Suatu kali saya melihat lengan robot kecil terkejut pada momen yang salah di sebuah bengkel yang sibuk, bukan karena kodenya jahat, tetapi karena orang-orang dan mesin di sekitarnya tidak sejalan tentang apa arti “aman” pada hari itu. Kenangan itu adalah alasan mengapa saya terus kembali ke dua nama sederhana di Fabric, HardwareAttestorRegistry dan StakeSlashingBond. Mereka terdengar seperti dokumen, dan dalam cara tertentu, mereka memang demikian. Mereka memutuskan siapa yang bisa masuk melalui pintu dan membantu menyelesaikan pekerjaan yang bergantung pada robot.
Kebanyakan orang, ketika mereka mendengar “attestasi perangkat keras,” sedikit bersantai. Saya juga merasakannya. Itu terdengar seperti cap logam pada alat, seperti seseorang memeriksa nomor seri dan alat itu nyata. Kesalahan penetapan harga dimulai di sana. Attestasi bisa nyata dan tetap tidak terbuka. Sebuah sistem bisa memiliki pemeriksaan yang kuat dan tetap dibentuk oleh sekelompok kecil yang mengendalikan pemeriksaan tersebut.
Dalam desain ini, ide terbesar bukanlah capnya. Itu adalah pintu. Penerimaan adalah tuas yang sebenarnya. HardwareAttestorRegistry adalah daftar yang memutuskan siapa yang diizinkan masuk, dan StakeSlashingBond adalah aturan berbasis uang yang dapat mengeluarkan Anda atau menghukum Anda ketika Anda gagal dalam jendela re-attestasi yang diperlukan. Jaringan tidak hanya bertanya, “Apakah Anda menggunakan perangkat keras yang disetujui.” Ia juga bertanya, “Apakah Anda membuktikannya lagi, pada jadwal yang kami tuntut.” Jadwal itu penting. Kendala itu jelas. Operator harus hadir untuk jendela re-attestasi periodik. Jika Anda melewatkan jendela, Anda tidak hanya terlihat ceroboh. Anda dapat diperlakukan sebagai tidak layak untuk berpartisipasi. Ini adalah gerbang berbatas waktu, bukan lencana satu kali.
Saya telah melihat gerbang berbatas waktu di dunia nyata. Di bengkel yang sama, kami menggunakan kotak kunci untuk kunci torsi karena bautnya penting. Kunci tersebut adalah alat keselamatan, tetapi kotak kunci menjadi alat kekuasaan. Jika satu orang memegang kunci dan hanya muncul pada jam tertentu, pekerjaan berhenti. Orang-orang mulai merencanakan hari mereka di sekitar orang itu, bukan di sekitar pekerjaan. Tidak ada yang menyebutnya sentralisasi. Mereka menyebutnya “proses.”
Ikatan membuat gerbang terasa serius. Ketika ada sesuatu yang dipertaruhkan, orang berperilaku. Itu adalah bagian yang baik. Jika Anda berbohong tentang pengaturan Anda, Anda bisa kehilangan uang. Biaya kecurangan meningkat. Jaringan tidak bergantung pada suasana hati. Ia memiliki hukuman bawaan yang dapat ditegakkan ketika seorang operator tertangkap di luar spesifikasi.
Tetapi keseriusan yang sama juga membuat onboarding lebih lambat secara desain. Anda mengorbankan kecepatan di pintu depan sehingga Anda dapat menolak perilaku kartel yang mudah di kemudian hari. Jika itu instan untuk bergabung, itu juga akan instan untuk membanjiri. Pintu yang cepat adalah pintu yang mudah untuk dimanipulasi. Memperlambatnya bisa menjadi jenis keamanan. Namun, itu adalah pengorbanan yang nyata. Operator baru harus menunggu jendela yang tepat dan persetujuan yang tepat. Di dunia di mana robot mungkin memerlukan lebih banyak komputasi atau lebih banyak pengawasan selama peristiwa mendadak, menunggu bisa menyakitkan.
Di sinilah risiko tersembunyi berada. Orang sering membayangkan ancaman sebagai satu operator buruk yang menyelinap masuk. Kegagalan yang lebih tenang adalah sekelompok kecil attestor yang memblokir peserta baru. Blokade tidak harus keras. Itu bisa dilakukan dengan penundaan. Itu bisa dilakukan dengan “dokumen yang hilang.” Itu bisa dilakukan dengan memerlukan langkah-langkah kecil tambahan yang tampak wajar ketika dilihat satu per satu. Dalam praktiknya, kelompok tidak perlu mengeluarkan Anda selamanya. Mereka hanya perlu menjaga Anda tetap keluar cukup lama agar Anda berhenti mencoba, atau agar bisnis Anda kehabisan uang.
Jika itu terjadi, kelompok melakukan lebih dari sekadar memperlambat pertumbuhan. Itu mulai mengarahkan siapa yang dapat menyelesaikan komputasi kritis untuk keselamatan. Frasa itu terdengar abstrak sampai Anda membayangkan momen ketika sistem robot membutuhkan keputusan yang dicatat, disetujui, dan diterima oleh jaringan. Jika hanya seperangkat operator yang sempit yang secara konsisten diterima dan tetap dalam keadaan baik, set orang yang bisa “membuatnya berarti” juga menjadi set yang sempit. Jaringan masih bisa global di atas kertas. Di lapangan, itu terasa seperti klub.
Saya memperhatikan sinyal yang sulit dipalsukan, karena cerita itu murah. Perilaku rantai Fabric sendiri dapat memberi Anda salah satu sinyal tersebut, dan itu bukan pemeriksaan suasana hati. Buktinya ada dalam churn. Jika set attestor berhenti berubah, sementara upaya penerimaan terus meningkat, ada yang tidak beres. Dua bagian yang disebutkan adalah penyebabnya. Registri adalah tempat set tersebut dilacak. Ikatan adalah apa yang membuat partisipasi cukup mahal sehingga bentuk set itu penting. Jika sistem yang sehat dan terbuka berjalan, Anda mengharapkan beberapa pergerakan yang stabil. Attestor baru muncul. Yang lama berputar keluar. Penandatangan mengambil jeda. Ketika ada permintaan untuk bergabung, set tidak boleh membeku seperti danau di musim dingin.
Set yang beku tidak membuktikan kesalahan dengan sendirinya. Terkadang stabilitas diperoleh. Mungkin kelompok awal hanya melakukan pekerjaan yang baik, dan yang lain belum siap. Itulah sebabnya bagian kedua dari sinyal itu penting. Permintaan. Jika Anda dapat melihat jumlah upaya penerimaan yang meningkat, dan Anda tidak melihat pihak baru yang diterima dengan kecepatan yang sama, pintu menjadi titik penyumbatan. Dalam bahasa yang sederhana, orang-orang mengetuk dan tidak ada orang baru yang diizinkan masuk.
Ada cara lain di mana salah penetapan harga muncul. Orang-orang memperlakukan attestasi seperti kotak centang ya atau tidak. Tetapi jendela re-attestasi berbatas waktu mengubahnya menjadi ritme, seperti tanggal jatuh tempo sewa. Jika Anda hanya bisa tetap di dalam dengan membayar tepat waktu, maka siapa pun yang memengaruhi jadwal itu, atau memengaruhi seberapa ketat itu diterapkan, memiliki kekuasaan. Bahkan jika aturannya ditulis dengan jelas, kehidupan nyata menciptakan kasus tepi. Perangkat keras gagal. Rantai pasokan melambat. Penundaan perjalanan terjadi. Jika sistem tidak memiliki belas kasihan terhadap kenyataan, itu akan aman dalam satu arti dan rapuh dalam arti lainnya.
Sistem rapuh menciptakan jenis tekanan mereka sendiri. Operator mulai membangun di sekitar jendela alih-alih di sekitar pekerjaan. Mereka menimbun suku cadang. Mereka memilih vendor berdasarkan siapa yang dapat menghasilkan bukti tercepat, bukan siapa yang memproduksi mesin paling dapat diandalkan. Mereka bahkan mungkin menghindari melayani wilayah dengan logistik yang tidak stabil karena penalti jendela terlalu tinggi. Tidak ada yang perlu konspirasi. Ini hanya insentif menjalankan tugasnya.
Jadi ketika seseorang mengatakan, “Attestasi perangkat keras sama dengan keamanan terbuka,” saya mendengar, “Kotak kunci membuat kunci pas aman.” Mungkin saja. Ini juga bisa membuat seluruh toko bergantung pada orang yang memiliki kunci. Intinya bukan bahwa kotak kunci itu buruk. Intinya adalah bahwa kotak kunci menjadi pusat ruangan. Di Fabric, gerbang penerimaan menjadi pusat ruangan.
Saya suka bahwa desain mengakui kenyataan ini dengan mempertaruhkan uang. Itu jujur. Sebuah ikatan mengatakan, “Kami mengharapkan perilaku buruk dan kami telah menghargainya.” Ini juga menciptakan garis yang jelas untuk akuntabilitas. Jika Anda tertangkap curang, itu bukan hanya slap di pergelangan tangan. Namun, ikatan itu tidak menyelesaikan masalah kelompok sendiri. Sebuah kelompok yang ketat dapat mengikuti aturan dan tetap mendominasi pintu. Mereka dapat “bersih” dan tetap selektif. Sebuah kartel tidak selalu terlihat seperti kejahatan. Terkadang itu terlihat seperti kebijakan.
Ketika saya berpikir tentang bagaimana mengawasi ini dalam praktik, saya membayangkan dua grafik sederhana yang dibuat dari data publik. Satu grafik menunjukkan seberapa sering set attestor berubah dari waktu ke waktu. Grafik lainnya menunjukkan berapa banyak upaya penerimaan terjadi dalam periode yang sama. Jika upaya meningkat dan churn kolaps, sistem memberi tahu Anda sesuatu. Itu tidak memberi tahu Anda tentang satu transaksi. Itu memberi tahu Anda tentang pola.
Inilah alasan mengapa “jendela periodik” sangat penting. Sebuah jendela menciptakan tebing alami dalam waktu. Mendekati batas waktu, orang-orang terburu-buru. Setelah batas waktu, orang-orang menunggu. Jika sekelompok kecil mengendalikan kecepatan di tebing tersebut, mereka mengendalikan siapa yang bisa pulih dari keberuntungan buruk dan siapa yang tidak. Anda mungkin melihat lonjakan pengajuan diikuti oleh garis datar yang panjang. Anda mungkin melihat penandatangan yang sama berulang kali, bahkan saat kerumunan di pintu tumbuh. Seiring waktu, cerita keamanan jaringan menjadi kurang tentang mesin yang terverifikasi dan lebih tentang keanggotaan yang terverifikasi.
Saya tidak berpikir sebagian besar tim bertujuan untuk membangun sebuah klub. Saya pikir mereka bertujuan untuk membuat robot aman di dunia di mana “aman” sulit didefinisikan. Itu adalah niat yang baik. Namun niat tidak menjalankan jaringan. Pintu yang melakukannya. Dan dalam sudut pandang ini, pintu adalah produknya. Pasar memperhatikan cap dan mengabaikan pengawas.
Jika koefisien Gini dari bagian tanda tangan attestor melewati ambang peringatannya dan waktu median untuk mengakui meningkat dua kali lipat, klaim “attestasi perangkat keras sama dengan keamanan terbuka” adalah salah.
@Fabric Foundation #FABRIC $ROBO
