量子计算验证新突破：基于状态合成树的相对化交互式证明协议

量子计算验证交互式证明状态合成树

于 2026-05-28 03:17:54 修改

·本内容遵循CC 4.0 BY-SA版权协议

1. 项目概述：量子计算的经典验证难题

在计算复杂性理论的世界里，验证一个计算的正确性，有时比执行这个计算本身更具挑战性。想象一下，你是一位经典计算机的“审计员”，现在有一位声称拥有量子计算机的“工程师”向你展示了一个复杂的计算结果。你无法直接运行他的量子程序，因为你的审计工具（经典计算机）与他的计算引擎（量子计算机）在根本上不同。你如何能高效地、令人信服地确认他的计算结果是正确的，而不是一个精心编造的谎言？这就是量子计算验证问题的核心。

这个问题在理论计算机科学中对应着一个著名的开放性问题：BQP ⊆ IP 是否成立？ 换句话说，所有能在量子计算机上多项式时间内解决的问题（BQP类问题），是否都能被一个经典多项式时间的验证者（IP协议中的验证者）通过交互式证明来验证？如果答案是肯定的，那就意味着任何量子计算的输出，都可以被一个能力有限的经典验证者高效地“审计”和确认。这不仅是理论上的优雅结果，也对未来量子云计算服务（用户使用经典终端验证云端量子计算的结果）和量子优越性实验的认证具有深远意义。

然而，直接构造一个非密码学依赖的、证明者高效的BQP交互式证明协议异常困难。现有的路径主要有两条，但都各有局限。第一条路径是利用已知的包含关系 BQP ⊆ PSPACE 和里程碑式的结论 IP = PSPACE，间接得到 BQP ⊆ IP。但这条路径构造出的协议是“非高效”的——诚实的证明者需要拥有远超BQP的计算能力（实际上是PSPACE能力）才能完成协议，这完全违背了我们希望证明者“仅需执行BQP计算本身”的初衷。第二条路径则利用了多证明者纠缠交互式证明（MIP*）模型，其中确实存在证明者高效的BQP协议。但这些协议严重依赖于量子纠缠和自测试（self-testing）等量子现象，其验证逻辑深深植根于量子物理特性，难以提炼出一个纯粹的、可被经典验证者本地检查的“经典表征”。

正是在这个背景下，相对化（relativization） 的分析框架和状态合成（state synthesis） 的技术为我们打开了一扇新的窗户。近期的一项突破性工作表明：对于任意一个经典谕示（oracle）O，都存在一个针对 BQP^O 的多证明者交互式证明（MIP^O）协议。 这个结论可以等价地理解为，存在一个针对BQP的、指数长的经典概率可检查证明（PCP），验证者只需进行多项式次数的查询即可完成验证。这项工作的核心价值在于，它首次为BQP构造了一个相对化的证明系统。在复杂性理论中，一个结论如果能对任意谕示都成立，往往意味着其证明技术是“相对自然”和“结构性的”，不依赖于某些特定的、非相对化的代数技巧（例如导致IP=PSPACE的求和检查协议）。这为最终解决无谕示世界（即现实世界）中的 BQP ⊆ IP 问题，提供了一个全新的、强有力的工具和思考方向。

2. 核心思路：从状态合成到本地可检查性

要理解这个协议为何能突破原有障碍，我们需要深入其核心设计思想。传统上，如果我们想为一个量子电路的计算历史提供证明，最直接的想法是把每个时间步的量子态 $|\psi_t\rangle$ 的系数全部写出来。但这面临两个致命问题：1) 态向量长度是指数级的；2) 验证者需要检查相邻态之间的变换符合量子门操作，这需要对整个指数大的向量进行全局比对，效率低下。

该协议采用了一种截然不同的表征方式：状态合成树（State Synthesis Tree）。这一技术灵感来源于Grover和Rudolph的算法，其核心是将一个n量子比特的态 $|\psi\rangle = \sum_{x\in{0,1}^n} \alpha_x |x\rangle$，用一个二叉树结构来表示。

2.1 状态合成树的构造与原理

对于一个量子态 $|\psi\rangle$，其振幅 $\alpha_x$ 可以分解为一系列条件概率和一个相位的乘积： $$\alpha_x = \gamma_x \cdot \sqrt{p_{x_1} \cdot p_{x_2|x_1} \cdot p_{x_3|x_1x_2} \cdots p_{x_n|x_1...x_{n-1}}}$$

这里，每个 $p_{x_k|x_1...x_{k-1}}$ 是一个条件概率，表示在前缀位为 $x_1...x_{k-1}$ 的条件下，第k位是 $x_k$ 的概率。$\gamma_x$ 是一个模为1的复数相位。

状态合成树就是对这个分解的直观体现：

树的节点：每个非叶子节点（对应一个比特前缀）存储一个条件概率值。例如，根节点存储 $p_\varepsilon$（实际上就是1，因为这是全局归一化），其子节点存储 $p_{0|\varepsilon}$ 和 $p_{1|\varepsilon}$（满足 $p_{0|\varepsilon}+p_{1|\varepsilon}=1$），以此类推。
树的叶子：每个叶子节点对应一个计算基态 $|x\rangle$，它存储两部分信息：1) 从根到该叶子的路径上所有条件概率的乘积的平方根（即 $|\alpha_x|$）；2) 该基态对应的相位 $\gamma_x$。

注意：在实际的证明字符串编码中，我们并不需要显式存储每个叶子上的 $|\alpha_x|$，因为验证者可以通过查询路径上的条件概率并相乘来动态计算它。叶子节点只需存储相位 $\gamma_x$。这极大地压缩了存储需求——从存储 $2^n$ 个复数，变为存储 $O(2^n)$ 个相位和 $O(n)$ 个条件概率表（虽然总量仍是指数级，但结构化了）。

这种表示法带来了两个验证者梦寐以求的性质：

有效性：只要所有兄弟节点的条件概率之和为1，并且相位模长为1，那么由这棵树定义的任何向量自动就是一个合法的、归一化的量子态。证明者无法提交一个非法的态。
采样访问：验证者可以从这个态中高效地采样一个计算基态 $x$，其概率为 $|\alpha_x|^2$。采样算法是逐比特进行的：从根节点开始，根据存储的条件概率 $p_{1|\varepsilon}$ 随机决定走左子树（0）还是右子树（1）；到达下一个节点后，再根据该节点存储的条件概率 $p_{1|前缀}$ 决定下一位，如此重复n步。这只需要 $O(n)$ 次对证明字符串的自适应查询。
振幅访问：对于任何给定的计算基态 $x$，验证者可以高效地计算其振幅 $\alpha_x$。算法是：沿着从根到叶子 $x$ 的路径，读取路径上所有的条件概率并相乘，再乘以叶子节点存储的相位 $\gamma_x$。这也只需要 $O(n)$ 次查询。

有了采样和计算振幅的能力，验证者就获得了一种“管中窥豹”式地检查量子态性质的能力，而无需审视整个指数大的态向量。

2.2 验证策略：基于采样的本地一致性检查

协议的目标是验证一个量子电路 $C = G_1, G_2, ..., G_m$（其中 $G_i$ 是单/双量子比特门或谕示门）在输入 $|0^n\rangle$ 后，以高概率输出接受。证明者需要提交一个证明 $\pi$，其中包含了电路每个时间步 $t$ 的量子态 $|\tilde{\psi}_t\rangle$ 的状态合成树表示。

验证者的检查分为三个部分：

初始态检查：验证 $|\tilde{\psi}_0\rangle$ 是否等于 $|0^n\rangle$。这很简单，只需查询计算基态 $|0^n\rangle$ 对应的振幅，检查其是否为1（允许极小的精度误差）。
最终态检查：验证 $|\tilde{\psi}_m\rangle$ 的第一个量子比特测量结果为0的概率是否超过2/3。利用状态合成树，这等价于检查根节点的一个条件概率（即第一个比特为0的概率）是否足够大。
传播一致性检查（核心）：对于每一对相邻的态 $|\tilde{\psi}_{i-1}\rangle$ 和 $|\tilde{\psi}_i\rangle$，验证它们是否满足 $|\tilde{\psi}i\rangle \approx G_i |\tilde{\psi}{i-1}\rangle$。这是协议最精妙的部分。

传播检查算法：对于每个门 $G_i$，验证者重复以下过程多项式次：

采样：使用对 $|\tilde{\psi}_i\rangle$ 的采样访问，随机抽取一个计算基态 $X$，其概率为 $|\langle X|\tilde{\psi}_i\rangle|^2$。
计算声称的振幅：使用对 $|\tilde{\psi}i\rangle$ 的振幅访问，计算 $\tilde{\alpha}{i, X} = \langle X|\tilde{\psi}_i\rangle$。
计算应有的振幅：根据门 $G_i$ 的类型，计算 $\eta_{i, X} = \langle X| G_i |\tilde{\psi}_{i-1}\rangle$。
- 如果 $G_i$ 是单量子比特门（作用在第q位）：那么 $\eta_{i, X}$ 只依赖于 $|\tilde{\psi}{i-1}\rangle$ 在 $|X\rangle$ 和 $|X \oplus e_q\rangle$（翻转第q位）这两个基态上的振幅。验证者只需查询这两个振幅即可算出 $\eta{i, X}$。
- 如果 $G_i$ 是双量子比特门（作用在第q, s位）：那么 $\eta_{i, X}$ 依赖于 $|\tilde{\psi}_{i-1}\rangle$ 在 $|X\rangle, |X \oplus e_q\rangle, |X \oplus e_s\rangle, |X \oplus e_q \oplus e_s\rangle$ 这四个基态上的振幅。
- 如果 $G_i$ 是谕示门 $O_f$：由于谕示门是对角的，即 $O_f |x\rangle = (-1)^{f(x)}|x\rangle$，那么 $\eta_{i, X} = (-1)^{f(X)} \langle X|\tilde{\psi}{i-1}\rangle$。验证者只需查询一次 $|\tilde{\psi}{i-1}\rangle$ 在 $|X\rangle$ 上的振幅，并向谕示 $O$ 查询一次 $f(X)$ 的值。
比对：如果 $|\tilde{\alpha}{i, X} - \eta{i, X}|$ 超过一个极小的阈值（如 $2^{-100n}$），则拒绝。

这个检查为什么有效？其核心原理是一个概率引理：如果两个归一化量子态 $|\psi\rangle$ 和 $|\phi\rangle$ 不是近似相等的（即 $|1 - \langle \psi|\phi \rangle| > \delta$），那么当你从 $|\psi\rangle$ 的分布中采样 $X$ 时，有至少 $\Omega(\delta^2)$ 的概率，能在 $X$ 这个基态上检测到两者振幅的显著差异（差异大于 $2^{-O(n)}$）。因此，通过多项式次采样，验证者能以极高的概率捕捉到任何显著的偏差。

2.3 为何它能相对化？

这是该协议最关键的优势。传统的BQP ⊆ IP证明（如通过PSPACE）或基于Feynman-Kitaev Hamiltonian的协议，在遇到谕示门时都会失效。因为它们需要验证者计算一些依赖于谕示所有输入值的全局量（例如，对谕示函数值的有限域扩展求和），而这是经典多项式时间验证者仅通过多项式次谕示查询无法做到的。

本协议巧妙地规避了这个问题。在检查谕示门 $G_i = O_f$ 的传播一致性时，验证者对于每个采样点 $X$，只需要做两件事：

查询 $|\tilde{\psi}_{i-1}\rangle$ 在 $|X\rangle$ 上的振幅（通过对证明 $\pi$ 的查询）。
向谕示 $O$ 查询单点 $f(X)$ 的值。然后计算 $(-1)^{f(X)} \cdot \langle X|\tilde{\psi}_{i-1}\rangle$，并与 $\langle X|\tilde{\psi}_i\rangle$ 比较。整个过程只涉及对谕示的一次查询，且是针对单个输入 $X$ 的查询。验证者永远不需要计算涉及谕示多个甚至全部输入值的复杂函数。正是这种“完全本地化”的检查方式，使得协议对任意经典谕示 $O$ 都能保持成立，从而实现了相对化。

3. 协议构造详析：从指数PCP到两证明者MIP

上述验证过程定义了一个自适应概率可检查证明（Adaptive PCP）。证明 $\pi$ 是指数长的字符串（编码了所有状态合成树），验证者通过多项式次自适应查询（采样路径、读取条件概率和相位）来检查它。接下来，我们需要将这个指数PCP转换为一个更标准的多证明者交互式证明（MIP） 协议。这里面临一个技术挑战：PCP验证者的查询是自适应的——它下一次查询证明的哪个位置，取决于之前查询到的结果（例如，采样路径的走向）。

3.1 自适应查询的挑战与解决方案

在标准的（非自适应）PCP到MIP的转换中，通常使用“条款-变量”游戏。验证者随机选择一个约束（“条款”），让第一个证明者 $P_1$ 给出这个约束涉及的所有变量的赋值；再随机选择其中一个变量，让第二个证明者 $P_2$ 给出该变量的赋值；最后检查 $P_1$ 的赋值是否满足约束，且与 $P_2$ 对该变量的赋值一致。这要求验证者事先知道每个约束会查询哪些变量。

但在我们的自适应PCP中，验证者的查询路径是一棵决策树，下一个查询地址依赖于之前读到的比特值。因此，在验证者实际运行并看到证明 $\pi$ 的具体内容之前，无法预先确定会查询哪些位置。

为了解决这个问题，协议引入了一个两轮的MIP变体：

第一轮：验证者 $V$ 随机选择PCP验证算法的一串随机硬币 $R$，发送给第一个证明者 $P_1$。
$P_1$ 的回应：$P_1$ 必须承诺一长串赋值 $(a_1, a_2, ..., a_{q_\pi})$，声称这对应于当PCP验证者使用随机硬币 $R$ 运行时，所查询的证明位置 $i_1, i_2, ..., i_{q_\pi}$ 上的值。
第二轮：验证者 $V$ 现在可以模拟PCP验证算法：使用随机硬币 $R$，并假设 $P_1$ 提供的 $(a_1, a_2, ...)$ 就是证明 $\pi$ 在相应位置的值，从而可以完全确定PCP验证者会查询哪些位置 $i_1, ..., i_{q_\pi}$（因为算法是确定的，一旦输入和随机性固定，查询路径就确定了）。然后，$V$ 随机从这些位置中挑选一个索引 $j$，将 $j$ 发送给第二个证明者 $P_2$。
$P_2$ 的回应：$P_2$ 返回它认为的证明 $\pi$ 在第 $j$ 个位置的值 $b$。
验证：$V$ 接受，当且仅当同时满足两个条件：(a) 用 $P_1$ 提供的赋值 $(a_1, ...)$ 模拟PCP验证算法会接受；(b) $P_2$ 返回的值 $b$ 与 $P_1$ 提供的对应位置的值 $a_j$ 一致。

3.2 协议分析：完备性与可靠性

完备性：如果输入 $x \in L_{\text{YES}}$（即存在量子电路接受），那么诚实的证明者可以协作如下：$P_1$ 和 $P_2$ 共享一个诚实的、编码了正确计算历史的证明字符串 $\pi$。当 $P_1$ 收到随机硬币 $R$ 后，它模拟PCP验证者在 $R$ 下的行为，每当验证者需要查询证明位置 $i$ 时，$P_1$ 就从共享的 $\pi$ 中读取值 $a_i$ 并返回。最终 $P_1$ 提交的 $(a_1, ...)$ 就是PCP验证者在 $\pi$ 上运行的真实轨迹。$P_2$ 则始终根据共享的 $\pi$ 回答任何位置的查询。由于 $\pi$ 是诚实的，PCP验证者以概率1接受，且 $P_1$ 和 $P_2$ 的答案必然一致。因此MIP验证者以概率1接受。
可靠性：如果输入 $x \in L_{\text{NO}}$（即量子电路拒绝），我们需要证明任何（无通信的）作弊证明者 $P_1^, P_2^$ 最多只能以可忽略的概率使验证者接受。分析的关键是从 $P_2^$ 的策略中提取一个证明字符串 $\pi^$。具体地，对于每一个可能的证明位置 $i$，我们定义 $\pi^[i]$ 为当 $P_2^$ 被问及位置 $i$ 时，最可能给出的回答（或随机选择一个）。现在考虑两种情况：
1. 提取出的 $\pi^*$ 能被PCP验证者以高概率接受。但根据PCP的可靠性，对于NO实例，任何证明字符串被接受的概率都极低（$2^{-\text{poly}(n)}$）。矛盾。
2. 提取出的 $\pi^$ 被PCP验证者以高概率拒绝。这意味着，当MIP验证者使用随机硬币 $R$ 进行模拟时，有很大概率会拒绝。如果 $P_1^$ 提交的赋值 $(a_1, ...)$ 与 $\pi^$ 在模拟查询的路径上完全一致，那么模拟就会拒绝，导致条件(a)不满足，验证者拒绝。如果 $P_1^$ 提交的赋值与 $\pi^$ 在某个查询位置 $i_j$ 上不一致，那么当验证者恰好选中这个位置 $j$ 去询问 $P_2^$ 时，条件(b)就不满足，验证者也会拒绝。由于 $j$ 是随机选择的，这个事件发生的概率至少是 $1/q_\pi$（多项式分之一）。通过细致的概率分析，可以证明总的接受概率被压倒性地限制在 $1/3$ 以下。

这个两轮协议成功地将自适应的指数PCP转换成了一个标准的两证明者、一轮查询（但两轮消息）的MIP协议，并且保持了完备性和可靠性。

4. 技术细节与实现要点

4.1 状态合成树的精确编码与查询

在实际构造证明字符串 $\pi$ 时，我们需要确定如何编码条件概率和相位。

条件概率 $p_{x_k|x_1...x_{k-1}}$：每个条件概率是一个 $[0,1]$ 之间的实数。我们需要用有限精度表示，例如使用 $\text{poly}(n)$ 个比特。为了保证归一化（和为1），编码时只需存储 $p_{1|前缀}$，因为 $p_{0|前缀} = 1 - p_{1|前缀}$。验证者在需要 $p_{0|前缀}$ 时可以即时计算。
相位 $\gamma_x$：一个单位复数 $e^{i\theta}$。同样可以用 $\text{poly}(n)$ 个比特来编码其角度 $\theta$。
查询方式：当验证者需要计算振幅 $\tilde{\alpha}{i,x}$ 时，它执行算法1：沿着从根到叶子 $x$ 的路径，依次查询并相乘条件概率 $p{x_k|前缀}$，最后乘以叶子节点存储的相位 $\gamma_x$。采样（算法2）则是一个随机过程，从根开始，根据 $p_{1|当前前缀}$ 抛硬币决定走向，直到叶子。

实操心得：在实现采样算法时，随机数的质量至关重要。验证者必须使用具有足够熵的随机源，否则恶意证明者可能预测采样路径，从而只在被查询的少数路径上“做对”，而在其他大量路径上作弊。在实际系统中，应使用密码学安全的伪随机数生成器。

4.2 误差分析与精度要求

协议中涉及大量的近似比较。我们需要设定合理的精度阈值，以确保：

完备性：即使诚实的证明者使用有限精度编码，其提交的 $\tilde{\alpha}{i,x}$ 和计算出的 $\eta{i,x}$ 之间的差异也应小于拒绝阈值。
可靠性：如果证明者作弊，导致两个态 $|\tilde{\psi}i\rangle$ 和 $G_i|\tilde{\psi}{i-1}\rangle$ 之间存在不可忽略的差距 $\delta$，那么我们的采样测试必须以高概率检测到至少一个点的振幅差异超过阈值。

根据引理及其推论，如果两个归一化态的内积满足 $|1 - \langle \psi|\phi \rangle| > \delta$，那么从 $|\psi\rangle$ 中采样 $X$，有 $\Omega(\delta^2)$ 的概率使得 $|\psi_X - \phi_X| \geq 2^{-O(n)}$。因此，如果我们设置拒绝阈值为 $2^{-100n}$，并进行 $t = \text{poly}(n, 1/\delta)$ 次采样，就可以将错误接受的概率降到指数小。

对于精度，诚实的证明者需要以 $2^{-\Omega(n)}$ 的精度来编码条件概率和相位。这样，在计算 $\tilde{\alpha}{i,x}$ 和 $\eta{i,x}$ 时，累积的浮点误差将远小于 $2^{-100n}$，不会引发误拒。

4.3 对各类量子门的处理

协议的核心子程序是算法3（Local Checks），它根据门的类型计算 $\eta_{i,x} = \langle x| G_i |\tilde{\psi}_{i-1}\rangle$。

单量子比特门：设门 $G$ 的矩阵为 $\begin{bmatrix} g_{00} & g_{01} \ g_{10} & g_{11} \end{bmatrix}$，作用在第 $q$ 位。对于采样到的 $X$，令 $x_q$ 是其第 $q$ 位的值。则： $$\eta_{i,X} = g_{x_q, 0} \cdot \tilde{\alpha}{i-1, X^{(q=0)}} + g{x_q, 1} \cdot \tilde{\alpha}{i-1, X^{(q=1)}}$$ 其中 $X^{(q=b)}$ 表示将 $X$ 的第 $q$ 位设为 $b$ 后的字符串。验证者需要查询 $|\tilde{\psi}{i-1}\rangle$ 在这两个基态上的振幅。
双量子比特门：原理类似，但涉及四个振幅的线性组合。验证者需要查询四个相关基态的振幅。
谕示门 $O_f$：这是最简单的，$\eta_{i,X} = (-1)^{f(X)} \cdot \tilde{\alpha}_{i-1, X}$。只需一次振幅查询和一次谕示查询。

注意事项：协议假设量子电路使用的是通用门集（如 {H, T, CNOT}）。对于多量子比特门（如Toffoli门），需要将其分解为单/双量子比特门，这会增加电路深度 $m$，但仍在多项式范围内。验证的复杂度与 $m$ 成正比。

5. 意义、局限与未来方向

5.1 理论意义与贡献

这项工作的核心贡献在于首次为 BQP^O ⊆ MIP^O 对于所有经典谕示 $O$ 构造了一个协议。这具有多重重要意义：

相对化突破：它表明BQP包含于MIP这一结论在相对化意义下是成立的。这与经典复杂性理论中的许多结论形成鲜明对比。例如，虽然IP = PSPACE，但Fortnow和Sipser早就证明存在一个谕示使得 coNP^O ⊄ IP^O。我们的结果表明，BQP在“可被经典多方交互证明验证”这一性质上，表现得比多项式谱系（PH）更为“温和”。
为BQP ⊆ IP提供新路径：相对化常常被视为证明技术“自然性”的试金石。一个相对化的证明通常意味着它没有使用某些特定的、脆弱的代数技巧。因此，这个相对化的MIP协议为最终构造一个无谕示的、非密码学的、证明者高效的BQP交互式证明（即解决 BQP ⊆ IP 问题）带来了新的希望。它提供了一套基于状态合成和本地采样的全新工具箱。
指数PCP的存在性：该工作等价于证明了BQP语言存在指数长的、可被多项式查询验证的经典PCP。这为量子计算提供了某种形式的“经典可验证性”证据，即使这种验证目前还需要指数长的证明。

5.2 协议局限与挑战

尽管理论突破显著，但该协议距离实用还有很长的路，主要存在以下局限：

证明者非高效：这是最关键的局限。协议要求证明者生成并发送一个指数长的证明字符串，编码了电路每个时间步的整个状态合成树。这意味着诚实的证明者需要至少指数级的时间和空间来准备这个证明，这远远超出了BQP的计算能力。我们的目标是“双重高效”协议（验证者和诚实证明者都是多项式时间），而本协议目前只满足了验证者高效。
自适应查询与多轮交互：协议产生的MIP是两轮的，且PCP验证者是自适应的。虽然这并不影响理论上的复杂性类包含关系，但比标准的单轮、非自适应MIP或IP在形式上更复杂。
误差参数与采样复杂度：可靠性要求采样次数 $t$ 与门数 $m$ 和精度 $\delta$ 的平方成反比，即 $t = O(m^2/\delta^2)$。对于规模为 $m$ 的电路，这会导致一个可能较大的多项式开销。虽然仍是多项式，但在具体实现时需要考虑。

5.3 未来研究方向

这项工作开启了许多有趣的后续问题：

寻找谕示分离：一个直接的问题是，能否找到一个谕示 $O$，使得 BQP^O ⊄ IP^O 成立？如果存在这样的分离，将强烈暗示在无谕示世界中 BQP ⊆ IP 可能不成立，或者至少需要非常新颖的技术。目前，最接近的证据是Raz和Tal关于Forrelation的工作，他们证明了对于Forrelation问题，不存在常数轮的交互证明。但这并未排除多项式轮交互证明的可能性。
降低证明者复杂度：能否在经典MIP模型（无纠缠）中，构造一个证明者高效的BQP协议？即，证明者只需要BQP的计算能力即可完成协议。已知在MIP*模型（允许纠缠）中这是可能的，但在经典MIP中是否可能，以及这样的协议是否也能相对化，是悬而未决的问题。
优化协议效率：能否减少证明的长度？能否将自适应PCP转化为非自适应的？能否减少采样的次数和查询的复杂度？这些优化对于理解问题的计算本质和潜在的应用都至关重要。
探索密码学应用：虽然本协议是非密码学的，但其“本地可检查性”的思想可能与设计更高效的量子计算验证方案结合，用于未来的量子云计算场景。

这项研究就像在探索量子计算可验证性地图上的一片新大陆。它没有直接抵达最终目的地（双重高效的BQP IP），但它发现了一条之前未知的、相对化的航线，并提供了名为“状态合成”的导航工具。这无疑将激励更多研究者沿着这个方向，继续向“经典验证者如何信任量子计算机”这一根本性问题发起挑战。