备、空气质量传感器、Varro 等通用空气传播疾病传感器，以及更大规模的环境监测设备。

技术全栈的每一层，都需要开放性与可验证性。

从愿景到落地：路径与挑战

与传统技术发展愿景相比，「全栈开源可验证」的愿景有一个关键不同 —— 它更注重地方主权的保障、个人权利的赋能与自由的实现。在安全构建逻辑上，它不再追求「彻底清除全球所有威胁」，而是转向「提升技术栈各层级系统的稳健性」；在「开放性」的定义上，它不止于「由中央规划的 API 开放访问」，而是延伸到「技术全栈的每一层都能被改进、优化与二次开发」；在「验证」的属性上，它不再是专有审计机构的专属权力（这些机构甚至可能与技术厂商、政府存在利益勾结），而是成为公众的基本权利，甚至是受社会鼓励的实践活动 —— 任何人都能参与验证，而非被动接受「安全承诺」。

这种愿景更能适配 21 世纪全球格局碎片化的现实，但落地的时间窗口十分紧迫。当前，集中式安全方案正以惊人的速度推进，其核心逻辑是「增加集中化数据收集节点、预设后门，同时将验证简化为单一标准 ——『是否来自可信开发者或制造商』」。事实上，数十年来，用集中式方案替代「真正开放访问」的尝试从未停止：从早期 Facebook 推出的「互联网计划」（internet.org），到如今更复杂的技术垄断模式，每一次尝试都比前一次更具迷惑性。因此，我们面临双重任务：一方面要加速开源可验证技术的研发与落地，与集中式方案形成竞争；另一方面要向公众与机构清晰传递理念 ——「更安全、更公平的技术方案并非空想，而是切实可行」。

若能实现这一愿景，我们将迎来一个可被称为「复古未来主义」的世界：一方面，我们能享受前沿技术的红利 —— 通过更强大的工具改善健康、用更高效稳健的方式组织社会、抵御新旧威胁（如流行病、无人机攻击）；另一方面，我们能重拾 1900 年代技术生态的核心特质 —— 基础设施不再是「普通人无法触碰的黑箱」，而是可被拆解、验证、改造以适配自身需求的工具；任何人都能突破「消费者」或「应用开发者」的身份局限，在技术全栈的任意一层参与创新（无论是优化芯片设计，还是改进操作系统安全逻辑）；更重要的是，人们能真正信任技术 —— 确信设备的实际功能与宣传一致，不会在后台窃取数据或执行未授权操作。

实现「全栈开源可验证」并非无成本 —— 软硬件的性能优化往往以「降低可理解性、增加系统脆弱性」为代价，而开源模式也与多数传统商业盈利逻辑存在冲突。尽管这些问题的影响被过度夸大，但公众与市场对「开源可验证」的认知转变需要时间，无法一蹴而就。因此，我们需要明确一个务实的短期目标：优先为「高安全需求、非性能关键型应用」构建全栈开源可验证技术体系，涵盖消费级与机构级场景、远程与本地场景，以及软硬件与生物监测领域。

这一选择的合理性在于：多数对「安全性」有极高要求的场景（如健康数据存储、选举投票系统、金融密钥管理），对「性能」的需求其实并不苛刻；即便部分场景需要一定性能，也可通过「高性能不可信组件 + 低性能可信组件」的组合策略实现平衡 —— 例如，用高性能芯片处理普通数据，用经过开源验证的安全芯片处理敏感信息，最终在保障安全的同时满足效率需求。

我们不必追求「为所有领域实现极致的安全与开放」—— 这既不现实，也无必要。但我们必须确保：在那些直接关系个人权利、社会公平与公共安全的核心领域（如医疗健康、民主参与、金融安全），「开源可验证」成为技术标配，让每一个人都能享受安全、可信的数字服务。

特别感谢 Ahmed Ghappour、bunnie、Daniel Genkin、Graham Liu、Michael Gao、mlsudo、Tim Ansell、Quintus Kilbourn、Tina Zhen、Balvi 志愿者以及 GrapheneOS 开发人员提供的反馈和参与的讨论。