2025年7月31日,亚马逊网络服务悄悄停服了 Quantum Ledger Database (QLDB)——这是它于2019年推出的托管账本数据库,旨在提供透明、不可篡改且加密可验证的交易日志。没有主旨演讲,没有解释决策的博客文章。只有发给客户的邮件和更新后的文档。这个承诺让你的数据“永久记录且加密可验证”的服务,就这样被关掉了。
QLDB 到底是什么
QLDB 是 AWS 有史以来构建的技术上最优雅的托管数据库之一。它通过 PartiQL(一种兼容 SQL 的语言)提供完整的 ACID 事务、无服务器自动扩展,以及完整的修订历史——每次文档更改都加密链接到前一个区块。对于需要防篡改记录的银行、医疗、物流和政府团队来说,它确实很强大。
但 QLDB 存在一个根本性的矛盾:它是“类区块链”的,但并非去中心化的。加密链存在于 AWS 基础设施内部。验证需要 AWS API 访问权限。信任模型是中心化的——你信任的是亚马逊,而非数学。
为什么商业上失败了
AWS 没有提供官方解释。但从行业分析中模式很清晰:
- 定位空白:对传统数据库买家来说太像区块链,对区块链信仰者来说又不够去中心化。两边的用户心智模型都无法满足。
- 验证锁定:加密证明仅通过 QLDB 的 API 有效。审计师和合作伙伴没有 AWS 访问权限就无法独立验证——这在许多用例中违背了初衷。
- 采用曲线低迷:需要审计追踪的企业团队已经有了 pgAudit、Oracle Audit Vault 或自定义日志。加密链的增量价值不足以证明迁移的合理性。
迁移灾难
AWS 建议迁移到 Aurora PostgreSQL 并使用 pgAudit 进行审计日志。但此迁移剥离了使 QLDB 有价值的每一项功能。
Aurora PostgreSQL 不保留永久、不可篡改的变更记录。审计历史必须在外部生成并存储在 S3 中。没有加密哈希链。拥有特权的管理员可以修改任何历史记录。从 QLDB 迁移的团队不是在升级——而是在降级。
厂商锁定的教训
QLDB 的停服是最明确的证据,证明厂商托管的不可篡改性是一个伪命题。如果厂商可以关闭服务,你的不可篡改记录就只和厂商的商业决策一样持久。
这不是理论推演。真实的企业在 QLDB 上构建了真实的合规工作流。当它停服时,他们不得不迁移到一个无法做到 QLDB 所做之事的系统。多年的加密证明链变成了 S3 存储桶中的遗留产物。
谁应该关注
如果你所在的受监管行业中数据完整性不是可选项,QLDB 的停服就是一记警钟:
- 前 QLDB 客户 — 你迁移到 Aurora PostgreSQL 后失去了加密验证。你需要一个不依赖单一厂商路线图的完整性层。
- 正在评估 Azure Confidential Ledger 的团队 — ACL 今天仍在运行,但它承载着同样的单一厂商风险。如果微软做出同样的商业决策,同样的事情就会发生。
- 合规和审计团队 — 如果监管机构要求数据完整性证明,而你的答案依赖于一个可能明年就不存在的云服务,你就有一个结构性漏洞。
替代方案:厂商中立的证明
QLDB 的教训不是不可篡改账本不好——而是由单一厂商控制的不可篡改账本实际上并不是不可篡改的。证明需要存在于厂商无法关闭的地方。公共区块链和内容寻址存储(如 IPFS)恰好提供了这一点:无论任何单一公司的商业决策如何,锚点都会持续存在。
如果厂商可以关闭服务,你的“不可篡改”记录就只和他们下一次季度财报电话会议一样持久。