附录A：量子计算的可能产业应用

This page is not translated yet. Showing the Chinese version as fallback content.

附录定位区分量子计算的真实潜力、常见误解与可信的应用前景

目前炒作很热的这些“金融科技”、“制药”、“组合优化”领域的应用，到底有几分可信度的？
只要容错量子计算机存在，就能从数学上保证高效运行的量子算法，除了大整数分解，还有什么？

这章里涉及到量子计算、多体物理、资产配置理论、生物制药、加密货币等等诸多领域的综合知识。虽然我们尽量邀请或吸收了相关领域背景的作者参与撰写，但仍然不免有纰漏。并且，量子算法的版图随着业界研究的深入，也在不断扩张。当新的结果出现时，我们也会继续更新这份附录。

欢迎掌握更多信息的专业人士给予反馈，我们会认真对待每一条反馈，努力改进。

写在前面

关于投资人或者爱好者最关心的问题：量子计算机造出来了真的能实现指数加速吗？我们的答案是：能，但在可破解现实难题的算法中，目前最为确切的主要是大整数质因数分解，也就是 Shor 算法，等极少数案例。

如果你追求的是想 100% 确信会有怎样的应用，那么这就是我们的回答：包括 Shor 算法，以及一些应用前景并不明朗的量子多体算法在内，目前并不存在任何能100%确信的正面产业应用。甚至于，已知的所有声称能借助量子计算超越经典算法、带来直接商业价值的应用，可信度目前似乎都不高。

破解密码算不算产业应用？ 严格来说，Shor 算法破解密码更像是一种“破坏性”影响，但它确实直接推动了现代密码学家对后量子密码学的广泛关注和产业更替。在数学本质上，Shor 算法解决的是更一般的阿贝尔群上的隐藏子群问题（Hidden Subgroup Problem）。沿着这一思路，确实还存在其他拥有类似深远安全影响的量子算法。例如计算任意度数域中的类群和求解主理想问题[1]，甚至在针对部分格密码的攻击研究中，也有在量子多项式时间内寻找分圆理想格中的短生成元和温和短向量[2]的成果。如果我们要把这种对推动现有安全体系变革的算法归为应用的话，那么这些带有严格数学证明的算法同样具备产业研究意义。

但如果你想问的是，量子计算是不是一个值得投入的方向？这里列出我们认为值得的几条理由，交给读者来判断。

量子计算机值得投入的几点理由

容错量子计算，如果将其本身作为一个目标，如我们在正文里试图传达的，已经几乎是一个路径明确，只是某些关键节点的技术路线还没有收敛的工程学问题了；类比而言，实现容错计算的工程复杂度或许高过载人登月，但甚至可能低于目前其它一些前景广阔的前沿领域，比如具身智能。
“砸钱就能换来一台真的容错的量子计算机，即使它运行的很慢以至于没啥用”，量子计算领域很多专家敢做出这样的许诺。这也是为什么，虽然本站团队里有不少人计划或者已经转行离开这个领域，但依然会对最新进展保持密切的关注，甚至花时间来参与站内几个章节的写作。
量子信息和量子计算、量子精密测量是整个物理学版图中近年来发展最好的一大分支。

但如果你进一步追问，值不值得投资，值得投多少钱？恕本站不回答这样的问题。我们只专注于提供技术和科学上的分析，值多少钱的问题只能交由具体的市场参与者来判断。

下面，我们列出几个量子计算机可能的产业应用方向和我们的分析，供读者参考。

量子计算机的产业应用分析

大整数分解与密码破解

现代信息安全的基石建立在一个看起来十分简单的数学事实上：单向函数（One-way Function）。举例来说，如果给你两个大质数，比如 $p=137$ 和 $q=251$ ，你可以很容易地算出它们的乘积 $137 \times 251 = 34387$ 。但是反过来，如果只给你一个大数字，让你找出它是哪两个质数相乘得到的，这就困难得多了。当这些数字变得非常巨大时，这种大整数分解（Integer Factorization） 任务会迅速变得极其困难；对密码学里实际使用的参数规模，经典计算通常需要付出极其高昂的计算代价。

目前互联网广泛使用的 RSA加密算法（RSA Encryption Algorithm） 就是基于这一数学困难问题。当然更内行的说法是，攻破大整数分解，就一定能攻破RSA加密，只是关于是否存在绕过大整数分解来攻破RSA这个问题，业界仍没有达成共识。“RSA很难被经典计算机破解”这个假设被称为“RSA假设”，是一个比“大整数分解很难”更强的假设[3]。

总之，无论是微信聊天、网银转账，还是访问带有 https 的网站，背后都依赖这类算法的安全保障。只要大整数分解在经典计算机上依然是“不可能完成的任务”，我们的数据就被认为是安全的。

然而，Shor算法（Shor’s Algorithm） 的出现打破了这种平静。作为目前少数能在数学上被严格证明可以实现指数级加速的量子算法之一，Shor算法可以利用量子傅里叶变换（Quantum Fourier Transform），巧妙地将寻找质因数的数学问题，转化为寻找函数周期的问题。在拥有足够逻辑量子比特的容错量子计算机上，它有可能把原本经典上极其困难的任务显著加速。

加密算法概览

虽然Shor算法看似是悬在现代密码学头顶的达摩克利斯之剑，但现代密码学体系本来就是一场“矛与盾”的不断升级。

加密算法大致可以分为两类：

非对称加密（Asymmetric Cryptography）：如前文提到的 RSA 和椭圆曲线密码学（Elliptic Curve Cryptography, ECC）。这是 Shor算法的主要攻击目标，因为它们依赖的数学难题恰好可以用量子算法中的量子傅里叶变换来高效求解。
对称加密（Symmetric Cryptography）与哈希函数（Hash Function）：比如 AES 和 SHA-256。面对这些算法，量子计算机只能使用无结构的搜索加速算法（如 Grover算法）来实现平方级别的加速。对于这种加速，防御通常也相对直接：提高安全参数，例如增大对称密钥长度或提高哈希输出长度，就可以在很大程度上补偿量子计算机带来的优势。

面对非对称加密可能被攻破的威胁，密码学界很早就开始推进抗量子密码学（Post-Quantum Cryptography, PQC） 的标准化。PQC领域的工作者们专注于寻找那些“连量子计算机都很难解”的新型经典数学问题（例如基于格密码、多变量密码等），并将其运行在普通经典计算机上。

加密市场应对量子计算威胁的可能行为

回到很多人关心的加密货币市场：如果有一天量子计算机突然问世，例如比特币（BTC）的私钥或者底层机制是否会立刻崩溃？

答案是不会。这主要归功于比特币社区作为去中心化网络所具备的硬分叉（Hard Fork） 机制：

算法的平滑更替：比特币等主流加密货币完全可以在社区开发者的主导下提出代码升级方案，将原有的底层数字签名算法（如目前的 ECDSA）替换为已经被证明安全的抗量子签名算法。
生死攸关下的共识：平时加密货币社区对于软件升级可能有各种分歧，但“被量子计算从底层碾碎”是所有持币者、矿工和生态参与者的共同绝境。在这样的生存威胁下，整个网络极大概率会迅速达成共识，共同转移到升级了抗量子算法的新链上。
挖矿机制仍然安全：比特币的核心挖矿与防御篡改机制依赖的是 SHA-256 这样的哈希运算。如前文所述，Shor算法对其无效。量子计算机上目前并没有发现针对哈希函数的指数级加速，比特币的算力护城河并不会被轻易攻破。

不过需要特别警惕的是，由于量子算法能够从公钥反推私钥，如果在容错量子计算机真正诞生前，你使用的加密体系（例如由于比特币地址曾经发起过交易，或使用了早期的 P2PK 机制）导致其公钥（Public Key） 已经直接暴露在公开网络上，那么这部分暴露的资产依然存在被破解窃取的风险。

这也就引出了一个非常有趣的推论：当面临这种迫在眉睫的风险时，比特币社区在执行抗量子算法的硬分叉时，极有可能会设定一个“迁移过渡期”。要求所有公钥已暴露的地址（包括大量早期矿工冷钱包、甚至中本聪本人的休眠地址）必须在期限内将资产转移到新的抗量子地址中。对于那些因为私钥早已遗失而永远无法转移的“沉睡地址”，社区为了自保——防止量子黑客在未来盗取这些巨量的远古比特币砸盘摧毁市场——唯一的选择可能是在硬分叉协议中将它们强制永久冻结或作废。这意味着，量子计算机的真正问世，非但不会归零比特币，甚至可能成为一种极端的“通缩机制”，让比特币的实际恒定流通量永久性减少。

（以上关于密码学迁移、资产冻结与通缩的讨论，仅是基于我们现有的技术知识，对去中心化网络里众多相关方在极端生存威胁下可能发生的利益博弈所做出的逻辑推演。这主要用于解释分叉机制如何化解危机，并不代表未来就一定会完全按此剧本具体发生。）

简单来说，量子计算并不是万能的矛，而人类也早就造出了新的盾。即便有一天能破解 RSA 的量子计算机真的诞生了，信息科技社会以及加密经济，依然可以通过软件层面的升级来平稳过渡。

量子化学与分子模拟

量子计算机天生能模拟遵守量子力学的物质演化方程，也即薛定谔方程。这也是为什么很多过分炒作的媒体声称量子计算机的诞生将解决分子模拟/生物制药问题。实际情况远比这个复杂。

在讨论量子计算在化学和材料领域的应用时，我们必须在物理图像上严格区分两类根本不同的任务：实时动力学（Real-time Dynamics） 与 基态/有限温求解（Ground State / Finite Temperature Solvers）。商业宣传常听到的“量子计算机能完美模拟分子”，往往混淆了这两者。

基态求解的挑战

绝大多数日常的化学反应、药物分子设计和材料稳定性分析，本质上都在关心物质的基态（Ground State） 或热力学平衡态。例如，催化剂的设计往往需要找到反应势能面上一条较优的反应路径。

需要澄清一个极其普遍的认知盲区：即使对于真正的容错量子计算机而言，求解任意多体系统的基态也是极其困难的。（在计算复杂性理论中，寻找哈密顿量的最低能量对应于 QMA-hard 问题，这大致可类比于经典计算中无法被高效解决的 NP-hard 问题）。目前没有也极大概率永远不会有能高效解决一般基态问题的普适量子算法。即便如此，就像科学家在经典计算机上有很多方案来近似模拟势能面或者基态一样，量子计算机上也发展出了一系列有望对基态或者平衡态进行更好近似的方案，虽然在大规模容错量子计算机造出来之前，我们可能永远无法知道它们的效果到底如何。几个代表性的基态求解量子算法例如：

变分量子求解器（Variational Quantum Eigensolver, VQE）：这是过去几年在含噪量子计算（NISQ）时代极度受捧的启发式算法。它通过经典优化器配合较浅的量子线路来试探基态。虽然 VQE “有可能”获得比经典近似方法更好的变分基态，但它没有任何确切的理论保证证明其收敛性，并且在扩展到稍大分子时就面临着严重的梯度消失难题（即“贫瘠高原，Barren Plateaus”），极易被困在局部最优解中。
量子相位估计（Quantum Phase Estimation, QPE）：这是容错量子计算时代寻找基态能量与谱信息的主力算法。值得肯定的是，QPE拥有坚实的数学保障：只要你能提供一个与真实基态有足够重叠概率的“初始态”，并且能高效实现相关时间演化，它就能以很高精度提取能量信息。但瓶颈恰恰也被转移了：对于那些真正困难的强关联化学分子，如何高效地“在量子计算机上制备出这个足够好的初始态”本身，如今依然是一个棘手的未解之谜。

实时动力学的前景

与寻找静止基态的困难形成鲜明对比的是：量子计算机在模拟量子多体系统的实时动力学演化（Real-time Dynamics） 方面，具备非常强的理论动机与复杂性证据，说明它们在这类任务上有望相对经典计算机展现出显著优势。这也正是理查德·费曼（Richard Feynman）在 1980 年代最初提出量子计算机概念时的核心驱动力。

根据薛定谔方程，封闭量子态随时间的演化算符是 $e^{-iHt}$ （一个幺正矩阵）。在经典计算机上，随着系统粒子数的增加，存储和计算这个演化矩阵所需要的内存呈现指数级爆炸；但在量子计算机上，这样一个幺正时间演化，天然就可以被极其自然地映射为依次执行的一系列量子门操作。

不过必须指出的一个现实限制是：在实际材料和化学研究中，我们关心的动力学过程往往也需要从系统的基态或热平衡态（Thermal State）出发来进行实时演化。这意味着，虽然“时间演化”这一步拥有严格的指数级加速，但整个任务的效率和保真度依然有可能被前置的“初态制备”瓶颈所制约。

但无论如何，这依然是相比经典计算机的能力范围前进了坚实的一步——只要我们能够通过近似等方法制备出物理上合理的初始态，量子计算机在模拟真实的非平衡态过程（Non-equilibrium Processes） 方面，依然具备确定的优势，例如：

光化学与激发态动力学（Photochemistry）：模拟光子击中分子后引发的电子激发和结构重排。例如分析人类视网膜中的光致瞬态异构化反应，或薄膜光伏材料在光场下的演化。
化学散射与反应速率（Chemical Scattering）：在飞秒尺度上追踪原子间的化学键是如何断裂与重组的实时动态过程
……

组合优化与量子退火

在金融科技、物流调度甚至机器学习领域，我们经常会遇到所谓的组合优化问题（Combinatorial Optimization Problem）。比如经典的旅行商问题（如何规划路线使总路程最短），或是如何在复杂的约束下最大化资产组合的收益。这类问题通常属于 NP-hard 级别，当变量增加时，可能解的数量会呈指数级爆炸，以至于经典计算机无法在合理时间内穷举并找到绝对的全局最优解。

面对这类问题，除了基于通用逻辑门的容错量子路线外，产业界还有一条利用物理特性专门做优化的赛道：量子退火（Quantum Annealing）。

量子退火的工作原理

量子退火的理论基础是绝热量子计算（Adiabatic Quantum Computation）定理。它的物理图像相对直观：首先，我们将实际的优化问题数学化为一个能量地形图（势能面），其中能量最低的点，也就是基态（Ground State），恰好对应着我们要寻找的最优解。为了适应硬件，通常需要把问题转化为一个二次无约束二值优化（Quadratic Unconstrained Binary Optimization, QUBO）模型。

计算开始时，硬件会让所有的量子比特处于一个极其简单、且必定处于基态的初始物理形态中。随后，施加在系统上的电磁信号会随着时间极其缓慢地（绝热地）调整，直到系统完全演变成为代表目标优化问题的终态哈密顿量。根据量子力学定律，只要这个变化过程足够缓慢且系统保持受到保护的极低温，量子系统就会始终“平滑地”停留在基态，最终直接输出最优解。更重要的是，当经典的启发式算法（如经典模拟退火）在攀爬复杂的“高维地形”时往往容易被困在局部的“假山谷”（局部最优解），而量子退火可以通过一种独特的物理现象——量子隧穿效应（Quantum Tunneling），像穿墙一样直接穿透高耸的能量势垒，从而有望以更高的概率或更短的时间抵达真正的全局最低处。

现实的挑战与应用前景

这一物理图像听起来非常完美，但实际情况中有两个常被过度宣传掩盖的限制：

没有指数加速的严格数学保障：与破解密码的 Shor算法不同，目前并没有任何严谨的理论证明量子退火对一般的 NP-hard 优化问题具有普适的指数级加速能力。它在绝大多数场景下仍然属于一种“启发式（Heuristic）”算法。
连接性开销极高：现实退火机上的物理量子比特往往只能同周围限定的几个比特产生纠缠作用（受限于硬件网络拓扑图）。要把一个真实金融或物流问题中高度互相耦合的变量图谱“嵌入”到这种稀疏的物理芯片上，不仅会剧烈消耗额外的量子比特数量，更会混入大量噪声削弱隧穿效应。

尽管不能神奇地破解所有 NP-hard 难题，如果量子退火能在少数特定结构的难题上，以超过经典启发式算法几十倍甚至数百倍的速度找到一个“足够好”（哪怕并非绝对完美）的近似解，在商业层面依然蕴含着巨大的价值。这也是目前很多初创公司与机构在不断探索的方向，例如：

物流与交通网络调度（Logistics and Routing）：在大规模的快递派发仓储网络、乃至航空管制中，寻找更优的路径规划分配来降低时间与燃料成本。
金融资产组合优化（Portfolio Optimization）：在复杂的波动约束下，从海量标的中快速筛选出更优的风险-收益资产组合策略集合。
……

然而必须非常坦诚地指出：截至目前，科学界和产业界并没有任何可信的证据或独立的基准测试能够证明，现有的甚至近期可预见的量子退火机，在上述任何一个真实产业问题上，真正超越了顶尖的经典启发式算法。许多商业宣传中宣称的“量子退火取得了几百倍加速”，往往是因为作为对比基准的经典算法并没有被调优到最佳状态。一旦经典算法专家认真优化他们的代码并在GPU上并行化运行，量子退火的表面优势往往就会不复存在。类似的事情还有谷歌在对量子硬件更友好的基准测试下宣称获胜的“量子霸权/量子优势”，也随着经典算法专家的努力，被GPU并行算法多次打平甚至超越。

简而言之，量子退火更类似于一种实验性质的特定硬件加速架构，距离它真正创造确定性的商业价值，存在着极大的不确定性。

从时间优势到空间优势

在前面的所有场景讨论中，不管是密码破解、分子演化还是路线优化，我们其实都主要聚焦在算法的时间复杂度（Time Complexity） 上，也就是关心量子计算机能不能“算得更快”。但实际上，量子计算在另一个维度上也展现出了潜力：空间复杂度（Space Complexity） 优势，通俗地说就是“占据更少的内存”。

量子态的实时演化就是这样的一个例子，在经典计算机中，由于需要用极其庞大的矩阵来追踪量子演化，完整描述一个由 $N$ 个量子比特组成的任意系统状态，需要存储 $2^N$ 个复数振幅。当 $N$ 达到 50 左右时，所需经典内存就已是多 PB 量级；到 60 左右时，更会逼近甚至达到 EB 量级。而一台真正的量子计算机，由于它是直接利用微观粒子的物理态本身来承载信息，只需要 $N$ 个真正的物理量子比特，就能自然地在硬件级别“装下”这不可思议的信息量。

这意味着，面对某些具有极端高维特征空间的问题，经典超级计算机可能还远未遇上“计算时间太长”的瓶颈，就已经最先因为内存溢出（Out of Memory, OOM） 而整体崩溃了。

在这些极限场景下，量子计算机的优势或许并不在于计算速度比经典计算架构快多少，但它的确有可能强行把那些庞大到无法装入经典内存与存储系统的复杂任务接下来。这为受困于“内存墙（Memory Wall）”的传统高性能计算领域，提供了一条从空间复杂度的维度去解决难题的新思路。

当然，我们也必须保持清醒：如果我们要处理的数据不像量子化学那样是天生的量子态，而是海量的经典图片、文本或金融数据，试图将这些经典大数据读入到量子计算机中处理时，会面临读写转换的巨大损耗。目前学术界提出的量子随机存取存储器（Quantum RAM, QRAM）在工程实现上依然极为困难且存在严重的 I/O 瓶颈。

学界在这方面一直有研究更好的提案，例如近期就有学者指出，在流式数据处理问题里，比如基于统计学习或者深度学习的推荐算法领域，虽然分批读入 $N$ 条用户行为数据总是需要 $O(N)$ 的时间复杂度，但量子计算机有可能将一些特定任务的空间复杂度压缩到 $O(\log N)$ 个量子比特[4]。

接力摩尔定律的可能

随着经典硅基微电子芯片的制程工艺日益逼近物理极限（例如极小尺寸下的量子隧穿漏电效应与散热瓶颈），主导了过去半个多世纪信息产业发展的**摩尔定律（Moore’s Law）**正不可避免地遭遇天花板。经典计算机通过单纯缩小晶体管尺寸来维持算力指数增长的旧路径，在经济成本和物理原理上都越来越难以为继。

在这种宏观背景下，量子计算机的存在提供了一条可能接力算力增长的新轨道。即使对于某些特定的产业问题，量子计算在算法层面上并没有实现惊人的指数级加速（Exponential Speedup） ，而仅仅是提供了多项式加速（Polynomial Speedup） 级别（如平方加速）的优势，甚至没有加速，它依然蕴含着战略价值。

这是因为量子计算机算力的增长逻辑在底层是全新的：增加逻辑量子比特（Logical Qubit） 数量或者增加量子计算机运行速度，可能不需要堆叠硅片工艺或者提升芯片制程，如果在未来的几十年里，研究人员能够在工程上实现高质量逻辑量子比特数量的稳定增长，这就相当于在经典物理学的极限之外，开辟出了一条由全新法则支撑的“新摩尔定律”增长曲线。

即便当量子算法本身的突破陷入停滞，如果硬件规模能够扩展，量子系统就可以作为经典芯片增长红利被榨干之后，人类维持整体信息处理能力继续增长的备选解。

结语

近百年前，二战期间对密码学和弹道计算的需求催生了电子计算机，后来电子计算机走进了千家万户的桌头，一系列基于计算机的应用被开发出来，有力支撑了人类社会最近几十年的繁荣。

量子计算的蓬勃发展，也诞生于人们认识到它破译密码的指数级潜力之后。历史的确经常重演，只不过第一次往往是正剧，第二次可能是闹剧。这次量子计算的故事是正剧或是闹剧，还取决于我们这代每个参与者的选择。

参考文献

J.-F. Biasse and F. Song, “Efficient quantum algorithms for computing class groups and solving the principal ideal problem in arbitrary degree number fields,” Proceedings of the 27th Annual ACM-SIAM Symposium on Discrete Algorithms, 893-902 (2016).
R. Cramer, L. Ducas, C. Peikert, and O. Regev, “Recovering Short Generators of Principal Ideals in Cyclotomic Rings,” Cryptology ePrint Archive, Paper 2015/313 (2015). Link
D. Aggarwal and U. Maurer, “Breaking RSA Generically is Equivalent to Factoring,” Cryptology ePrint Archive, Paper 2008/260 (2008). Link
H. Zhao, A. Zlokapa, H. Neven, R. Babbush, J. Preskill, J. R. McClean, and H.-Y. Huang, “Exponential quantum advantage in processing massive classical data,” arXiv:2604.07639 (2026). Link