Can Quantum Federated Learning Withstand Circuit-Level Backdoors?

Dieser Beitrag stellt das CircUit-Level backdoor Threat (CULT)-Modell vor, um zu demonstrieren, wie böswillige Clients quantenspezifische Mechanismen im Quantum Federated Learning ausnutzen können, um heimlich eine schwere Genauigkeitsdegradation herbeizuführen, und zeigt auf, dass bestehende Verteidigungsmechanismen häufig versagen, um Worst-Case-Ausfälle zu verhindern.

Das Wesentliche

Stellen Sie sich eine Gruppe von Nachbarn vor, die versuchen, ein einziges, superschlauzes Kochbuch zu erstellen. Anstatt ihre geheimen Familienrezepte (die private Daten enthalten) zu teilen, bewahren sie ihre Rezepte jeweils zu Hause auf. Jede Woche senden sie nur die Änderungen, die sie an ihren Rezepten vorgenommen haben, an einen zentralen Organisator, der sie alle zusammenmischt, um eine bessere „globale" Version zu erstellen. Dies ist Federated Learning.

Stellen Sie sich nun vor, diese Gruppe beginnt, Quantencomputer (Maschinen, die die seltsamen Regeln der Physik nutzen, um Informationen zu verarbeiten), zu verwenden, um diese Rezepte zu schreiben. Dies ist Quantum Federated Learning (QFL).

Dieser Artikel stellt eine beängstigende neue Methode vor, mit der ein „böser Nachbar" das gesamte Kochbuch ruinieren kann, ohne dass es jemand bemerkt. Die Autoren nennen dies die CULT-Bedrohung (CircUit-Level backdoor Threat).

Hier ist die Aufschlüsselung, wie dies funktioniert, unter Verwendung einfacher Analogien:

1. Das Setup: Das Quanten-Kochbuch

In diesem System hat jeder Nachbar einen „Quantenschaltkreis". Betrachten Sie diesen Schaltkreis als eine komplexe, mehrstufige Maschine, die Zutaten (Daten) in eine Kochanweisung (eine Vorhersage) verwandelt.

• Die guten Nachbarn: Sie justieren ihre Maschinen leicht, um das globale Rezept zu verbessern.
• Der böse Nachbar: Er möchte das Buch sabotieren, sodass beispielsweise alle Bilder von Katzen als Hunde fehlinterpretiert werden, während der Rest des Buches perfekt aussieht.

2. Der Angriff: Das „CULT"-Modell

Der Artikel argumentiert, dass aktuelle Sicherheitsmaßnahmen nicht wissen, wie sie einen bösen Nachbarn erkennen sollen, der mit dem Inneren seiner Quantenmaschine spielt. Die Autoren schlagen vier spezifische Wege vor, wie ein böser Nachbar das System sabotieren kann:

• Der „Grover"-Angriff (Der versteckte Auslöser): Stellen Sie sich vor, der böse Nachbar installiert einen geheimen Schalter in seiner Maschine. Wenn Sie ein Bild einer Katze mit einem spezifischen, winzigen Staubkorn (einem Auslöser) eingeben, schaltet die Maschine um und schreit „HUND!". Dies wird erreicht, indem verändert wird, wie die Quantenwellen miteinander interferieren.
• Der „Pauli"-Angriff (Die Spin-Anpassung): Quantenteilchen besitzen eine Eigenschaft namens „Spin". Der böse Nachbar dreht diese Spins subtil. Es ist, als würde man eine Kompassnadel leicht neigen. Es zerstört die Maschine nicht, lenkt aber das globale Rezept langsam in die falsche Richtung.
• Der „Bit-Flip"-Angriff (Der gelegentliche Fehler): Stellen Sie sich vor, die Maschine des bösen Nachbarn funktioniert 9-mal von 10-mal perfekt, aber beim 10. Mal wird eine einzelne Münze von Kopf auf Zahl gedreht. Indem dies in einem sehr spezifischen, rhythmischen Muster geschieht, erzeugen sie eine verborgene Drift in den Daten, die für den Organisator wie normales Rauschen aussieht.
• Der „Sign-Flip"-Angriff (Der umgekehrte Tachometer): Dies ist so, als würde die Maschine des bösen Nachbarn plötzlich entscheiden, dass „Positiv" „Negativ" bedeutet. Sie kehrt die Richtung des Lernsignals um und sagt der Gruppe effektiv, sie solle die richtige Antwort wieder verlernen.

3. Die Tarnung: Wie sie sich verstecken

Der beängstigendste Teil dieses Artikels ist, wie der böse Nachbar sich versteckt.

• Der „Norm"-Trick: Die meisten Sicherheitssysteme prüfen, ob eine Aktualisierung eines Nachbarn „zu groß" oder „zu seltsam" ist (wie die Prüfung, ob eine Rezeptänderung 100 Seiten lang ist). Der böse Nachbar in dieser Studie lässt seine Sabotage-Aktualisierungen normal groß aussehen. Er justiert seine Quantenmaschine gerade genug, um Schaden anzurichten, aber nicht genug, um auf einem Lineal verdächtig zu wirken.
• Der „Historie"-Trick: Der böse Nachbar führt ein Tagebuch darüber, was die guten Nachbarn normalerweise tun. Wenn er seine Sabotage-Aktualisierung sendet, kleidet er sie so ein, dass sie genau wie etwas aussieht, das ein guter Nachbar senden würde. Er fügt sogar ein wenig „Rauschen" (Störgeräusch) hinzu, damit es wie eine normale, chaotische Quantenmessung aussieht.

4. Die Ergebnisse: Wie schlimm ist es?

Die Autoren testeten dies an zwei berühmten Datensätzen (MNIST und CIFAR-10), die wie Standardtestprüfungen für KI sind.

• Ein fauler Apfel: Selbst wenn nur ein Nachbar von 20 böse ist (5%), kann die Leistung der gesamten Gruppe einbrechen.
  • Beim MNIST-Test sank die Genauigkeit von 92 % auf 40 %.
  • Beim CIFAR-10-Test sank die Genauigkeit von 70 % auf 34 %.
• Das Versagen der Verteidigung: Der Artikel testete beliebte Sicherheitstools (wie „Krum" oder „FoolsGold"), die böse Nachbarn ausschließen sollen.
  • Das Ergebnis: Diese Tools konnten die schlimmsten Angriffe nicht stoppen. In vielen Fällen sank die Genauigkeit immer noch um 50 %.
  • Warum? Weil die bösen Aktualisierungen so sehr den guten glichen, dass die Sicherheitstools den Unterschied nicht erkennen konnten. Es ist wie ein Dieb in einer perfekten Polizeiform; der Sicherheitsbeamte lässt ihn passieren.

5. Die Schlussfolgerung

Der Artikel kommt zu dem Schluss, dass Quantum Federated Learning derzeit sehr anfällig für diese spezifischen Arten von Schaltkreisebene-Angriffen ist.

• Aktuelle Verteidigungen sind wie die Suche nach einer Nadel im Heuhaufen, aber der böse Nachbar hat die Nadel in ein Stück Heu verwandelt, das genau wie der Rest aussieht.
• Die Autoren warnen, dass wir uns nicht einfach auf das „Durchschnittsbilden" der Ergebnisse oder das Prüfen auf „seltsame Größen" verlassen können. Wir benötigen neue Sicherheitsmethoden, die die spezifische Physik von Quantenschaltkreisen verstehen, um diese heimlichen Saboteure zu fangen.

Kurz gesagt: Ein einzelner bösartiger Benutzer kann den Quanten-„Motor" eines gemeinsamen Lernprojekts heimlich neu verkabeln, um es spektakulär scheitern zu lassen, und die aktuellen Sicherheitswachen sind zu sehr damit beschäftigt, nach „lauten" Geräuschen zu suchen, als dass sie die leise Sabotage bemerken würden.

Technische Zusammenfassung

Technische Zusammenfassung: Quantum Federated Learning – Widersteht es Backdoors auf Schaltungsebene?

Problemstellung

Quantum Federated Learning (QFL) kombiniert den datenschutzfreundlichen Charakter von Federated Learning (FL) mit den rechnerischen Vorteilen parametrisierter Quantenschaltungen (PQCs). Während bekannt ist, dass FL anfällig für bösartige Clients ist, die Backdoors injizieren, eröffnet QFL eine neue Angriffsfläche: die Quantenschaltung selbst. Die bestehende Forschung hat nicht umfassend analysiert, wie bösartige Clients quantenspezifische Mechanismen (wie Superposition, Verschränkung und Messstatistiken) ausnutzen können, um schleichende Backdoor-Angriffe zu starten. Die zentrale Frage lautet, ob QFL Backdoor-Angriffe auf Schaltungsebene standhalten kann, die von bösartigen Clients ausgehen, die innerhalb der Grenzen der Quantenfidelität und der dezentralen Optimierung operieren.

Methodik: Das CULT-Modell

Die Autoren schlagen ein neues Bedrohungsmodell vor, das als CircUit-Level backdoor Threat (CULT) bezeichnet wird. Dieses Modell formalisiert vier verschiedene, schleichende Angriffsvektoren, die sowohl die Phase während des Trainings (Schaltungsausführung) als auch die Phase nach dem Training (Übertragung der Updates) von QFL ausnutzen.

1. Angriffsflächen

Das CULT-Modell operiert auf zwei Flächen:

• Fläche S1 (Während des Trainings/Auf Schaltungsebene): Bösartige Clients ersetzen die harmlose, variationelle Quantenschicht während lokaler Trainingsrunden mit einer bestimmten Wahrscheinlichkeit ($\rho$) durch eine spezifische Angriffsschaltung. Sie skalieren zudem die Verlustfunktion auf vergifteten Runden, um das Gradientensignal zu verstärken.
• Fläche S2 (Nach dem Training/Erstellung von Updates): Nach der lokalen Optimierung transformieren bösartige Clients ihre rohen Updates vor der Übertragung. Sie nutzen eine Historie harmloser Updates, um Deltas zu erstellen, die nahe am Mannigfaltigkeitsraum harmloser Updates bleiben und so normbasierte und clusterbasierte Abwehrmechanismen effektiv umgehen.

2. Vier vorgeschlagene Angriffe

Die Arbeit stellt vier spezifische Angriffe auf Schaltungsebene vor, die alle so konzipiert sind, dass sie im Bereich harmloser Updates bleiben:

1. Grover-Phase-Oracle-Angriff: Wendet einen bedingten Phasenumkehr auf einen markierten Zustand der Rechenbasis ($|\omega\rangle$) unter Verwendung eines Oracle-Operators $O_\omega$ an. Dies verändert Interferenzmuster in späteren Schaltungsschichten und verzerrt den gemessenen Merkmalsvektor, bevor er vom klassischen Kopf verarbeitet wird.
2. Pauli-Rotations-Angriff: Wendet kohärente Tensorprodukt-Pauli-Rotationen auf eine ausgewählte Teilmenge von Qubits an. Dies verschiebt die Messstatistiken, während die geometrische Nähe des Updates zu harmlosen Updates gewahrt bleibt.
3. Bit-Flip-Angriff: Flippt periodisch ein bestimmtes Qubit in spezifischen Runden, um strukturierte, niederfrequente Drift in Bitstring-Statistiken zu erzeugen, anstatt zufälliges Rauschen.
4. Phase-Kickback-Zeichenflip-Angriff: Wendet eine $\pi$-Phase auf ein gemessenes Qubit an, wodurch das Vorzeichen der entsprechenden Pauli-Z-Erwartung umgekehrt wird. Dies induziert systematische Effekte der Gradientenumkehr nach der Rückwärtspropagierung.

3. Mechanismus zur Erstellung von Updates

Um Schlichtheit zu gewährleisten, konstruiert der Angreifer ein gefälschtes Update ($\tilde{\Delta}\theta$) durch:

• Verankern des Updates am nächsten historischen harmlosen Referenzpunkt.
• Entfernen der Hauptkomponenten der harmlosen Historie, um dominante Richtungen zu vermeiden, die von Abwehrmechanismen gelernt wurden.
• Skalieren des Updates, um die statistische Normverteilung harmloser Clients zu entsprechen.
• Anwenden von Sparsamkeitsbeschränkungen, um Strukturen harmloser Updates nachzuahmen.

Theoretische Analyse

Die Arbeit etabliert eine rigorose theoretische Grundlage, die zeigt, dass unter Standardannahmen der Glattheit ($L$-Glattheit) die CULT-Angriffe eine beschränkte Störung der globalen Modelltrajektorie bewirken.

• Schlichtheitsbeschränkungen: Die Autoren definieren eine zulässige Schlichtheitsmenge, in der bösartige Updates durch einen Radius und einen Kosinus-Ähnlichkeitsschwellenwert relativ zu einem robusten Zentrum harmloser Deltas eingeschränkt sind.
• Genauigkeitsverschlechterung: Es wird eine hinreichende Bedingung bereitgestellt, die zeigt, dass, wenn das Modell eine nicht-triviale Masse von Punkten in der Nähe der Entscheidungsgrenze aufweist, die durch die Angriffe verursachte beschränkte Drift ausreicht, um Vorhersagen zu kippen und einen messbaren Rückgang der Genauigkeit zu verursachen. Die Analyse beweist, dass selbst ein einzelner bösartiger Client eine signifikante Abweichung der globalen Trajektorie bewirken kann.

Experimentelle Ergebnisse

Experimente wurden auf den Datensätzen MNIST und CIFAR-10 unter Verwendung hybrider Quantenneuronaler Netze (QNNs) mit jeweils 5 und 9 Qubits durchgeführt, bei nicht-IID-Datenaufteilungen (Dirichlet $\alpha=0.9$).

Wichtige Erkenntnisse:

1. Schwere der Angriffe: Selbst ein einzelner bösartiger Client ($q=5\%$) verursacht unter der Standard-FedAvg-Aggregation eine schwere Genauigkeitsverschlechterung.
   • Bei MNIST reduzierte der Grover-Angriff die Genauigkeit von 92,65 % auf 40,95 % (ein Rückgang von ca. 52 %).
   • Bei CIFAR-10 reduzierte der Grover-Angriff die Genauigkeit von 70,15 % auf 34,87 %.
2. Versagen der Abwehrmechanismen: Beliebte robuste Aggregationsmethoden (Krum, Multi-Krum, FoolsGold, FLGuardian, Mud-HoG) reduzieren die Verschlechterung in vielen Regimen, versagen jedoch darin, Worst-Case-Ausfallfälle zu eliminieren.
   • In spezifischen Szenarien sinkt die Genauigkeit um bis zu 50 %, selbst wenn Abwehrmechanismen aktiv sind.
   • Einige Abwehrmechanismen (z. B. Krum) leiden unter „Underfitting", bei dem sie die Leistung auch bei Abwesenheit von Angriffen komprimieren, wodurch sie stabil erscheinen, aber tatsächlich die Modellnützlichkeit verringern.
3. Schlichtheit: Die Angriffe maskieren ihre Anwesenheit effektiv. Bösartige Updates bleiben nahe an harmlosen Normen, was es Angreifern ermöglicht, der Erkennung durch Systeme zu entgehen, die auf Anomalieschwellenwerte oder einfache Gradientenstatistiken angewiesen sind.
4. Nicht-Monotonie: Die Genauigkeitsverschlechterung skaliert nicht monoton mit dem Anteil der Angreifer ($q$). Aufgrund von nicht-IID-Aufteilungen und der stochastischen Natur von Quantenmessungen kann die Genauigkeit schwanken, was naive Heuristiken (z. B. „die Genauigkeit muss sinken, wenn die Angreifer zunehmen") ungültig macht.

Bedeutung und Behauptungen

Die Arbeit beansprucht, die erste Studie zu sein, die Backdoor-Angriffe auf Schaltungsebene im Kontext von QFL umfassend analysiert und formalisiert. Ihre Bedeutung liegt in:

• Überbrückung der Lücke: Sie vereint Angriffsdesign und Schlichtheitsanalyse innerhalb von QFL unter Berücksichtigung sowohl der Quantenfidelitätsbeschränkungen als auch der dezentralen Natur von FL.
• Herausforderung aktueller Abwehrmechanismen: Die Ergebnisse zeigen, dass aktuelle robuste Aggregationstechniken gegen quantenbewusste Angriffe unzureichend sind, da bösartige Updates harmlose Geometrie nachahmen können, während sie die Modellleistung erheblich beeinträchtigen.
• Theoretische Validierung: Die Arbeit liefert einen theoretischen Beweis, dass beschränkte, schlichtheitsbeschränkte Updates Vorhersagen kippen und die Genauigkeit verschlechtern können, und geht damit über empirische Beobachtungen hinaus zu formalen Garantien von Verwundbarkeit.

Die Autoren kommen zu dem Schluss, dass zukünftige Abwehrmechanismen über generische Ausreißererkennung hinausgehen und quantenbewusste Signale integrieren müssen, wie z. B. Konsistenzprüfungen auf Schaltungsebene und zeitliche Stabilitätsbeschränkungen für Messverteilungen, um dem CULT-Bedrohungsmodell wirksam zu begegnen.