Broken Quantum: A Systematic Formal Verification Study of Security Vulnerabilities Across the Open-Source Quantum Computing Simulator Ecosystem

Die Studie „Broken Quantum" führt die erste umfassende formale Sicherheitsprüfung des Open-Source-Ökosystems für Quantencomputing-Simulatoren durch, bei der mittels des COBALT QAI-Tools 547 kritische Schwachstellen in 45 Frameworks identifiziert und formal verifiziert wurden, darunter neuartige Angriffsvektoren wie QASM-Injektion und ein dokumentierter Fall der Übertragung von Sicherheitslücken in US-Nationallabor-Infrastrukturen.

Das Wesentliche

🧊 Der zerbrochene Quanten-Simulator: Eine Sicherheitsprüfung

Stellen Sie sich vor, Quantencomputer sind wie neue, extrem schnelle Rennwagen, die noch in der Werkstatt gebaut werden. Bevor diese echten Autos auf die Straße dürfen, testen die Ingenieure sie in Computer-Simulationen. Diese Simulationen sind wie ein riesiges, virtuelles Testgelände, auf dem man Unfälle simulieren kann, ohne echte Autos zu zerstören.

Die Studie „Broken Quantum" hat genau dieses Testgelände untersucht. Die Forscher haben 45 verschiedene Software-Programme (die „Testgelände") von großen Firmen wie IBM, Google, Amazon und Universitäten wie Harvard und MIT unter die Lupe genommen.

Das Ergebnis? Fast alle Testgelände haben massive Sicherheitslöcher.

Hier sind die vier Hauptprobleme, die sie gefunden haben, erklärt mit einfachen Bildern:

1. Das „Zu große Haus"-Problem (Speicher-Überlastung)

Das Problem: In der Quantenwelt wächst die Komplexität exponentiell. Wenn Sie einen Quantencomputer mit nur einem Qubit simulieren, ist das einfach. Aber bei 50 Qubits müssen die Computer so viele Daten speichern, wie es Atome im Universum gibt.
Die Analogie: Stellen Sie sich vor, Sie bestellen ein Haus. Sie sagen dem Baumeister: „Bau mir ein Haus mit 50 Etagen." Der Baumeister (die Software) versucht, sofort 50 Etagen zu bauen, ohne zu prüfen, ob das überhaupt möglich ist.

• Was passiert? Der Computer versucht, so viel Platz zu reservieren, dass er sofort abstürzt oder das ganze System zum Stillstand kommt (ein „Denial-of-Service"-Angriff). Ein Hacker könnte einfach eine riesige Zahl eingeben und den Server lahmlegen.
• Wer ist betroffen? Fast alle Python-Programme (wie Cirq von Google oder PennyLane).

2. Der „Zerbrochene Regal"-Fehler (Speicher-Korruption)

Das Problem: Manche Programme nutzen eine schnellere Programmiersprache namens C++. Hier ist das Problem noch gefährlicher.
Die Analogie: Stellen Sie sich ein Regal mit genau 64 Fächern vor. Wenn jemand sagt: „Stell das Buch in Fach Nummer 65", passiert etwas Schlimmes. Das Regal hat kein Fach 65. Der Computer versucht trotzdem, dort etwas abzulegen.

• Was passiert? Das Buch landet im falschen Fach, vielleicht dort, wo wichtige Schlüssel oder Geld liegen. Im Computer heißt das: Der Speicher wird beschädigt, das Programm stürzt ab oder – noch schlimmer – ein Hacker kann sich den Weg in das System bahnen und alles steuern.
• Wer ist betroffen? Programme wie Qiskit Aer (IBM) und XACC (ein US-Nationallabor).

3. Der „Giftige Brief"-Fehler (Unsichere Datenübertragung)

Das Problem: Quanten-Programme speichern ihre Ergebnisse oft in Dateien, die sie später wieder öffnen. Manche Programme öffnen diese Dateien blindlings.
Die Analogie: Stellen Sie sich vor, Sie erhalten einen Brief. Normalerweise lesen Sie nur den Text. Aber in diesen Quanten-Programmen ist der Brief wie ein selbsttätiger Roboter. Sobald Sie den Brief öffnen (die Datei laden), führt der Roboter sofort Befehle aus, die darin stehen.

• Was passiert? Ein Hacker schickt eine gefälschte Datei. Wenn das Programm sie öffnet, führt der Roboter den Befehl „Lösche alles" oder „Gib mir das Passwort" aus. Das nennt man „Remote Code Execution" (RCE).
• Wer ist betroffen? Harvard-Programm „tequila" und viele andere.

4. Der „Quanten-Hack" (QASM-Injektion)

Das Problem: Das ist ein ganz neues Problem, das es nur bei Quantencomputern gibt. Quantencomputer verstehen eine eigene Sprache (QASM).
Die Analogie: Stellen Sie sich vor, Sie geben einem Koch eine Speisekarte. Normalerweise steht da nur „Pizza". Aber in diesem Fall kann jemand in die Speisekarte schreiben: „Pizza, und füttere den Koch mit Gift."

• Was passiert? Da die Software die Eingabe nicht prüft, führt sie den „Gift-Befehl" aus. Ein Hacker kann durch eine manipulierte Speisekarte (eine QASM-Datei) die gesamte Quanten-Simulation manipulieren.
• Wer ist betroffen? Fast alle Programme, die QASM-Dateien lesen, inklusive IBM und Quantinuum.

🚨 Die wichtigste Entdeckung: Der „Kopier-Fehler"

Eine der schockierendsten Entdeckungen war, wie sich Fehler ausbreiten.
Das US-Energieministerium (National Laboratory Oak Ridge) hat eine eigene Software (XACC) gebaut. Um Zeit zu sparen, haben sie den Code von IBM (Qiskit Aer) einfach 1:1 kopiert (das nennt man „Vendoring").
Das Ergebnis: Sie haben sich nicht nur die Software kopiert, sondern auch alle Sicherheitslöcher von IBM mitkopiert. Ein Fehler in einer kommerziellen Firma hat sich also unbemerkt in die Infrastruktur der US-Regierung geschlichen.

🛠️ Was ist zu tun?

Die gute Nachricht: Es ist leicht zu reparieren.
Die Studie zeigt, dass einige Programme (wie die von Fujitsu oder Oxford) bereits sicher sind. Sie haben einfach eine Sicherheitskontrolle eingebaut:

• Frage: „Wie viele Qubits willst du?"
• Antwort: „50."
• Sicherheitskontrolle: „Stopp! Das ist zu viel. Maximal erlaubte Zahl ist 32. Bitte neu eingeben."

Wenn alle Programme so eine einfache „Türsteher"-Funktion einbauen, wären die meisten dieser Löcher sofort geschlossen.

Fazit

Die Quanten-Revolution steht vor der Tür, aber die Software, die uns dorthin bringt, ist noch sehr zerbrechlich. Die Forscher haben bewiesen, dass die Grundlagen unsicher sind. Es ist wie beim Bauen eines Hochhauses: Bevor wir die Spitze erreichen, müssen wir sicherstellen, dass das Fundament nicht wackelt. Die Studie ist ein Weckruf an alle Entwickler, endlich Sicherheitschecks einzubauen, bevor die echten Quantencomputer auf das unsichere Netz losgelassen werden.

Technische Zusammenfassung

1. Problemstellung

Quantum-Computing-Simulatoren bilden die klassische Software-Infrastruktur, auf der fast alle quantenalgorithmischen Forschungen basieren. Trotz ihrer kritischen Rolle für Regierungen, Universitäten und Unternehmen weltweit wurde die klassische Sicherheit ihrer Implementierungen nie systematisch analysiert.

Das fundamentale Problem liegt in der inhärenten Eigenschaft der Quantensimulation: Ein Zustand mit $n$ Qubits erfordert $2^n$ klassische Ressourcen (Amplituden, Wahrscheinlichkeiten oder Matrixelemente). Diese exponentielle Skalierung führt zu zwei Hauptproblemen, wenn die Anzahl der Qubits ($n$) nicht validiert wird:

• In C++-Backends: Führt zu Integer-Overflows und undefiniertem Verhalten (z. B. Out-of-Bounds-Zugriffe), da 64-Bit-Integer bei $n \ge 64$ überlaufen.
• In Python-Backends: Führt zu unkontrolliertem Ressourcenverbrauch (Speicher- und CPU-Erschöpfung), da Python-Integers beliebig groß sein können, aber die Zuweisung von $2^n$ Speicher (z. B. via np.zeros) den Betriebssystem-Speicher (OOM) sprengt.

Zusätzlich bestehen Risiken durch unsichere Deserialisierung und neue, quantenspezifische Angriffsvektoren wie QASM-Injection.

2. Methodik

Die Studie stellt Broken Quantum vor, die erste umfassende formale Sicherheitsprüfung des Open-Source-Ökosystems für Quantensimulatoren.

• Umfang: Analyse von 45 Open-Source-Frameworks aus 22 Organisationen in 12 Ländern (u. a. IBM, Google, Amazon, NVIDIA, CERN, Harvard, MIT, Baidu, Tencent).
• Tooling: Einsatz von COBALT QAI, einem statischen Analyse-Engine mit vier Modulen, unterpolt durch den Z3 SMT-Solver (Satisfiability Modulo Theories).
  • Phase 1 (Pattern Scanning): Regex-basierte Suche nach bekannten Schwachstellenmustern (CWE-125, 190, 400, 502, 94, 77).
  • Phase 2 (Formale Verifikation): Jeder potenzielle Befund wird als bitvektorarithmetische Einschränkung kodiert. Ein SAT-Ergebnis (erfüllbar) mit einem konkreten Beweis (Witness) bestätigt die formale Erreichbarkeit der Schwachstelle.
• Bewertung: Frameworks erhalten eine Punktzahl von 100. Kritische Fehler (CRITICAL) reduzieren die Punktzahl um 20, hohe (HIGH) um 8. Frameworks unter 30 Punkten gelten als „Broken".

3. Schlüsselbeiträge

1. Erste Ökosystem-Audit: Die bisher größte formale Sicherheitsanalyse von Quantensoftware (45 Frameworks).
2. Vier-Klassen-Taxonomie: Identifikation von vier Schwachstellenklassen:
   • Klasse I: C++ Speicherkorruption (CWE-125/190).
   • Klasse II: Python-Ressourcenerschöpfung (CWE-400).
   • Klasse III: Unsichere Deserialisierung und Code-Injection (CWE-502/94).
   • Klasse IV: QASM-Injection (CWE-77/22) – eine neuartige, quantenspezifische Angriffsart ohne klassisches Analogon.
3. Formale Beweise: 13 von 13 Z3-SAT-Beweise, die die Erreichbarkeit aller identifizierten Muster formal verifizieren.
4. Supply-Chain-Entdeckung: Nachweis, dass das US-Nationallabor Oak Ridge (XACC) verletzlichen C++-Code von IBM (Qiskit Aer) wortwörtlich („verbatim") übernommen hat, wodurch kommerzielle Schwachstellen in nationale Infrastruktur übertragen wurden.
5. Live-PoCs: Demonstration funktionierender Exploits für Denial-of-Service (DoS), Remote Code Execution (RCE) und Integer-Overflow-Ketten.

4. Wichtige Ergebnisse

A. Verteilung der Schwachstellen

Von den 45 analysierten Frameworks weisen 36 (80 %) mindestens eine Schwachstelle auf. Nur 9 Frameworks (u. a. qpp, QuEST, qulacs, MindQuantum) erreichten eine perfekte Punktzahl von 100/100.

B. Die vier Schwachstellenklassen im Detail

• Klasse I (C++ Memory Corruption):

  • Betrifft Frameworks wie Qiskit Aer (IBM) und XACC (Oak Ridge NL).
  • Fehler: Out-of-Bounds-Zugriff auf Arrays (CWE-125) und Integer-Overflows (CWE-190) bei der Berechnung von $2^n$.
  • Beispiel: In Qiskit Aer führt ein Aufruf mit $n \ge 64$ zu einem Lesezugriff außerhalb des BITS-Arrays.
  • XACC-Spezialfall: Oak Ridge NL hat den verletzlichen C++-Code von Qiskit Aer direkt eingebunden. Dies stellt den ersten dokumentierten Fall einer Übertragung von Schwachstellen von einem kommerziellen Framework in die Infrastruktur eines US-Nationallabors dar.
  • Ergebnis: Qiskit Aer und XACC erreichen 0/100 („Broken").

• Klasse II (Python Resource Exhaustion):

  • Betrifft 14 Python-Frameworks (u. a. Cirq, PennyLane, qibo, paddle-quantum).
  • Fehler: Ungeprüfte Zuweisung von np.zeros(2**num_qubits).
  • Risiko: Ein Angreifer kann mit einem hohen Qubit-Wert (z. B. 50) den Server-Speicher (8 Petabyte) erschöpfen und einen Remote Denial-of-Service (DoS) auslösen.
  • Ergebnis: Viele große Frameworks (Google Cirq, Xanadu PennyLane, CERN qibo) erreichen 0/100.

• Klasse III (Unsichere Deserialisierung & Code Injection):

  • Fehler: Verwendung von pickle.load(), eval() oder torch.load() ohne Sicherheitsprüfungen bei der Serialisierung von Quantenschaltkreisen oder Parametern.
  • Kritischer Befund: Das Framework tequila (Harvard) enthält 10 direkte pickle.load()-Aufrufe. Ein Proof-of-Concept (PoC) zeigte, dass dies zu Remote Code Execution (RCE) führt.
  • Weitere betroffene Frameworks: TensorCircuit (Tencent), PySCF, Amazon Braket SDK.

• Klasse IV (QASM Injection):

  • Neuheit: Eine quantenspezifische Angriffsvektorart.
  • Mechanismus: Benutzerkontrollierte Daten in OpenQASM-Strings werden ohne Sanitisierung in Parsern verarbeitet.
  • Folge: Ein Angreifer kann über QASM-Strings (z. B. from_qasm_str) bösartige Gatter-Definitionen injizieren oder Pfade manipulieren.
  • Betroffen: Qiskit Terra (2 unsanitierte API-Einstiegspunkte), tket (Quantinuum), TensorCircuit.

C. Die 32-Qubit-Grenze

Eine formale Analyse mittels Z3 ergab eine konsistente Schwelle bei $n = 32$.

• In C++ führt $n=32$ bei Verdopplung der Qubits (für Unitary-Matrix-Simulationen) zu einem Überlauf ($2 \times 32 = 64$), was undefiniertes Verhalten auslöst.
• In Python führt $n=32$ bei Dichtematrix-Simulationen ($2^{2n} = 2^{64}$) zu Speicherüberlauf.
  Dies zeigt, dass 32 Qubits, ein häufiges Ziel in der aktuellen Forschung, genau in der „Gefahrenzone" liegen.

D. Institutionelle Verteilung

• IBM: Beide Frameworks (Qiskit Aer, qiskit-terra) haben 0/100.
• Google: Cirq hat 0/100, OpenFermion 40/100.
• Xanadu: Starke Diskrepanz; PennyLane (0/100) vs. Strawberry Fields (100/100), da Letzteres eine andere Zustandsdarstellung (Fock-Raum) nutzt.
• Beste Performer: Amazon (Braket DS), NVIDIA (CUDA-Quantum) und mehrere C++/C-Frameworks (qpp, QuEST, qulacs) zeigten robuste Sicherheitsmaßnahmen.

5. Bedeutung und Implikationen

• Systemisches Versagen: Die Studie zeigt, dass die Quanten-Software-Community keine etablierten Normen für die Validierung von Qubit-Zahlen hat. 14 unabhängige Teams haben denselben Fehler (unvalidierte $2^n$-Allokation) gemacht.
• Supply-Chain-Risiko: Die Entdeckung, dass Oak Ridge National Laboratory verletzlichen Code von IBM übernommen hat, unterstreicht das Risiko von „Code Vendoring" in kritischer Infrastruktur.
• Praktische Relevanz: Da 80 % des Ökosystems verwundbar sind, sind sowohl lokale Forschungsinstallationen als auch Cloud-APIs (wo die Validierung oft nur auf der API-Ebene und nicht im Simulator-Code liegt) gefährdet.
• Lösbarkeit: Die Tatsache, dass 9 Frameworks 100/100 Punkte erreichen, beweist, dass diese Schwachstellen durch einfache Eingabevalidierung (z. B. if n > limit: raise ValueError) vermeidbar sind.

6. Empfehlungen

Die Autoren empfehlen eine universelle Validierung der Qubit-Zahl an jedem API-Einstiegspunkt, die Umwandlung von Warnungen in harte Fehler (ValueError) und die Aktualisierung von vererbtem (vendored) Code. Zudem wird die Veröffentlichung der COBALT QAI Scanner für eine kontinuierliche Sicherheitsanalyse des Ökosystems angekündigt.

Die Studie wurde im Rahmen einer koordinierten Offenlegung (Coordinated Disclosure) mit 20 Organisationen unter einer 90-tägigen Embargo-Frist behandelt.