Defending Quantum Classifiers against Adversarial Perturbations through Quantum Autoencoders

Dieser Artikel schlägt einen Verteidigungsrahmen für Quantenklassifikatoren vor, der ohne adversariales Training auskommt, einen Quantenautoencoder zur Bereinigung adversarialer Beispiele und zur Identifizierung nicht bereinigbarer Eingaben nutzt und unter adversarialen Angriffen die Vorhersagegenauigkeit deutlich über die des Standes der Technik hinaussteigert.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen sehr intelligenten Roboter, der ein Bild einer handschriftlichen Zahl (wie eine „7") betrachten und Ihnen genau sagen kann, was sie ist. Dieser Roboter ist ein Quanten-Machine-Learning-Modell, eine supersofistikierte Version der KI, die wir heute nutzen.

Allerdings kann dieser Roboter, genau wie ein Mensch durch einen Zaubertrick getäuscht werden, auch getäuscht werden. Ein Angreifer kann eine winzige, unsichtbare Schicht aus „Statik" oder „Rauschen" zum Bild hinzufügen. Für Ihr Auge sieht die „7" immer noch wie eine „7" aus, aber der Roboter denkt plötzlich, es sei eine „2". Dies wird als adversarialer Angriff bezeichnet.

Die Autoren dieses Papers wollten einen Schild für diesen Roboter bauen, damit er nicht getäuscht wird. Hier ist, wie sie es taten, einfach erklärt:

Das Problem mit alten Schilden

Normalerweise müssen Sie, um einem Roboter beizubringen, diese Tricks zu ignorieren, ihm Tausende von gefälschten, getäuschten Bildern zeigen und sagen: „Das ist immer noch eine 7, lassen Sie sich nicht täuschen!" Dies wird als adversariales Training bezeichnet.

• Der Haken: Manchmal können Sie dies nicht tun. Vielleicht wissen Sie nicht, welche Art von Tricks der Angreifer verwenden wird, oder vielleicht wird der Roboter so gut darin, einen spezifischen Trick zu erkennen, dass er vergisst, wie er mit neuen umgehen soll. Es ist, als würde man nur für einen bestimmten Typ von Mathe-Test lernen und dann scheitern, wenn sich die Fragen leicht ändern.

Die neue Lösung: Der „Quantum Autoencoder" (Der magische Filter)

Anstatt den Roboter neu zu trainieren, bauten die Autoren einen Quantum Autoencoder (QAE). Stellen Sie sich dies als einen High-Tech-Fotofilter oder einen Geräuschunterdrückungskopfhörer für Bilder vor.

1. Der Filter: Bevor der Roboter das Bild betrachtet, nimmt der QAE das Bild (auch das mit dem unsichtbaren Rauschen) und versucht, es zu „rekonstruieren".
2. Die Reinigung: Der QAE wird nur auf sauberen, perfekten Bildern trainiert. Wenn er ein verrauschtes, getäuschtes Bild sieht, versucht er, das seltsame Rauschen zu entfernen und das Bild basierend auf dem, was er weiß, wie ein „echtes" Bild aussieht, wiederherzustellen. Es ist wie ein Restaurator, der ein schmutziges Gemälde reinigt, um die ursprüngliche Kunst darunter freizulegen.
3. Das Ergebnis: Der Roboter betrachtet dann diese aufgeräumte Version. Da das Rauschen weg ist, kann der Roboter die „7" wieder korrekt identifizieren.

Das „Vertrauensmessgerät" (Der Türsteher)

Manchmal ist das Rauschen so stark, dass der Filter das Bild nicht perfekt reinigen kann. Wenn der Roboter versucht, auf einem unordentlichen Bild zu raten, könnte er immer noch falsch liegen.

Um dies zu beheben, fügten die Autoren ein Vertrauensmessgerät hinzu. Dies wirkt wie ein strenger Türsteher in einem Club:

• Die Prüfung: Das System überprüft zwei Dinge:
  1. Wie gut hat der Filter das Bild gereinigt? (Ist das Rauschen verschwunden?)
  2. Wie sicher ist der Roboter? (Ist der Roboter zuversichtlich, dass es eine „7" ist, oder rät er?)
• Die Entscheidung: Wenn das Bild immer noch zu unordentlich ist oder der Roboter unsicher ist, sagt der Türsteher: „Kein Eintritt!" und lehnt die Probe ab. Er macht keinen falschen Vorschlag; er verweigert einfach die Antwort, was besser ist als zu lügen.

Was sie fanden

Das Team testete dies an berühmten Bilddatensätzen (MNIST für Zahlen und FashionMNIST für Kleidung).

• Die Ergebnisse: Wenn Angreifer starke Tricks verwendeten, um den Roboter zu täuschen, versagten die alten Methoden (unter Verwendung herkömmlicher Computerfilter) jämmerlich, wobei die Genauigkeit auf nahe Null sank.
• Der Sieg: Ihr neues System (QAE++) hielt den Roboter korrekt funktionierend. In einigen Fällen verbesserte es die Genauigkeit des Roboters um 68 % im Vergleich zu den besten bestehenden Methoden.
• Effizienz: Ihr Quantenfilter war auch viel kleiner und leichter als die alten Computerfilter und benötigte weit weniger Speicher, um zu laufen.

In Kürze

Das Paper schlägt eine Methode vor, um Quanten-KI davor zu schützen, getäuscht zu werden, ohne sie auf jeden möglichen Trick neu trainieren zu müssen. Sie verwenden einen Quantenfilter, um die Bilder zu reinigen, und ein Vertrauensmessgerät, um alles abzulehnen, was zu verdächtig aussieht. Dies hält die KI genau und zuverlässig, selbst wenn jemand versucht, unsichtbares Rauschen einzuschleusen, um sie zu verwirren.

Technische Zusammenfassung

1. Problemstellung

Variational Quantum Classifiers (VQCs) entwickeln sich zu leistungsfähigen Werkzeugen für das maschinelle Lernen und bieten potenzielle Vorteile in der Parameter-Effizienz gegenüber klassischen Modellen. Wie ihre klassischen Gegenstücke sind VQCs jedoch anfällig für adversarielle Angriffe. Bei diesen Angriffen führt ein Angreifer unmerkliches, sorgfältig konstruiertes Rauschen (Perturbationen) in Eingabedaten (z. B. Bilder) ein, wodurch das Modell dazu gebracht wird, die Eingabe falsch zu klassifizieren.

Bestehende Abwehrmechanismen stützen sich hauptsächlich auf adversarielles Training, bei dem das Modell auf adversariellen Beispielen neu trainiert wird. Dieser Ansatz weist erhebliche Einschränkungen auf:

• Durchführbarkeit: Er erfordert die Fähigkeit, adversarielle Proben zu generieren, was in Black-Box-Szenarien oder wenn der Angriffsvektor unbekannt ist, möglicherweise nicht möglich ist.
• Overfitting: Modelle, die auf spezifische Angriffstypen trainiert wurden, versagen oft bei der Verallgemeinerung gegenüber anderen Angriffstypen.
• Ressourcenintensität: Das Neu-Training von Quantenmodellen ist rechnerisch sehr aufwendig.

Das Paper adressiert die Notwendigkeit eines Abwehrrahmens, der nicht auf adversariellem Training beruht und adversarielle Proben effektiv bereinigen kann, bevor sie den Klassifikator erreichen.

2. Methodik: Das QAE++-Rahmenwerk

Die Autoren schlagen QAE++ vor, einen Abwehrrahmen, der einen Quanten-Autoencoder (QAE) nutzt, um Eingabedaten zu rekonstruieren und zu „bereinigen", bevor sie in einen VQC eingespeist werden. Das Rahmenwerk besteht aus drei Hauptkomponenten:

A. Quanten-Autoencoder (QAE) zur Rekonstruktion

Der QAE fungiert als Vorverarbeitungsschicht. Im Gegensatz zu klassischen Autoencodern (CAEs), die separate Trainings für Encoder- und Decoder-Gewichte erfordern, nutzt der QAE die Reversibilität von Quantengattern.

• Struktur: Der QAE kodiert einen Eingabezustand $|\psi_{in}\rangle$ (auf $n$ Qubits) in einen latenten Raum (auf $k$ Qubits, wobei $k < n$). Die verbleibenden $n-k$ Qubits werden als „Trash-Qubits" bezeichnet.
• Trainingsziel: Der Encoder wird so trainiert, dass er die Eingabe komprimiert, sodass die „Trash-Qubits" mit einem Referenzzustand (typischerweise $|0\rangle^{\otimes n-k}$) getauscht werden. Der Decoder ist einfach das hermitesch Konjugierte (Inverse) des Encoders.
• Bereinigungsmechanismus: Durch das Training des QAE ausschließlich auf sauberen Daten lernt er die Mannigfaltigkeit der sauberen Datenverteilung. Wenn eine adversarielle Probe (die Rauschen außerhalb dieser Mannigfaltigkeit enthält) durchgeschleust wird, versucht der QAE, sie zu rekonstruieren. Der Rekonstruktionsprozess filtert das adversarielle Rauschen effektiv heraus und projiziert die Probe zurück auf die gelernte Mannigfaltigkeit der sauberen Daten.
• Optimierung: Der Encoder wird trainiert, indem die Fidelity zwischen dem Trash-Zustand und dem Referenzzustand unter Verwendung eines SWAP-Tests maximiert wird. Die Verlustfunktion ist $L = 1 - \langle\sigma_Z\rangle$, wobei $\langle\sigma_Z\rangle$ die Fidelity darstellt.

B. Konfidenzmetrik

Um die Robustheit weiter zu erhöhen, führt das Rahmenwerk eine Konfidenzmetrik ein, um zu entscheiden, ob eine Vorhersage akzeptiert oder die Probe als potenziell adversariell abgelehnt werden soll. Diese Metrik kombiniert zwei Faktoren:

1. Encoding-Fidelity ($\langle\sigma_Z\rangle_x$): Misst, wie gut der QAE die Eingabe komprimiert hat. Eine niedrige Fidelity deutet darauf hin, dass die Eingabe Merkmale (Rauschen) enthielt, die in der Trainingsverteilung nicht vorhanden waren, was auf einen potenziellen adversariellen Angriff hindeutet.
2. Logit-Differenz ($l_{\hat{x}}$): Die Differenz zwischen dem höchsten und dem zweithöchsten Ausgabe-Logit des VQC. Eine kleine Differenz zeigt eine niedrige Konfidenz in die Klassifizierung an, was oft ein Zeichen für eine adversarielle Probe ist.

Die Konfidenzmetrik $C$ wird wie folgt berechnet:
$$C = \langle\sigma_Z\rangle_x + \frac{l_{\hat{x}}}{2}$$
Dieser Wert wird gegen einen Schwellenwert $T$ (abgeleitet aus sauberen Validierungsdaten) verglichen. Wenn $C < T$, wird die Probe abgelehnt; andernfalls wird die Vorhersage des VQC akzeptiert.

C. Algorithmusablauf (QAE++)

1. Die Eingabeprobe $x$ (sauber oder adversariell) wird in den QAE eingespeist.
2. Der QAE erzeugt eine rekonstruierte Probe $\hat{x}$ und einen Encoding-Fidelity-Score.
3. $\hat{x}$ wird zur Klassifizierung an den VQC weitergeleitet, wodurch Logits erzeugt werden.
4. Die Konfidenzmetrik $C$ wird unter Verwendung der Fidelity und der Logit-Differenz berechnet.
5. Wenn $C$ den Schwellenwert erfüllt, wird die vorhergesagte Klasse zurückgegeben; andernfalls wird die Probe abgelehnt.

3. Hauptbeiträge

• Abwehr ohne adversarielles Training: Das Rahmenwerk verteidigt VQCs, ohne dass das Modell auf adversariellen Beispielen neu trainiert werden muss, was es in Szenarien anwendbar macht, in denen die Generierung von Angriffen unmöglich ist.
• Quantenvorteil bei der Bereinigung: Die Autoren zeigen, dass QAEs bei der Rekonstruktion adversarieller Proben klassische Autoencoder (CAEs) übertreffen können, wahrscheinlich aufgrund der Fähigkeit des QAE, Merkmale in einem quantenmechanischen latenten Raum mit weniger Parametern zu extrahieren.
• Konfidenzbasierte Ablehnung: Die Einführung einer hybriden Konfidenzmetrik (Fidelity + Logit-Differenz) ermöglicht es dem System, hochriskante Proben dynamisch abzulehnen, was die Gesamtgenauigkeit erheblich steigert.
• Parameter-Effizienz: Das QAE-Modell erfordert deutlich weniger Parameter (z. B. 120) im Vergleich zu state-of-the-art CAE-Abwehrmechanismen (91.000) und bietet eine ressourceneffizientere Abwehrstrategie.

4. Experimentelle Ergebnisse

Das Rahmenwerk wurde auf den Datensätzen MNIST und FashionMNIST (FMNIST) unter Verwendung von VQCs mit variierenden Schichttiefen (100, 200, 300 Schichten) unter FGSM- und PGD-Angriffen mit Perturbationsstärken ($\epsilon$) im Bereich von 0,05 bis 0,30 evaluiert.

• Genauigkeitsverbesserung:
  • Unter starken Angriffen ($\epsilon = 0,30$) auf MNIST sank die Genauigkeit des Basis-VQC auf nahezu 0 %.
  • Das vorgeschlagene QAE++ erreichte eine Genauigkeit von 78,06 % und übertraf damit deutlich die CAE-Abwehr (14,95 %) und die QAE-only-Abwehr (21,82 %).
  • Insgesamt zeigte QAE++ Verbesserungen von bis zu 68 % gegenüber state-of-the-art CAE-Abwehrmechanismen in verschiedenen Angriffsszenarien.
• Ablehnungsfähigkeit:
  • Die Konfidenzmetrik identifizierte und lehnte adversarielle Proben effektiv ab. Beispielsweise lehnte QAE++ bei $\epsilon=0,30$ (FGSM) über 5.700 falsch klassifizierte Proben ab, während 494 korrekt klassifizierte Proben akzeptiert wurden.
• Leistung bei gemischten Proben:
  • In Szenarien mit gemischten sauberen und adversariellen Eingaben übertraf QAE++ die CAE- und QAE-only-Abwehr konsistent, insbesondere mit zunehmender Anzahl der VQC-Schichten.
• Stabilität: Während CAEs bei kleineren Modellen mit geringer Angriffsstärke manchmal besser abschnitten als QAEs, behielt QAE++ seine überlegene Stabilität und Leistung bei, sobald die Modellkomplexität und die Angriffsstärke zunahmen.

5. Bedeutung

Dieses Paper stellt einen kritischen Schritt hin zur Robustheit des Quanten-Machine-Learnings dar. Indem die Autoren zeigen, dass Quanten-Autoencoder adversarielles Rauschen effektiv bereinigen können, ohne adversarielles Training, bieten sie eine praktische Lösung für den Einsatz von VQCs in realen, potenziell feindseligen Umgebungen.

Die Bedeutung liegt in:

1. Generalisierbarkeit: Die Abwehr funktioniert gegen unbekannte Angriffstypen ohne Neu-Training.
2. Effizienz: Sie erreicht eine höhere Genauigkeit mit drastisch weniger Parametern als klassische Abwehrmechanismen und entspricht damit dem Ziel des Quantenvorteils (mehr mit weniger erreichen).
3. Zuverlässigkeit: Die Konfidenzmetrik fügt eine Sicherheitsebene hinzu, die es dem System ermöglicht, eine „Niederlage einzuräumen" (eine Probe abzulehnen), anstatt eine adversarielle Eingabe selbstbewusst falsch zu klassifizieren, was für sicherheitskritische Anwendungen entscheidend ist.

Zusammenfassend etabliert QAE++ einen neuen Benchmark für die Verteidigung von Quantenklassifikatoren und beweist, dass quanten-native Rekonstruktionstechniken eine überlegene Robustheit im Vergleich zu klassischen Gegenstücken bieten können.