量子计算突然按下快进键：谷歌与加州理工两记“重锤”，让比特币和加密世界更坐不住了

两条消息，像两声闷雷

4 月 1 日这天，科技圈最怕看到“重磅消息”三个字。可偏偏这次，量子计算界真的扔出了两颗不是愚人节玩笑的炸弹。

一颗来自加州理工学院。John Preskill 等研究者拿出了一套新的量子容错方案，用高码率纠错码显著降低了量子纠错的开销。翻成大白话就是：过去大家都知道，想让量子计算机真正干大事，最难的不是把量子比特摆出来，而是怎么让这些脆弱得像玻璃杯沿上的水珠一样的量子态，别在计算过程中一碰就碎。容错，就是给量子计算机穿盔甲；而新方案的意义在于，这身盔甲似乎终于没那么笨重了。

另一颗更有戏剧性，来自谷歌。谷歌团队宣称，他们找到了一个开销更低的 Shor 算法实现方案，可以用来攻击 256 位椭圆曲线密码。这个消息之所以让密码学圈瞬间绷紧神经，是因为今天大量区块链钱包、数字签名和互联网安全基础设施，都建立在这类公钥密码之上。更有意思的是，谷歌没有直接公开完整电路细节，而是用了“零知识证明”这种本来属于密码学的工具，来证明“我们确实有这个更小的电路”，但不把做法交给潜在攻击者。

这像什么？有点像有人在门口喊了一句：“保险箱我已经知道怎么更快打开了，先不给你们看教程，但你们最好现在就换锁。”你说这不让人后背发凉，那是不可能的。

真正变化的不是原理，而是数字

量子计算这些年的一个尴尬在于：概念永远激动人心，工程数字却总是冷冰冰。Shor 算法能分解大整数、破解现有公钥体系，这件事学界已经讲了三十年，大家耳朵都快听出茧子了。问题一直不是“能不能”，而是“要多大的机器、多少纠错、多久能做到”。

这次让人坐直身子的地方，恰恰是数字变了。按照 Aaronson 转述的估计，如果把加州理工的新容错思路和谷歌更省资源的 Shor 实现叠加起来，用于攻击比特币签名这类场景，物理量子比特需求可能降到 2.5 万左右。就在一年前，很多较主流的估计还停留在“数百万物理量子比特”的量级。

这不是小修小补，这是数量级上的重新计价。虽然 2.5 万个可用、可纠错、可稳定运行的物理量子比特，离现实仍然有距离，但它已经从“看起来像科幻小说里的超级装置”，逼近“也许是某些实验路线未来几年到十几年内会认真冲刺的工程目标”。别忘了，量子硬件进展从来不是均匀前进的，有时会长时间沉默，有时突然跨台阶。对安全行业来说，最怕的就是你还在按旧时钟算时间，技术却悄悄换了节拍。

这里还得说清楚一件事：这并不意味着比特币明天就会被洗劫一空，也不意味着所有 HTTPS 连接下周就报废。现实攻击需要的不只是理论电路，还需要足够低噪声、足够长相干时间、足够成熟的软件栈和硬件控制系统。量子计算机不是拿到图纸就能搭起来的乐高积木，它更像是在台风天里做心脏手术，任何一步都可能翻车。

但安全从来不是等危险百分之百降临才开始准备。防洪堤不是等洪水到门口才修，密码迁移也是一样。

谷歌用零知识“发论文”，这件事本身也很有时代感

如果说技术进展是第一层看点，那么谷歌这次选择用零知识证明来“发布”结果，就是第二层更耐人寻味的地方。

零知识证明本来是密码学里一个很优雅的想法：你可以向别人证明“我知道某个秘密”或者“某个结论成立”，却不泄露秘密本身。它过去更多出现在区块链扩容、隐私保护、身份验证等语境里。现在，谷歌把它拿来做一种近乎“克制公开”的科研发布：证明自己确实把电路做小了，但先不把攻击工具链细节交给全世界。

这背后其实触到了一个越来越尖锐的问题：当某项研究同时具备重大科学价值和明显安全风险时，公开到什么程度才算合适？

Aaronson 在文中提到，自己最初想到的是 1940 年 Frisch 和 Peierls 关于核裂变临界质量的计算——那是一个“科学发现是否该立刻完全公开”的经典历史时刻。不过他也提到，自己尊重的密码学与网络安全专家给出了鲜明的反驳：该发就得发。理由很现实，安全行业对这种事有几十年的经验了。公开研究会制造紧张，甚至会把一些仍在使用脆弱系统的人吓得不轻；但很多时候，这种惊慌恰恰是推动迁移的唯一办法。

我倾向于认同这种判断。因为“先别说，免得坏人知道”，听起来总很体贴，实际上往往保护的是迟钝和拖延。真正危险的不是论文公开，而是整个世界明知旧锁快不安全了，还因为替换太麻烦、预算太难批、流程太漫长，继续装作没事发生。

当然，这也带来另一个问题：当大型科技公司既是前沿研究推动者，又是云安全、基础设施和密码迁移服务的重要参与者时，它们在“何时公开、公开多少”这件事上，是否拥有过大的话语权？这会是未来几年一个越来越绕不开的争议。

比特币、钱包和整个互联网，谁该先紧张起来

很多普通读者看到“量子威胁加密”时，第一反应往往是比特币。这个反应没错，因为比特币的签名体系确实是量子讨论里最容易被举出来的靶子。尤其是那些已经公开过公钥的地址，一旦大规模实用量子攻击成为现实，理论上存在被定向攻击的风险。

但如果只盯着比特币，就把事情看小了。真正更大的战场是整个互联网的公钥基础设施：企业 VPN、银行系统、政府网络、软件签名、固件更新、身份认证、物联网设备证书……这些东西平时看不见，却撑着数字世界的骨架。量子计算一旦把椭圆曲线和 RSA 类体系真正推到危险区，这些基础设施的迁移成本，远比“换一个钱包地址”复杂得多。

而且密码迁移有个著名的时间差问题：攻击者今天就可以先把加密数据偷走，存起来，等未来量子能力成熟后再解密。这就是所谓“先收集，后解密”。对医疗记录、政府档案、商业机密、长期合同这类需要保密多年甚至数十年的数据来说，量子风险并不属于未来时，而是已经开始计时。

过去两年，NIST 推动后量子密码标准化，业界也开始逐步讨论抗量子迁移，浏览器、云服务商、芯片厂商和企业 IT 部门都在做试点。但老实说，这股推进速度离“紧迫”还差得远。很多机构仍然把抗量子密码当成研究部门的 PPT 题目，而不是预算表里的项目名称。

这次谷歌和加州理工的成果，最大的现实效果，很可能不是马上催生某台能攻破比特币的机器，而是把董事会、CISO、云厂商和监管机构都从椅子上再拽起来一点：别再问量子威胁有没有，真正该问的是你的迁移路线图写到哪一步了。

量子计算开始跨过“可以围观”的阶段

这些年，量子计算新闻常常在两种极端之间摇摆。一种是“革命将至”的乐观口号，另一种是“离实用还远”的冷水反击。前者容易让人疲劳，后者又容易让人麻木。可这一次，我觉得它更像一个信号：量子计算正在慢慢跨过那个只适合围观、还轮不到你操心的阶段。

为什么现在特别敏感？因为几条线开始合流了。硬件路线在进步，容错方案在改写资源估算，算法工程在继续压缩成本，密码标准化也不再停留在学术讨论。单看任何一条线，或许都不足以制造“时代拐点”；但它们凑在一起，味道就变了。

这也让人重新审视一个老问题：量子计算的第一批“高价值应用”究竟会是什么。过去大家喜欢谈化学模拟、材料设计、优化问题，那些都是光鲜而正面的叙事。可现实世界往往更残酷，最先倒逼社会认真面对一项新计算能力的，常常不是造福人类的海报，而是安全威胁。互联网本身如此，生成式 AI 某种程度上也是如此，量子计算可能也会走上这条路。

从新闻价值上看，这也是为什么这两篇研究会引发如此强烈反响。它们没有推翻物理学，没有宣布“量子霸权 2.0”，也没有端出一台可直接上阵的通用容错量子计算机。它们做的，是把那个大家一直知道会来的未来，往现在推近了一步。一步可能只有一年，也可能只是把未知数前面的系数改小了。但在安全世界里，这已经足够改变决策。

量子行业常被调侃“永远还有十年”。这次我不想跟着笑得太轻松了。因为当资源需求从几百万掉到几万，哪怕工程现实依然艰难，那个“十年”就不再像一句玩笑，更像一份需要开始填写日期的待办事项。