1. 量子机器学习与NISQ时代的安全隐忧量子机器学习QML正站在一个激动人心的十字路口。它承诺将量子计算的指数级并行能力与经典机器学习的模式识别潜力相结合为解决药物发现、材料科学和金融建模中的复杂问题开辟新路径。其核心在于利用量子比特的叠加和纠缠特性将经典数据编码到高维的量子希尔伯特空间中通过参数化量子电路PQC进行高效的特征变换和学习。然而当我们满怀期待地将这些模型部署到当前主流的“含噪声中等规模量子”NISQ硬件上时一个严峻的现实是我们不仅在与物理噪声作斗争更可能在与隐形的对手博弈。这个对手就是数据投毒攻击。在经典机器学习领域这已是老生常谈的安全威胁——攻击者通过污染训练数据让模型“学坏”。但在量子领域情况变得尤为特殊和危险。NISQ设备固有的高错误率、有限的相干时间以及复杂的误差特性使得许多经典的、基于微小梯度扰动的投毒方法变得无效因为噪声本身就会淹没这些精心设计的扰动。然而这并不意味着量子模型更安全恰恰相反它意味着攻击范式需要改变而新的、更适应量子噪声环境的攻击手段可能更具破坏性。最近的研究揭示了一种名为QUID的新型量子无差别数据投毒攻击。它绕过了传统方法对模型内部训练细节如损失函数、优化器的强依赖仅需访问训练数据和模型的编码电路一种“灰盒”访问就能发起高效攻击。其核心武器是一个名为编码器状态相似性ESS的量子概念。简单来说ESS衡量的是同一类别数据被编码成量子态后的“聚集程度”。一个设计良好的编码器应该让同类数据的量子态在希尔伯特空间中彼此靠近而异类数据的量子态彼此远离。QUID攻击正是反其道而行之它通过分析编码后的量子态故意将一部分训练样本的标签翻转为“距离”其真实类别最远的那个标签从而在训练过程中最大化地混淆模型使其无法学到有效的分类边界。这种攻击在云量子计算的场景下尤其值得警惕。想象一下用户将珍贵的训练数据和精心设计的量子神经网络QNN电路提交给云服务商进行训练而云端可能存在恶意内部人员或已被渗透的系统。他们无需破解整个训练流程只需在数据预处理或传输环节利用QUID等方法对部分数据标签进行“精准”篡改就足以让用户最终得到的模型性能暴跌甚至完全失效。这对于依赖QML进行关键决策的应用如量子化学模拟初筛、金融风险预测而言无疑是灾难性的。因此理解QUID这类攻击的原理、评估其威胁并思考如何防御对于任何希望在实际NISQ设备上安全部署QML的研究者和工程师来说已不是前瞻性课题而是迫在眉睫的实战需求。本文将深入拆解QUID攻击的技术细节通过实验数据展示其在有噪环境下的惊人效力并探讨当前防御手段的局限性与未来可能的研究方向。2. 核心原理拆解从量子编码到投毒攻击要理解QUID攻击为何有效我们必须先回到量子机器学习的基础并厘清数据投毒攻击在量子语境下的独特之处。2.1 量子神经网络QNN的工作流程一个典型的用于分类任务的混合量子-经典神经网络QNN通常包含三个核心部分其流程可以类比于一个特殊的“量子特征提取器”接一个“经典分类器”数据编码电路这是将经典数据如图像像素、分子描述符映射到量子态的过程。最常用的方法是角度编码。假设我们有一个经过预处理的经典特征向量其每个分量值都在[0, 2π]之间。我们可以将这个值作为一个旋转门如RZ或RX门的旋转角度作用在初始化为|0⟩态的量子比特上。例如对于一个4维特征向量我们可以用4个量子比特每个比特编码一个特征值。这个过程将经典数据的结构“烙印”到量子态的相位或布洛赫球面上。参数化量子电路这是QNN中唯一可训练的部分相当于经典神经网络中的隐藏层。PQC由一系列参数化的单量子比特旋转门和固定的双量子比特纠缠门如CNOT门交替构成。纠缠门用于产生量子比特间的关联探索数据中复杂的非线性特征可调参数则通过训练不断优化使得整个电路能够将编码后的量子态变换到更易于区分的状态空间。PQC的表达能力即其能表示的函数复杂度与其深度和纠缠结构密切相关。测量与经典后处理最后我们对最终的量子态进行测量。通常不是测量每个量子比特得到0或1的字符串而是测量每个量子比特的泡利-Z算符的期望值。这个期望值是一个介于-1到1之间的连续实数反映了量子比特在Z轴方向上的平均偏振。对于N个量子比特的电路我们会得到N个这样的期望值。这些值被拼接成一个N维向量输入到一个经典的全连接神经网络层神经元数量等于分类类别数最终通过Softmax函数输出属于各个类别的概率。整个流程可以概括为经典数据 - (编码电路) - 量子态 - (PQC变换) - 新量子态 - (测量) - 经典特征向量 - (经典层) - 预测结果。训练的目标是通过调整PQC的参数最小化预测结果与真实标签之间的损失函数如交叉熵损失。2.2 数据投毒攻击在QML中的特殊性在经典机器学习中最先进的无差别数据投毒攻击如梯度取消攻击通常是基于梯度优化的。攻击者需要知道模型的完整架构、损失函数、优化算法甚至有时需要访问测试数据。他们通过计算模型损失关于训练数据的梯度精心构造一个微小的扰动添加到数据或标签上使得模型在训练后参数更新方向被误导从而在测试集上性能大幅下降。然而在NISQ时代的QML中这套方法面临巨大挑战噪声淹没NISQ设备存在显著的退相干、门误差和测量误差。攻击者精心计算的、旨在“抵消”训练梯度的微小数据扰动很可能被硬件本身巨大的随机噪声所掩盖变得完全无效。研究表明量子噪声甚至能在一定程度上增强模型对某些对抗扰动的鲁棒性。训练成本高昂在真实量子硬件上训练QNN本身就是一个昂贵且耗时的过程。要求攻击者为了生成毒化数据而反复、完整地训练受害者模型白盒假设在现实中往往不切实际。信息有限在云服务场景中用户可能只向服务提供商提供编码电路和训练数据而将PQC结构或训练超参数视为商业秘密。攻击者如恶意的云管理员可能只有“灰盒”访问权限即知道数据如何被编码成量子态但不知道后续具体的可训练电路结构和训练过程。这就催生了对新攻击范式的需求一种不依赖于模型内部训练细节、对噪声鲁棒、且计算高效的投毒方法。QUID攻击正是为此而生。2.3 编码器状态相似性ESS量子数据的内在“指纹”QUID攻击的基石是编码器状态相似性这一概念。其直觉非常直接一个好的数据编码方案应该能在量子希尔伯特空间中保持原始数据的类别结构。形式化定义给定一个编码电路 φ它将一个经典数据样本 x 映射为一个密度矩 ρ φ(x)用于描述量子态的数学对象。对于来自同一类别的两个样本 x1 和 x2我们希望它们编码后的量子态“距离”很近而对于不同类别的样本 x1 和 x3我们希望它们的量子态“距离”很远。即d(φ(x1), φ(x2)) d(φ(x1), φ(x3))且d(φ(x1), φ(x2)) d(φ(x2), φ(x3))。 其中d(·, ·) 是衡量两个密度矩阵之间距离的度量。如何利用ESS这个性质意味着我们无需训练整个QNN仅通过运行编码电路并计算量子态之间的距离就能对编码方案的质量和数据集的可分性进行快速评估。对于一个未知标签的样本我们可以计算其编码态与训练集中所有已知标签样本编码态的平均距离然后将其归类到平均距离最小的那个类别。实验表明在多种数据集上仅凭ESS进行最近邻分类就能达到相当高的准确率例如在MNIST-4数据集上超过90%。这证明了量子编码确实在很大程度上保留了类别信息。注意ESS的性能与编码方式密切相关。研究发现对于特征维度较小的数据集角度编码表现良好但对于需要编码大量特征的情况振幅编码将数据编码到量子态的振幅中在噪声环境下可能更具优势因为它使用的量子门更少受噪声累积的影响更小。距离度量的选择计算两个密度矩阵 ρ 和 σ 之间的距离有多种方法。QUID研究对比了三种希尔伯特-施密特距离基于D_HS 1 - |Tr(ρ†σ)| / dim(ρ)计算较快。Frobenius范数计算矩阵元素差值的平方和再开方即||ρ - σ||_F。实验证明它在准确性和计算效率上取得了最佳平衡。迹范数计算矩阵奇异值之和即||ρ - σ||_1。虽然意义明确但计算成本相对较高。因此在QUID的默认实现中通常采用Frobenius范数作为距离度量标准。3. QUID攻击基于ESS的精准标签投毒理解了ESSQUID攻击的策略就变得清晰明了。它的目标不是扰动数据特征而是进行标签翻转投毒。攻击者的核心思想是既然同类数据的编码态应该相似那么如果我们故意把一些样本的标签改成与它编码态“最不相似”的类别就能在训练过程中给模型注入最大的混淆。3.1 攻击者模型与假设让我们明确一下QUID攻击发生的场景和攻击者的能力场景受害者用户将预处理好的训练数据 D_tr 和一个QNN模型至少包含编码电路定义提交到量子云平台进行训练。攻击者位置攻击者是云平台内部的恶意实体如被贿赂或入侵的管理员或者成功渗透了云平台的外部攻击者。攻击者知识灰盒访问训练数据 D_tr攻击者可以读取并修改训练数据集。编码电路 φ受害者需要告诉云平台如何将数据编码成量子态因此攻击者自然知晓编码电路的结构。无需知道参数化量子电路PQC的具体结构、可训练参数、优化算法、损失函数、超参数或测试数据。这大大降低了攻击的门槛。攻击者目标通过毒化一部分训练数据比例记为 ε使得受害者最终训练出的QNN模型在干净的测试集 D_test 上的性能准确率最大化地降低破坏模型的可用性。3.2 QUID攻击算法步骤详解QUID的攻击流程是一个高效的贪心算法其伪代码已在前文给出这里我们拆解其每一步的实操细节和意图输入训练集 D_tr {(x_i, y_i)} 毒化比例 ε 编码电路 φ 距离度量 d(·,·)如Frobenius范数。输出毒化后的训练集。数据分割首先根据毒化比例 ε将训练集 D_tr 随机划分为两部分干净集 D_c 和待毒化集 D_p。例如ε0.3 意味着30%的数据会被篡改标签。|D_p| ε * |D_tr|。量子态编码使用编码电路 φ分别计算干净集 D_c 中所有样本对应的密度矩阵集合 ρ_c以及待毒化集 D_p 中所有样本对应的密度矩阵集合 ρ_p。这一步需要在量子模拟器或真实硬件上执行编码电路。在NISQ环境下由于噪声存在我们得到的将是近似密度矩阵。为每个毒化样本计算“最不相似”类别这是核心步骤。对于待毒化集 D_p 中的每一个样本的编码态 ρ_i (属于 ρ_p) a. 初始化一个字典D_cls用于记录该样本到每个类别的平均距离。 b. 遍历所有可能的类别标签 c例如对于4分类问题c ∈ {0, 1, 2, 3}。 c. 从干净集编码态 ρ_c 中筛选出所有标签为 c 的样本的编码态构成子集 ρ_c^(c)。 d. 计算 ρ_i 到 ρ_c^(c) 中所有态的平均距离D_cls[c] average( d(ρ_i, ρ) for ρ in ρ_c^(c) )。这个平均距离代表了样本 i 的量子态与类别 c 的“典型态”之间的平均不相似度。 e. 找出使得D_cls[c]最大的那个类别 c*。即找到与样本 i 的量子态平均距离最远的类别。 f. 将样本 i 的原始标签 y_i 翻转为 c*作为其新的毒化标签 y_i_new。合并数据集将保持原样的干净集 D_c 和标签已被翻转的毒化集 D_p现在标签已改为 y_new合并形成最终的毒化训练集交还给或用于训练流程。算法逻辑的精髓该算法基于一个假设——在干净数据上ESS性质成立同类近异类远。通过将毒化样本的标签改为与其量子态“最远”的类别我们实质上是在训练数据中制造了强烈的矛盾。一个在量子空间中与A类样本最相似的样本却被标记为与A类距离最远的B类。当QNN试图通过调整PQC参数来拟合这些矛盾的数据点时其决策边界会被严重扭曲导致泛化能力急剧下降。3.3 与经典标签翻转攻击的关键区别经典的标签翻转攻击如基于训练的方法通常需要为每个候选标签重新训练模型选择导致最终验证损失最大的那个标签。这个过程计算量巨大尤其对于QNN。而QUID完全避免了任何模型训练。它只依赖于一次性的、并行的量子态编码和经典距离计算。这使得QUID的攻击成本极低且易于扩展到更大的数据集。更重要的是QUID利用的是量子态本身的几何属性这种属性在存在噪声时相对稳定。噪声可能会使计算出的密度矩阵产生偏差但只要噪声不是完全破坏性的同类态之间的相对接近关系、异类态之间的相对远离关系在很大程度上得以保持。因此QUID在NISQ设备的噪声环境下依然有效甚至因为噪声本身会干扰正常学习过程QUID的破坏效果有时比在无噪声环境下更显著。4. 实验评估QUID的攻击效力与特性分析理论需要实验验证。原论文通过一系列严谨的实验在模拟的无噪声、有噪声乃至真实硬件噪声模型环境下全面评估了QUID的攻击效果。以下是我们对关键实验发现的深度解读和实操复现要点。4.1 实验设置与复现指南如果你想在自己的环境中复现或验证QUID需要关注以下配置量子框架研究主要使用PennyLane和Qiskit。PennyLane因其自动微分和活的混合计算图而备受QML研究者青睐。Qiskit则便于集成IBMQ等真实硬件的噪声模型。设备模拟无噪声使用lightning.qubit这类高效的状态向量模拟器。有噪声使用default.mixed模拟器并在每个量子门后插入噪声通道如振幅阻尼通道模拟能量耗散和去极化通道模拟随机的比特翻转和相位翻转。错误概率p通常设置为0.05或更高以模拟NISQ设备的典型噪声水平。梯度计算在真实硬件上无法使用基于反向传播的精确梯度。因此实验采用了SPSA同时扰动随机逼近算法。这是一种仅需两次函数评估前向传播就能估计梯度的无梯度优化方法非常适合有噪声的量子硬件。在模拟中使用SPSA能使结果更贴近实际。数据集由于当前量子比特数有限直接处理高维数据如28x28的MNIST图像不现实。通用做法是使用经典自编码器如卷积自编码器将图像压缩到一个低维潜在空间例如8维或16维。然后从这个潜在空间中选取4个或10个类别构建小规模分类任务如MNIST-4 包含数字0,1,2,3。QNN架构采用不同复杂度的PQC模板如论文中的PQC-1 PQC-6 PQC-8。PQC-1结构简单表达能力弱但受噪声影响小PQC-6/8更复杂表达能力强但噪声累积更严重。这用于测试攻击对不同表达能力电路的普适性。训练超参数典型设置如30个训练周期Epoch学习率0.01Adam优化器批大小32交叉熵损失函数。4.2 核心实验结果与洞见攻击有效性远超随机翻转 这是最直接的结论。在多个数据集MNIST-4 Fashion-4等和不同噪声水平下QUID导致的模型最终测试准确率下降幅度远远超过简单随机翻转相同比例标签的攻击。例如在某个设置下基线模型准确率87.3%随机翻转ε0.5后降至76.7%而QUID攻击后暴跌至7.7%甚至低于随机猜测25%模型完全失效。噪声环境下的鲁棒性甚至增强 一个反直觉但至关重要的发现是QUID在噪声环境下表现更好。对比无噪声和有噪声p0.05的模拟环境QUID攻击在有噪声时造成的额外性能下降比随机翻转大得多。例如在某个案例中无噪声时QUID比随机翻转多降低约30%准确率而在有噪声时这个差距扩大到约50%。这是因为噪声本身就会损害模型的学习能力QUID注入的“矛盾信息”与硬件噪声形成了“合力”进一步扰乱了训练过程。毒化比例ε的阈值效应 毒化比例并非越大越好。实验表明存在一个“饱和点”。当 ε 较小时如0.1模型尚能通过大部分干净数据学习到有效模式性能下降有限。当 ε 超过一定阈值通常在0.3到0.5之间模型性能会急剧下降至接近或低于随机水平。继续增加 ε如到0.7性能下降的“边际效应”递减模型已经彻底被破坏。在实际攻击中选择 ε 在0.3到0.5之间通常是成本效益最高的既能达到毁灭性效果又不易因毒化样本过多而引起简单的统计异常检测。对不同PQC架构的影响 攻击效果受PQC复杂度影响。对于简单、表达能力较弱的PQC-1QUID攻击效果极其显著。对于非常复杂、表达能力强的PQC-6QUID的攻击效果会打折扣尤其是在高噪声和高毒化比例下。这是因为复杂的电路本身受噪声影响极大其训练过程已经很不稳定随机性很强攻击带来的额外扰动相对被掩盖。这提示我们在设计QNN时并非电路越复杂越好需要在表达能力和噪声鲁棒性之间取得平衡而安全性也是平衡因素之一。对真实硬件噪声模型的攻击效果 研究使用了IBM_Kyiv和IBM_Brisbane量子处理器的真实噪声模型进行模拟。结果显示QUID在这些高度真实的噪声环境下依然有效能将模型准确率从80%以上降低到10%以下。这强有力地证明了QUID对当前NISQ硬件的现实威胁。与双层投毒Bi-level的对比 除了翻转标签攻击者是否应该同时扰动数据特征即双层投毒实验表明对于QUID仅翻转标签通常比同时替换为随机特征更有效。随机特征本身是离群点模型可能更容易学会忽略它们。而QUID的标签翻转是在保持特征“合理性”的前提下制造逻辑矛盾对模型的“欺骗性”更强。4.3 对抗经典防御的测试论文测试了QUID against 一种经典的、针对标签翻转的防御方法——SS-DPA。该方法通过子集聚合与集成学习来过滤潜在的错误标签。实验发现SS-DPA在QML场景下防御效果有限仅能轻微缓解QUID的攻击例如将准确率从31.9%提升到41.0%且计算开销巨大需要训练多个子模型。这主要是因为SS-DPA等经典防御并未考虑量子态的特性和噪声的影响。实操心得在模拟QUID攻击时一个关键细节是距离矩阵的计算效率。当数据集较大时计算所有样本对之间的距离可能成为瓶颈。可以采用小批量计算或近似最近邻搜索算法进行优化。此外在噪声模拟中确保噪声模型如 depolarizing channel 的p值与目标NISQ设备的校准报告相匹配能使实验结果更具说服力。5. 防御挑战与未来方向QUID攻击的成功暴露了NISQ时代QML安全防御的薄弱环节。传统的、基于数据清洗或异常值检测的经典防御策略在量子云场景下面临根本性挑战。5.1 当前防御为何乏力云场景下的控制权缺失在典型的“数据电路”上云训练模式下用户一旦提交任务就失去了对训练过程的直接控制。无法在训练过程中实时进行数据清洗或模型诊断。量子数据的不可解释性经典数据如图像的异常可以通过可视化或统计方法检测。但量子态是高维复数向量其“异常”没有直观含义。一个被翻转标签的样本其经典特征看起来完全正常其量子态也与同类样本相似仅标签错误。这使得基于特征分析的异常检测方法失效。噪声的干扰NISQ设备的噪声会使任何基于精确数值比较的检测方法如梯度范数监测、损失曲线分析变得不可靠因为噪声本身就会引入巨大的方差。计算开销像SS-DPA这样的集成防御方法需要多次训练模型对于本就训练缓慢的QNN来说成本高到无法承受。5.2 潜在的防御思路探索尽管困难但并非无计可施。结合QML和对抗机器学习的最新进展我们可以从以下几个方向思考防御策略基于量子态验证的冗余训练思路在训练开始前用户要求云服务商对一小部分随机挑选的训练数据或其衍生变体进行编码和测量并将测量结果如期望值返回给用户进行验证。操作用户本地拥有编码电路和原始数据。用户可以在本地模拟或无噪声环境下计算这批验证样本的“理论”期望值并与云端返回的“实际”值对比。由于QUID攻击不改变数据特征只改标签如果云端在编码环节就执行了攻击即对验证数据也用了错误编码那么返回的量子态信息会异常。但这只能检测在编码阶段发生的攻击如果攻击发生在数据提交后、编码前的存储环节则难以察觉。挑战增加了通信和验证开销且只能提供概率性保证。鲁棒训练与正则化思路设计对标签噪声不敏感的训练算法或损失函数。例如在经典ML中有研究使用广义交叉熵损失或对称损失来提升模型对错误标签的鲁棒性。操作在QNN训练中可以尝试引入类似的鲁棒损失函数。或者在PQC的设计中引入先验知识或约束限制模型的学习空间使其更倾向于学习那些对标签微小扰动不敏感的、更平滑的决策函数。挑战需要针对量子电路的特性重新设计和验证这些方法的有效性可能以牺牲模型一定的表达能力为代价。后训练检测与取证思路在模型训练完成后用户通过分析模型在一个小的、可信的验证集上的行为来检测是否被投毒。操作用户保留一个从未上传的、干净的验证集。收到训练好的模型后在该验证集上测试性能。如果性能远低于预期则发出警报。更高级的方法可以分析模型对各类别样本的量子态表征即PQC输出的期望值向量的分布。一个被投毒训练的模型其内部表征的类内聚集性可能会异常差。挑战需要用户持有干净的验证集且性能下降可能是由于硬件噪声或训练不稳定导致难以归因于投毒。安全多方计算与可信执行环境思路这是更根本的解决方案。利用密码学技术如同态加密或硬件安全技术如TEE可信执行环境确保训练数据和电路在云端的计算过程是保密且不可篡改的。操作用户将加密的数据和电路发送到云端云端在加密域或TEE enclave内执行计算。这样云服务商包括潜在的攻击者无法看到或篡改明文数据。挑战量子计算与同态加密的结合尚处于早期研究阶段计算和通信开销极大。TEE在量子计算控制系统的集成也面临挑战。5.3 给QML实践者的安全建议在实用的防御方案成熟之前从事QML研究和应用的人员可以采取以下措施来降低风险数据审计与版本控制对上传到云端的训练数据进行哈希校验并保留多个版本。如果发现模型性能异常可以回滚到之前的数据版本进行对比训练。多模型交叉验证如果资源允许用同一份数据在多个不同的QNN架构如不同PQC模板上训练。如果所有模型都表现异常那么数据出问题的可能性就很大。QUID攻击可能对不同架构效果不一这可以提供一些线索。从简单模型开始在探索性阶段使用表达能力适中、层数较浅的PQC。复杂的模型不仅对噪声敏感其训练过程的不稳定性也可能掩盖攻击迹象。简单模型的行为更可预测更容易发现异常。监控训练动态即使无法控制云端也可以要求服务商提供训练过程中的损失曲线、参数变化范数等元数据。一个被成功投毒的模型其训练损失曲线可能表现出异常的不收敛或剧烈震荡尽管噪声也可能导致类似现象需结合其他信息判断。理解你的云服务商选择有良好安全记录、提供透明服务条款的量子云平台。了解其数据隔离、访问控制和审计日志机制。QUID攻击的出现为QML社区敲响了安全警钟。它告诉我们在追求量子优势的同时必须将安全性作为系统设计的一等公民。未来的研究必将沿着攻击与防御这两个方向持续深化而这场在量子维度上的攻防博弈才刚刚开始。对于一线的开发者和研究者而言保持对潜在威胁的清醒认识并在现有条件下采取审慎的工程实践是迈向安全量子智能的必要一步。
量子机器学习安全威胁:NISQ时代的数据投毒攻击与防御挑战
发布时间:2026/5/24 6:16:15
1. 量子机器学习与NISQ时代的安全隐忧量子机器学习QML正站在一个激动人心的十字路口。它承诺将量子计算的指数级并行能力与经典机器学习的模式识别潜力相结合为解决药物发现、材料科学和金融建模中的复杂问题开辟新路径。其核心在于利用量子比特的叠加和纠缠特性将经典数据编码到高维的量子希尔伯特空间中通过参数化量子电路PQC进行高效的特征变换和学习。然而当我们满怀期待地将这些模型部署到当前主流的“含噪声中等规模量子”NISQ硬件上时一个严峻的现实是我们不仅在与物理噪声作斗争更可能在与隐形的对手博弈。这个对手就是数据投毒攻击。在经典机器学习领域这已是老生常谈的安全威胁——攻击者通过污染训练数据让模型“学坏”。但在量子领域情况变得尤为特殊和危险。NISQ设备固有的高错误率、有限的相干时间以及复杂的误差特性使得许多经典的、基于微小梯度扰动的投毒方法变得无效因为噪声本身就会淹没这些精心设计的扰动。然而这并不意味着量子模型更安全恰恰相反它意味着攻击范式需要改变而新的、更适应量子噪声环境的攻击手段可能更具破坏性。最近的研究揭示了一种名为QUID的新型量子无差别数据投毒攻击。它绕过了传统方法对模型内部训练细节如损失函数、优化器的强依赖仅需访问训练数据和模型的编码电路一种“灰盒”访问就能发起高效攻击。其核心武器是一个名为编码器状态相似性ESS的量子概念。简单来说ESS衡量的是同一类别数据被编码成量子态后的“聚集程度”。一个设计良好的编码器应该让同类数据的量子态在希尔伯特空间中彼此靠近而异类数据的量子态彼此远离。QUID攻击正是反其道而行之它通过分析编码后的量子态故意将一部分训练样本的标签翻转为“距离”其真实类别最远的那个标签从而在训练过程中最大化地混淆模型使其无法学到有效的分类边界。这种攻击在云量子计算的场景下尤其值得警惕。想象一下用户将珍贵的训练数据和精心设计的量子神经网络QNN电路提交给云服务商进行训练而云端可能存在恶意内部人员或已被渗透的系统。他们无需破解整个训练流程只需在数据预处理或传输环节利用QUID等方法对部分数据标签进行“精准”篡改就足以让用户最终得到的模型性能暴跌甚至完全失效。这对于依赖QML进行关键决策的应用如量子化学模拟初筛、金融风险预测而言无疑是灾难性的。因此理解QUID这类攻击的原理、评估其威胁并思考如何防御对于任何希望在实际NISQ设备上安全部署QML的研究者和工程师来说已不是前瞻性课题而是迫在眉睫的实战需求。本文将深入拆解QUID攻击的技术细节通过实验数据展示其在有噪环境下的惊人效力并探讨当前防御手段的局限性与未来可能的研究方向。2. 核心原理拆解从量子编码到投毒攻击要理解QUID攻击为何有效我们必须先回到量子机器学习的基础并厘清数据投毒攻击在量子语境下的独特之处。2.1 量子神经网络QNN的工作流程一个典型的用于分类任务的混合量子-经典神经网络QNN通常包含三个核心部分其流程可以类比于一个特殊的“量子特征提取器”接一个“经典分类器”数据编码电路这是将经典数据如图像像素、分子描述符映射到量子态的过程。最常用的方法是角度编码。假设我们有一个经过预处理的经典特征向量其每个分量值都在[0, 2π]之间。我们可以将这个值作为一个旋转门如RZ或RX门的旋转角度作用在初始化为|0⟩态的量子比特上。例如对于一个4维特征向量我们可以用4个量子比特每个比特编码一个特征值。这个过程将经典数据的结构“烙印”到量子态的相位或布洛赫球面上。参数化量子电路这是QNN中唯一可训练的部分相当于经典神经网络中的隐藏层。PQC由一系列参数化的单量子比特旋转门和固定的双量子比特纠缠门如CNOT门交替构成。纠缠门用于产生量子比特间的关联探索数据中复杂的非线性特征可调参数则通过训练不断优化使得整个电路能够将编码后的量子态变换到更易于区分的状态空间。PQC的表达能力即其能表示的函数复杂度与其深度和纠缠结构密切相关。测量与经典后处理最后我们对最终的量子态进行测量。通常不是测量每个量子比特得到0或1的字符串而是测量每个量子比特的泡利-Z算符的期望值。这个期望值是一个介于-1到1之间的连续实数反映了量子比特在Z轴方向上的平均偏振。对于N个量子比特的电路我们会得到N个这样的期望值。这些值被拼接成一个N维向量输入到一个经典的全连接神经网络层神经元数量等于分类类别数最终通过Softmax函数输出属于各个类别的概率。整个流程可以概括为经典数据 - (编码电路) - 量子态 - (PQC变换) - 新量子态 - (测量) - 经典特征向量 - (经典层) - 预测结果。训练的目标是通过调整PQC的参数最小化预测结果与真实标签之间的损失函数如交叉熵损失。2.2 数据投毒攻击在QML中的特殊性在经典机器学习中最先进的无差别数据投毒攻击如梯度取消攻击通常是基于梯度优化的。攻击者需要知道模型的完整架构、损失函数、优化算法甚至有时需要访问测试数据。他们通过计算模型损失关于训练数据的梯度精心构造一个微小的扰动添加到数据或标签上使得模型在训练后参数更新方向被误导从而在测试集上性能大幅下降。然而在NISQ时代的QML中这套方法面临巨大挑战噪声淹没NISQ设备存在显著的退相干、门误差和测量误差。攻击者精心计算的、旨在“抵消”训练梯度的微小数据扰动很可能被硬件本身巨大的随机噪声所掩盖变得完全无效。研究表明量子噪声甚至能在一定程度上增强模型对某些对抗扰动的鲁棒性。训练成本高昂在真实量子硬件上训练QNN本身就是一个昂贵且耗时的过程。要求攻击者为了生成毒化数据而反复、完整地训练受害者模型白盒假设在现实中往往不切实际。信息有限在云服务场景中用户可能只向服务提供商提供编码电路和训练数据而将PQC结构或训练超参数视为商业秘密。攻击者如恶意的云管理员可能只有“灰盒”访问权限即知道数据如何被编码成量子态但不知道后续具体的可训练电路结构和训练过程。这就催生了对新攻击范式的需求一种不依赖于模型内部训练细节、对噪声鲁棒、且计算高效的投毒方法。QUID攻击正是为此而生。2.3 编码器状态相似性ESS量子数据的内在“指纹”QUID攻击的基石是编码器状态相似性这一概念。其直觉非常直接一个好的数据编码方案应该能在量子希尔伯特空间中保持原始数据的类别结构。形式化定义给定一个编码电路 φ它将一个经典数据样本 x 映射为一个密度矩 ρ φ(x)用于描述量子态的数学对象。对于来自同一类别的两个样本 x1 和 x2我们希望它们编码后的量子态“距离”很近而对于不同类别的样本 x1 和 x3我们希望它们的量子态“距离”很远。即d(φ(x1), φ(x2)) d(φ(x1), φ(x3))且d(φ(x1), φ(x2)) d(φ(x2), φ(x3))。 其中d(·, ·) 是衡量两个密度矩阵之间距离的度量。如何利用ESS这个性质意味着我们无需训练整个QNN仅通过运行编码电路并计算量子态之间的距离就能对编码方案的质量和数据集的可分性进行快速评估。对于一个未知标签的样本我们可以计算其编码态与训练集中所有已知标签样本编码态的平均距离然后将其归类到平均距离最小的那个类别。实验表明在多种数据集上仅凭ESS进行最近邻分类就能达到相当高的准确率例如在MNIST-4数据集上超过90%。这证明了量子编码确实在很大程度上保留了类别信息。注意ESS的性能与编码方式密切相关。研究发现对于特征维度较小的数据集角度编码表现良好但对于需要编码大量特征的情况振幅编码将数据编码到量子态的振幅中在噪声环境下可能更具优势因为它使用的量子门更少受噪声累积的影响更小。距离度量的选择计算两个密度矩阵 ρ 和 σ 之间的距离有多种方法。QUID研究对比了三种希尔伯特-施密特距离基于D_HS 1 - |Tr(ρ†σ)| / dim(ρ)计算较快。Frobenius范数计算矩阵元素差值的平方和再开方即||ρ - σ||_F。实验证明它在准确性和计算效率上取得了最佳平衡。迹范数计算矩阵奇异值之和即||ρ - σ||_1。虽然意义明确但计算成本相对较高。因此在QUID的默认实现中通常采用Frobenius范数作为距离度量标准。3. QUID攻击基于ESS的精准标签投毒理解了ESSQUID攻击的策略就变得清晰明了。它的目标不是扰动数据特征而是进行标签翻转投毒。攻击者的核心思想是既然同类数据的编码态应该相似那么如果我们故意把一些样本的标签改成与它编码态“最不相似”的类别就能在训练过程中给模型注入最大的混淆。3.1 攻击者模型与假设让我们明确一下QUID攻击发生的场景和攻击者的能力场景受害者用户将预处理好的训练数据 D_tr 和一个QNN模型至少包含编码电路定义提交到量子云平台进行训练。攻击者位置攻击者是云平台内部的恶意实体如被贿赂或入侵的管理员或者成功渗透了云平台的外部攻击者。攻击者知识灰盒访问训练数据 D_tr攻击者可以读取并修改训练数据集。编码电路 φ受害者需要告诉云平台如何将数据编码成量子态因此攻击者自然知晓编码电路的结构。无需知道参数化量子电路PQC的具体结构、可训练参数、优化算法、损失函数、超参数或测试数据。这大大降低了攻击的门槛。攻击者目标通过毒化一部分训练数据比例记为 ε使得受害者最终训练出的QNN模型在干净的测试集 D_test 上的性能准确率最大化地降低破坏模型的可用性。3.2 QUID攻击算法步骤详解QUID的攻击流程是一个高效的贪心算法其伪代码已在前文给出这里我们拆解其每一步的实操细节和意图输入训练集 D_tr {(x_i, y_i)} 毒化比例 ε 编码电路 φ 距离度量 d(·,·)如Frobenius范数。输出毒化后的训练集。数据分割首先根据毒化比例 ε将训练集 D_tr 随机划分为两部分干净集 D_c 和待毒化集 D_p。例如ε0.3 意味着30%的数据会被篡改标签。|D_p| ε * |D_tr|。量子态编码使用编码电路 φ分别计算干净集 D_c 中所有样本对应的密度矩阵集合 ρ_c以及待毒化集 D_p 中所有样本对应的密度矩阵集合 ρ_p。这一步需要在量子模拟器或真实硬件上执行编码电路。在NISQ环境下由于噪声存在我们得到的将是近似密度矩阵。为每个毒化样本计算“最不相似”类别这是核心步骤。对于待毒化集 D_p 中的每一个样本的编码态 ρ_i (属于 ρ_p) a. 初始化一个字典D_cls用于记录该样本到每个类别的平均距离。 b. 遍历所有可能的类别标签 c例如对于4分类问题c ∈ {0, 1, 2, 3}。 c. 从干净集编码态 ρ_c 中筛选出所有标签为 c 的样本的编码态构成子集 ρ_c^(c)。 d. 计算 ρ_i 到 ρ_c^(c) 中所有态的平均距离D_cls[c] average( d(ρ_i, ρ) for ρ in ρ_c^(c) )。这个平均距离代表了样本 i 的量子态与类别 c 的“典型态”之间的平均不相似度。 e. 找出使得D_cls[c]最大的那个类别 c*。即找到与样本 i 的量子态平均距离最远的类别。 f. 将样本 i 的原始标签 y_i 翻转为 c*作为其新的毒化标签 y_i_new。合并数据集将保持原样的干净集 D_c 和标签已被翻转的毒化集 D_p现在标签已改为 y_new合并形成最终的毒化训练集交还给或用于训练流程。算法逻辑的精髓该算法基于一个假设——在干净数据上ESS性质成立同类近异类远。通过将毒化样本的标签改为与其量子态“最远”的类别我们实质上是在训练数据中制造了强烈的矛盾。一个在量子空间中与A类样本最相似的样本却被标记为与A类距离最远的B类。当QNN试图通过调整PQC参数来拟合这些矛盾的数据点时其决策边界会被严重扭曲导致泛化能力急剧下降。3.3 与经典标签翻转攻击的关键区别经典的标签翻转攻击如基于训练的方法通常需要为每个候选标签重新训练模型选择导致最终验证损失最大的那个标签。这个过程计算量巨大尤其对于QNN。而QUID完全避免了任何模型训练。它只依赖于一次性的、并行的量子态编码和经典距离计算。这使得QUID的攻击成本极低且易于扩展到更大的数据集。更重要的是QUID利用的是量子态本身的几何属性这种属性在存在噪声时相对稳定。噪声可能会使计算出的密度矩阵产生偏差但只要噪声不是完全破坏性的同类态之间的相对接近关系、异类态之间的相对远离关系在很大程度上得以保持。因此QUID在NISQ设备的噪声环境下依然有效甚至因为噪声本身会干扰正常学习过程QUID的破坏效果有时比在无噪声环境下更显著。4. 实验评估QUID的攻击效力与特性分析理论需要实验验证。原论文通过一系列严谨的实验在模拟的无噪声、有噪声乃至真实硬件噪声模型环境下全面评估了QUID的攻击效果。以下是我们对关键实验发现的深度解读和实操复现要点。4.1 实验设置与复现指南如果你想在自己的环境中复现或验证QUID需要关注以下配置量子框架研究主要使用PennyLane和Qiskit。PennyLane因其自动微分和活的混合计算图而备受QML研究者青睐。Qiskit则便于集成IBMQ等真实硬件的噪声模型。设备模拟无噪声使用lightning.qubit这类高效的状态向量模拟器。有噪声使用default.mixed模拟器并在每个量子门后插入噪声通道如振幅阻尼通道模拟能量耗散和去极化通道模拟随机的比特翻转和相位翻转。错误概率p通常设置为0.05或更高以模拟NISQ设备的典型噪声水平。梯度计算在真实硬件上无法使用基于反向传播的精确梯度。因此实验采用了SPSA同时扰动随机逼近算法。这是一种仅需两次函数评估前向传播就能估计梯度的无梯度优化方法非常适合有噪声的量子硬件。在模拟中使用SPSA能使结果更贴近实际。数据集由于当前量子比特数有限直接处理高维数据如28x28的MNIST图像不现实。通用做法是使用经典自编码器如卷积自编码器将图像压缩到一个低维潜在空间例如8维或16维。然后从这个潜在空间中选取4个或10个类别构建小规模分类任务如MNIST-4 包含数字0,1,2,3。QNN架构采用不同复杂度的PQC模板如论文中的PQC-1 PQC-6 PQC-8。PQC-1结构简单表达能力弱但受噪声影响小PQC-6/8更复杂表达能力强但噪声累积更严重。这用于测试攻击对不同表达能力电路的普适性。训练超参数典型设置如30个训练周期Epoch学习率0.01Adam优化器批大小32交叉熵损失函数。4.2 核心实验结果与洞见攻击有效性远超随机翻转 这是最直接的结论。在多个数据集MNIST-4 Fashion-4等和不同噪声水平下QUID导致的模型最终测试准确率下降幅度远远超过简单随机翻转相同比例标签的攻击。例如在某个设置下基线模型准确率87.3%随机翻转ε0.5后降至76.7%而QUID攻击后暴跌至7.7%甚至低于随机猜测25%模型完全失效。噪声环境下的鲁棒性甚至增强 一个反直觉但至关重要的发现是QUID在噪声环境下表现更好。对比无噪声和有噪声p0.05的模拟环境QUID攻击在有噪声时造成的额外性能下降比随机翻转大得多。例如在某个案例中无噪声时QUID比随机翻转多降低约30%准确率而在有噪声时这个差距扩大到约50%。这是因为噪声本身就会损害模型的学习能力QUID注入的“矛盾信息”与硬件噪声形成了“合力”进一步扰乱了训练过程。毒化比例ε的阈值效应 毒化比例并非越大越好。实验表明存在一个“饱和点”。当 ε 较小时如0.1模型尚能通过大部分干净数据学习到有效模式性能下降有限。当 ε 超过一定阈值通常在0.3到0.5之间模型性能会急剧下降至接近或低于随机水平。继续增加 ε如到0.7性能下降的“边际效应”递减模型已经彻底被破坏。在实际攻击中选择 ε 在0.3到0.5之间通常是成本效益最高的既能达到毁灭性效果又不易因毒化样本过多而引起简单的统计异常检测。对不同PQC架构的影响 攻击效果受PQC复杂度影响。对于简单、表达能力较弱的PQC-1QUID攻击效果极其显著。对于非常复杂、表达能力强的PQC-6QUID的攻击效果会打折扣尤其是在高噪声和高毒化比例下。这是因为复杂的电路本身受噪声影响极大其训练过程已经很不稳定随机性很强攻击带来的额外扰动相对被掩盖。这提示我们在设计QNN时并非电路越复杂越好需要在表达能力和噪声鲁棒性之间取得平衡而安全性也是平衡因素之一。对真实硬件噪声模型的攻击效果 研究使用了IBM_Kyiv和IBM_Brisbane量子处理器的真实噪声模型进行模拟。结果显示QUID在这些高度真实的噪声环境下依然有效能将模型准确率从80%以上降低到10%以下。这强有力地证明了QUID对当前NISQ硬件的现实威胁。与双层投毒Bi-level的对比 除了翻转标签攻击者是否应该同时扰动数据特征即双层投毒实验表明对于QUID仅翻转标签通常比同时替换为随机特征更有效。随机特征本身是离群点模型可能更容易学会忽略它们。而QUID的标签翻转是在保持特征“合理性”的前提下制造逻辑矛盾对模型的“欺骗性”更强。4.3 对抗经典防御的测试论文测试了QUID against 一种经典的、针对标签翻转的防御方法——SS-DPA。该方法通过子集聚合与集成学习来过滤潜在的错误标签。实验发现SS-DPA在QML场景下防御效果有限仅能轻微缓解QUID的攻击例如将准确率从31.9%提升到41.0%且计算开销巨大需要训练多个子模型。这主要是因为SS-DPA等经典防御并未考虑量子态的特性和噪声的影响。实操心得在模拟QUID攻击时一个关键细节是距离矩阵的计算效率。当数据集较大时计算所有样本对之间的距离可能成为瓶颈。可以采用小批量计算或近似最近邻搜索算法进行优化。此外在噪声模拟中确保噪声模型如 depolarizing channel 的p值与目标NISQ设备的校准报告相匹配能使实验结果更具说服力。5. 防御挑战与未来方向QUID攻击的成功暴露了NISQ时代QML安全防御的薄弱环节。传统的、基于数据清洗或异常值检测的经典防御策略在量子云场景下面临根本性挑战。5.1 当前防御为何乏力云场景下的控制权缺失在典型的“数据电路”上云训练模式下用户一旦提交任务就失去了对训练过程的直接控制。无法在训练过程中实时进行数据清洗或模型诊断。量子数据的不可解释性经典数据如图像的异常可以通过可视化或统计方法检测。但量子态是高维复数向量其“异常”没有直观含义。一个被翻转标签的样本其经典特征看起来完全正常其量子态也与同类样本相似仅标签错误。这使得基于特征分析的异常检测方法失效。噪声的干扰NISQ设备的噪声会使任何基于精确数值比较的检测方法如梯度范数监测、损失曲线分析变得不可靠因为噪声本身就会引入巨大的方差。计算开销像SS-DPA这样的集成防御方法需要多次训练模型对于本就训练缓慢的QNN来说成本高到无法承受。5.2 潜在的防御思路探索尽管困难但并非无计可施。结合QML和对抗机器学习的最新进展我们可以从以下几个方向思考防御策略基于量子态验证的冗余训练思路在训练开始前用户要求云服务商对一小部分随机挑选的训练数据或其衍生变体进行编码和测量并将测量结果如期望值返回给用户进行验证。操作用户本地拥有编码电路和原始数据。用户可以在本地模拟或无噪声环境下计算这批验证样本的“理论”期望值并与云端返回的“实际”值对比。由于QUID攻击不改变数据特征只改标签如果云端在编码环节就执行了攻击即对验证数据也用了错误编码那么返回的量子态信息会异常。但这只能检测在编码阶段发生的攻击如果攻击发生在数据提交后、编码前的存储环节则难以察觉。挑战增加了通信和验证开销且只能提供概率性保证。鲁棒训练与正则化思路设计对标签噪声不敏感的训练算法或损失函数。例如在经典ML中有研究使用广义交叉熵损失或对称损失来提升模型对错误标签的鲁棒性。操作在QNN训练中可以尝试引入类似的鲁棒损失函数。或者在PQC的设计中引入先验知识或约束限制模型的学习空间使其更倾向于学习那些对标签微小扰动不敏感的、更平滑的决策函数。挑战需要针对量子电路的特性重新设计和验证这些方法的有效性可能以牺牲模型一定的表达能力为代价。后训练检测与取证思路在模型训练完成后用户通过分析模型在一个小的、可信的验证集上的行为来检测是否被投毒。操作用户保留一个从未上传的、干净的验证集。收到训练好的模型后在该验证集上测试性能。如果性能远低于预期则发出警报。更高级的方法可以分析模型对各类别样本的量子态表征即PQC输出的期望值向量的分布。一个被投毒训练的模型其内部表征的类内聚集性可能会异常差。挑战需要用户持有干净的验证集且性能下降可能是由于硬件噪声或训练不稳定导致难以归因于投毒。安全多方计算与可信执行环境思路这是更根本的解决方案。利用密码学技术如同态加密或硬件安全技术如TEE可信执行环境确保训练数据和电路在云端的计算过程是保密且不可篡改的。操作用户将加密的数据和电路发送到云端云端在加密域或TEE enclave内执行计算。这样云服务商包括潜在的攻击者无法看到或篡改明文数据。挑战量子计算与同态加密的结合尚处于早期研究阶段计算和通信开销极大。TEE在量子计算控制系统的集成也面临挑战。5.3 给QML实践者的安全建议在实用的防御方案成熟之前从事QML研究和应用的人员可以采取以下措施来降低风险数据审计与版本控制对上传到云端的训练数据进行哈希校验并保留多个版本。如果发现模型性能异常可以回滚到之前的数据版本进行对比训练。多模型交叉验证如果资源允许用同一份数据在多个不同的QNN架构如不同PQC模板上训练。如果所有模型都表现异常那么数据出问题的可能性就很大。QUID攻击可能对不同架构效果不一这可以提供一些线索。从简单模型开始在探索性阶段使用表达能力适中、层数较浅的PQC。复杂的模型不仅对噪声敏感其训练过程的不稳定性也可能掩盖攻击迹象。简单模型的行为更可预测更容易发现异常。监控训练动态即使无法控制云端也可以要求服务商提供训练过程中的损失曲线、参数变化范数等元数据。一个被成功投毒的模型其训练损失曲线可能表现出异常的不收敛或剧烈震荡尽管噪声也可能导致类似现象需结合其他信息判断。理解你的云服务商选择有良好安全记录、提供透明服务条款的量子云平台。了解其数据隔离、访问控制和审计日志机制。QUID攻击的出现为QML社区敲响了安全警钟。它告诉我们在追求量子优势的同时必须将安全性作为系统设计的一等公民。未来的研究必将沿着攻击与防御这两个方向持续深化而这场在量子维度上的攻防博弈才刚刚开始。对于一线的开发者和研究者而言保持对潜在威胁的清醒认识并在现有条件下采取审慎的工程实践是迈向安全量子智能的必要一步。
)
:测试如何提前在代码提交阶段发现 Bug?)
)
