رجوع

قصتنا

غيرمنحاز.مجهولالهوية.قابلللتحقق. ليسواحدًامنثلاثة.الثلاثةجميعًا.

تختار معظم منصات الاستطلاعات واحدة أو اثنتين من هذه الخصائص وتتخلّى بهدوء عن الثالثة. نحن نرفض أن نختار. تشرح بقية هذه الصفحة كيف تتحقق الخصائص الثلاث في وقت واحد، ولماذا توجد الفجوة من الأساس، وكيف يمكنك التحقق من أي منها دون الوثوق بكلمة واحدة مما كتبناه للتو. لسنا المنصة الوحيدة التي تقدّر هذه الخصائص — نحن المنصة الوحيدة التي نعرف عنها حيث تُفرَض هذه الخصائص بالبنية المعمارية، وليس بالسياسة.

نؤمن بثلاثة أشياء، بترتيب.

صوت لا يمكن أن يكون صادقًا ليس صوتًا.

استطلاع يمكن إمالته ليس استطلاعًا.

نتيجة لا يمكن التحقق منها ليست نتيجة.

بنينا المنصة بدءًا من تلك المبادئ الثلاثة. وكل ما عداها جاء بعدها.

§2 · المشكلة

حين يطرح صاحب الاستطلاع السؤال، فهو يطلب الإجابة كذلك

يُفترَض بالاستطلاع أن يكشف عمّا يفكر فيه الناس. لكن معظم الاستطلاعات على الإنترنت تكشف عمّا يريد المشغّل أن يجده — وليس لأن المشغّل يكذب. للاستطلاعات على الإنترنت وضع فشل صامت لا يحتاج أي سوء نية كي يحدث.

هم يكتبون السؤال، وسؤال مصاغ بصورة "هل ينبغي للمدينة أن تحظر X؟" يحصل على إجابة مختلفة عن "هل ينبغي للمدينة أن تسمح بـ X؟". وهم يضعون قائمة الخيارات، فيجمع الخيار في أعلى القائمة أصواتًا أكثر من الخيار في أسفلها بصرف النظر عن المحتوى. وهم يدعون الجمهور، فيُميّل الجمهور الذي يدعونه النتيجة قبل أن يُدلي أحد بصوت واحد. وهم يراقبون العدّ المباشر، والعدّ المباشر نفسه يدفع المصوّتين اللاحقين نحو الجانب الذي يفوز. وهم يقررون متى يُغلَق الاستطلاع، وأي الأرقام يُبرَز في النهاية.

لا شيء من هذا يستلزم صاحب استطلاع ذا نية سيئة. فحتى الناس الصادقون، حين يطرحون أسئلة صادقة، ينتجون نتائج منحازة إذا لم تقاومهم أدواتهم.

وثَمّ وضع فشل ثانٍ لا يعتمد على صاحب الاستطلاع إطلاقًا. فحين يعلم المصوّتون — أو يَشُكّون — بأن إجابتهم تُتَتَبَّع، يكفّون عن الإجابة بصدق. يُعطون الإجابة الآمنة اجتماعيًا، تلك التي يقبلها رئيسهم، تلك التي لن تنتهي في ملف مرتبط باسمهم بعد عقد من الزمن. يسأل الاستطلاع "ما رأيك؟" فيتلقى "ما الآمن قوله؟". تبدو النتيجة سليمة؛ تتطابق الأرقام؛ لكنها ببساطة ليست الأرقام التي يصدّقها الناس فعلًا.

في نظام يقوم فيه المشغّل بعدّ الأصوات وتحكّمٍ في السؤال ومعرفةٍ صامتة بمن صوّت لماذا، فإنك تثق بالمشغّل في كل محور دفعة واحدة. ومعظم الناس يفعلون ذلك، تلقائيًا، لأنه لا يوجد شيء آخر يثقون به.

§3 · الإخفاء، على كلا الجانبين

"مجهول الهوية" وصفٌ لقاعدة البيانات وليس كلمة تسويقية — وهو يعمل في الاتجاهين

الإخفاء خاصية للبنية المعمارية، لا للسياسة. قاعدة بيانات تمتلك هويتك ولكنها تختار ألا تعرضها لا تجعلك مجهول الهوية — بل تجعلك بلا اسم. نحن نتمسّك بالتعريف الأكثر صرامة: لا نملك هويتك من جانب المصوّت، ولا نملكها كذلك من جانب من يطرح السؤال.

جانب المصوّت. في أدنى مستوى تحقق لدينا، أنت لا تعطينا شيئًا طوعًا — لا بريدًا إلكترونيًا، ولا هاتفًا، ولا wallet، ولا اسمًا حقيقيًا. لكننا ما زلنا نحول عنوان IP الخاص بك وبصمة جهازك إلى hash لمنع الشخص نفسه من التصويت مئة مرة من مئة تبويب، غير أن هذه الـ hashes لا تعرّفك.

في مستويات التحقق الأعلى — حيث نحتاج أن نعرف شيئًا ما عنك لإيقاف الأصوات المزيفة — تختلف الحدود لكن النتيجة هي ذاتها. خذ التحقق عبر SMS (IMDifferent ID): تُثبت أن لديك وصولًا لرقم هاتف، نحن نحوله إلى hash، ثم تُدلي بصوتك. بعد ذلك، تمتلك المنصة الـ hash — لا رقم هاتفك. والبحث عن "من صوّت للخيار X؟" من داخل قاعدة بياناتنا يحتاج إدخالًا خارجيًا (هاتفك الفعلي) يُختبَر بمواجهة hash أحادي الاتجاه لا يفك تشفيره. لا شيء في الواجهة العامة، أو في الـ API، أو في سير عملنا التشغيلي يُجري ذلك الاستعلام. خطوة التحقق تسجل "هذا المعرّف المشفّر hash صوّت"؛ ولا تسجل أبدًا "هذا الشخص صوّت".

بصمة صوتك في السجل اليومي on-chain هي hash أحادي الاتجاه: بصمة، لا نسخة. وبتلك البصمة، لا يستطيع أحد — لا نحن، ولا أمر قضائي، ولا جهة مستحوذة مستقبلًا — أن يعيد بناء الصوت أو المصوّت أو اللحظة.

جانب منشئ الاستطلاع. افتراضيًا، صفحة الاستطلاع لا تعرض من أنشأ الاستطلاع. ترى السؤال والخيارات والفئة ومستوى التحقق المطلوب — لكنك لا ترى "سُئل بواسطة بوب من قسم الموارد البشرية" أو "سُئل بواسطة [السياسي المفضّل/الأقل تفضيلًا]". هذا متعمَد. فبمجرد أن تعرف من يسأل، يكفّ السؤال عن أن يكون محايدًا: يميل المصوّتون نحو ما يظنون أن السائل يريد سماعه، أو ضده مبدئيًا. إخفاء السائل هو الطريقة التي نمنع بها هذا الضغط من التسرّب إلى النتيجة. قاعدة بيانات المنصة تسجل بالفعل أي حساب أنشأ الاستطلاع (حتى يستطيع المنشئ إدارة استطلاعاته)، لكن تلك الصلة لا تعبر إلى الواجهة العامة.

§4 · الأصوات المزيفة

ما نفعله فعلًا تجاه الأصوات المزيفة

ينبغي أن تكون كلفة الإدلاء بصوت مزيف أكبر دائمًا من قيمة الإدلاء به. تلك هي القاعدة. وكل ما تبقّى تنفيذ.

المنصة التي تدّعي أنها "مجهولة الهوية" دون مكافحة الاحتيال تُخدَع بسهولة: شخص واحد، مئة تبويب متصفح، مئة صوت، يسمّونها ديمقراطية. نحن لا نفعل ذلك. كل صوت يدخل النظام عبر واحد من خمسة أبواب، ولكل باب كلفة مختلفة لاجتيازه:

  • مجهول الهوية

    بدون فحص عند الباب

    مجاني، سريع، سهل التزييف. يُستخدَم حين تكون مخاطر الاستطلاع منخفضة ويقبل صاحب الاستطلاع المُقايَضَة صراحةً.

  • IMDifferent ID

    رقم هاتف

    بطاقة SIM واحدة، صوت واحد. تكلّف بضعة دولارات لكل صوت مزيف — ما يكفي لإيقاف أسراب الـ bots، لا ما يكفي لإيقاف مهاجم مصمّم بميزانية.

  • Gitcoin Passport

    sybil score

    يجمع إشارات من مصادر هوية قائمة لإنتاج شارة "هذا على الأغلب إنسان". أصعب تزييفًا على نطاق واسع من SMS.

  • Coinbase Verified

    حساب مالي بـ KYC

    تزييف هذا يعني تزييف فحص هوية بمستوى مصرفي. نتحدث عن آلاف الدولارات لكل صوت مزيف، لا عن قروش.

  • World ID

    إثبات أن لديك قزحية بشرية

    يكلّف زيارة فعلية إلى Worldcoin Orb. مستحيل عمليًا تزييفه على نطاق واسع؛ من أقوى آليات مكافحة sybil المتاحة علنيًا اليوم.

الكلفة الدقيقة لكل باب موثّقة؛ لا شيء مخفي خلف لغة تسويقية. مستوى "مجهول الهوية" مجهول الهوية عمدًا — ليس فشلًا أمنيًا، بل خيارًا اختاره صاحب الاستطلاع، وكل نتيجة تذكر المستوى الذي جُمعت فيه.

§5 · لماذا أبواب متعدّدة

استطلاعات مختلفة تستحق أبوابًا مختلفة

الاحتكاك أداة، لا فضيلة. قليل منه يجلب أصواتًا مزيفة. وكثيره يلغي الأصوات أصلًا. القَدر الصحيح هو القَدر المُعايَر لما هو فعلًا على المحك.

نحن لا نمرّر كل استطلاع عبر World ID. معظم الاستطلاعات لا تحتاج هذا المستوى من الاحتكاك، والاحتكاك نفسه يستبعد المصوّتين. أن تطلب من جيرانك مسح قزحياتهم قبل التصويت على تجديد حديقة الكلاب مبالغة؛ وأن تطلب من مجلس مؤسسة التصويت على تخصيص ميزانية بقيمة 5 ملايين دولار عبر مستوى مجهول الهوية تهوّر. كلاهما خاطئ، في اتجاهين متعاكسين.

إذًا فصاحب الاستطلاع يختار الباب. استطلاع عام عابر يبدأ بـ IMDifferent ID. انتخابات نقابية تجري عبر Coinbase Verified. استفتاء حول سلامة الذكاء الاصطناعي لا يحتمل هجمات sybil إطلاقًا يجري عبر World ID فقط. مستوى التحقق يُسجّل مع الصوت، وأي شخص يراجع النتيجة لاحقًا يستطيع أن يرى تمامًا أيّ نوع من الجمهور أنتجها — ويحكم على النتيجة وفقًا لذلك.

§6 · تسجيل الدخول

لماذا لا نستخدم تسجيل الدخول الاجتماعي Web2 عمدًا

الراحة التي تأتي من طرف ثالث يراقب كل تسجيل دخول ليست راحةً لك. هي راحة لهم، وتسريب بطيء لهويتك إلى شركات لم تشترك لإبلاغها.

تتيح لك معظم المواقع تسجيل الدخول بمزود حساب اجتماعي — ما تسميه الصناعة "Web2 social login". هذا مريح — وهذا بالضبط هو المشكلة. في كل مرة تسجّل فيها الدخول بأحد هؤلاء المزودين، يتعلّم المزوّد: حساب المستخدم هذا قد سجّل الدخول إلى هذا الموقع في هذا الوقت. عبر السنوات، تصبح هذه السجلات ملفًا تعريفيًا لحياتك المدنية: في أي استطلاعات صوّتت، ومتى، وكم مرة.

نحن لا نتكامل مع أيٍ منهم. ليس لأن التشفير أضعف — ليس كذلك — بل لأن حدود الخصوصية في المكان الخاطئ افتراضيًا. ما إن يعرف مزوّد الحساب الاجتماعي أنك سجّلت الدخول إلى منصة استطلاعات، حتى تُخزّن تلك المعلومة في أنظمتهم إلى الأبد، تحكمها سياسة خصوصيتهم، لا سياستنا.

بدلًا من ذلك، حين تنشئ حسابًا، نرسل لك رابطًا آمنًا بالبريد الإلكتروني — رابط تسجيل دخول لمرة واحدة ومحدود الوقت يعمل مرة ثم ينتهي. لا كلمة سر تُسرّب. لا مزوّد تسجيل دخول طرف ثالث يتتبّعك عبر المواقع. مزود بريدك يرى الرسالة؛ لا أحد آخر. والأهم — الرابط الآمن لا يكشف هويتك لنا أيضًا. بعد استخدام الرابط، نحول بريدك إلى hash ونتخلّص من نسخة plain-text. الـ hash يكفي لإعادة تسجيل دخولك (تكتب بريدك مرة أخرى، نحوله إلى hash بنفس الطريقة، نطابق الـ hash) لكنه لا يكفي لكي نعرف من أنت. عبر بريدك في نظامنا؛ ولم يمكث فيه.

§7 · الخصوصية بالتصميم

لا نستطيع أن نراسلك، حتى لو أردنا

الخصوصية التي تعتمد على ألاّ نُغيّر رأينا ليست خصوصية — هي أمنية. الخصوصية الحقيقية تنزع الخيار من أيدينا، وهي النوع الوحيد الذي نأتمن أنفسنا على حفظه.

أقوى اختبار لـ "الخصوصية بالتصميم" هو الممل: هل تستطيع الشركة فعلًا الاتصال بمستخدميها من أجل التسويق، أو الإبقاء، أو رسائل "اشتقنا إليك"، أو أي شيء آخر؟ على معظم المنصات، الإجابة نعم — لديهم بريدك بصيغة plain-text، جاهز لتصديره إلى أداة تسويقية يوم يقررون النمو الأسرع.

على منصتنا، الإجابة لا. بعد اكتمال تسجيل الدخول بالرابط الآمن، نحول بريدك إلى hash ونتخلّص من الأصلي. الـ hash يكفي لإعادة تسجيل دخولك (تكتب بريدك مرة أخرى، نحوله إلى hash بنفس الطريقة، نطابق الـ hash) لكنه لا يكفي لإرسال أي شيء إليك. لا توجد قائمة بريدية بـ plain-text لمستخدمينا في قاعدة بياناتنا. لا تكامل مع أداة تسويقية. لا "نشرة إخبارية سنطلقها حين يبطأ النمو". هذا ليس انضباطًا؛ هذه بنية معمارية. المعلومة ببساطة ليست هناك.

المنطق نفسه ينطبق على أرقام الهواتف وعناوين IP وبصمات الأجهزة. تُحول إلى hash قبل أن تلامس التخزين الدائم. تُستخدَم لكشف إساءة الاستخدام المتكررة من المصدر نفسه. لا يمكن تصديرها أو بيعها أو تسليمها بأمر قضائي بصيغة plain-text لأنها لا تُخزّن بصيغة plain-text.

ولا نعرض إعلانات — لذا لسنا بحاجة إلى أي من هذا. الإعلانات الموجّهة تعتمد على معرفة من أنت: عمرك، وجنسك، وموقعك التقريبي، وأنواع الاستطلاعات التي تنقر عليها. منصة تكسب من الإعلانات يجب أن تجمع إشارات ديموغرافية لتعمل. إخراج الإعلانات من الصورة أزال السبب لجمع تلك البيانات من الأساس.

§8 · لا تُصدّقنا

لا تثق بهذه الصفحة — تحقّق منها

الثقة شيء يُكسَب على مدار سنوات. لم تكن لدينا سنوات. لذا بنينا المنصة بحيث لا تكون الثقة مطلوبة — التحقق فقط.

سجل الإرساء on-chain يُثبت سلامة المعالجة، لا هوية المصوّت: يُظهر أنه لم يُضَف أي صوت ولم يُحذَف ولم يُعَد كتابته بين لحظة ختمه ولحظة تشغيلك المتحقق — لكنه لا يُظهر أبدًا من كان أي مصوّت بعينه. كل ادعاء آخر أعلاه قابل للتدقيق من خارج هذا الموقع:

  1. العقد. Base mainnet، عنوان ثابت ومُتحقَق منه on-chain. اقرأ الكود المصدر، والـ bytecode، وعنوان المُرسي بنفسك في متصفح المراسي.
  2. المراسي اليومية. اختر أي يوم في متصفح المراسي. خذ Merkle root المنشور، شغّل المتحقق المستقل بأي معرّف صوت، وأكّد البرهان مقابل الـ root الموجود on-chain. لا جزء من هذا يحتاج تعاوننا.
  3. هوية الـ wallet. الـ بطاقة المُرسي العامة في /.well-known/imdifferent-anchor.json تُعلن السلسلة، والعقد، وعنوان wallet المُرسي. الـ manifest التدقيق المُوقّع في /api/audit/manifest والـ سلسلة دليل الحياة الشهرية في /.well-known/imdifferent-pol/ كلاهما مُوقّع من قبل تلك الـ wallet ذاتها — تحقّق من التواقيع مقابل عنوان المُرسي on-chain بنفسك.
  4. نموذج التهديد. الـ دليل التحقق المستقل يوثّق ما تثبته كل من هذه الآليات و، بنفس الأهمية، ما لا تثبته.

إن فشلت أي خطوة في التحقق، فالصفحة خاطئة. أبلغنا على admin@imdifferent.id — نفضل أن نسمع منك على أن نمضي قدمًا في الخطأ.