Can Quantum Federated Learning Withstand Circuit-Level Backdoors?

Este artículo introduce el modelo de amenaza de puerta trasera a nivel de circuito (CULT) para demostrar cómo los clientes maliciosos pueden explotar mecanismos específicos de la computación cuántica en el aprendizaje federado cuántico para inducir sigilosamente una degradación severa de la precisión, revelando que los mecanismos de defensa existentes a menudo no logran prevenir fallos en el peor de los casos.

Lo esencial

Imagina un grupo de vecinos intentando construir un único libro de recetas superinteligente para cocinar. En lugar de compartir sus recetas familiares secretas (que contienen datos privados), cada uno las mantiene en su casa. Cada semana, envían solo los cambios que hicieron a sus recetas a un organizador central, quien los mezcla todos para crear una versión "global" mejor. Esto es Aprendizaje Federado.

Ahora, imagina que este grupo comienza a usar Ordenadores Cuánticos (máquinas que utilizan las extrañas reglas de la física para procesar información) para ayudar a escribir estas recetas. Esto es Aprendizaje Federado Cuántico (QFL).

Este artículo presenta una nueva y aterradora forma en que un "vecino malo" puede arruinar todo el libro de recetas sin que nadie lo note. Los autores llaman a esto CULT (Amenaza de Puerta Trasera a Nivel de Circuito).

Aquí está el desglose de cómo funciona, usando analogías simples:

1. La Configuración: El Libro de Recetas Cuántico

En este sistema, cada vecino tiene un "Circuito Cuántico". Piensa en este circuito como una máquina compleja de múltiples pasos que convierte ingredientes (datos) en una instrucción de cocina (una predicción).

• Los Vecinos Buenos: Ajustan ligeramente sus máquinas para mejorar la receta global.
• El Vecino Malo: Quiere sabotear el libro para que, por ejemplo, todas las imágenes de gatos se identifiquen erróneamente como perros, pero el resto del libro siga pareciendo perfecto.

2. El Ataque: El Modelo "CULT"

El artículo argumenta que las medidas de seguridad actuales no saben detectar a un vecino malo que está manipulando el interior de su máquina cuántica. Los autores proponen cuatro formas específicas en que un vecino malo puede sabotear el sistema:

• El Ataque "Grover" (El Disparador Oculto): Imagina que el vecino malo instala un interruptor secreto en su máquina. Si introduces una imagen de un gato con una pequeña mota de polvo específica (un disparador), la máquina activa un interruptor y grita "¡PERRO!". Esto se logra cambiando cómo las ondas cuánticas interfieren entre sí.
• El Ataque "Pauli" (El Ajuste de Giro): Las partículas cuánticas tienen una propiedad llamada "giro". El vecino malo rota sutilmente estos giros. Es como inclinar ligeramente la aguja de una brújula. No rompe la máquina, pero desvía lentamente la receta global en la dirección equivocada.
• El Ataque "Bit-Flip" (El Fallo Ocasional): Imagina que la máquina del vecino malo funciona perfectamente 9 veces de cada 10, pero en la décima vez, invierte una sola moneda de Cara a Cruz. Al hacer esto en un patrón muy específico y rítmico, crean una deriva oculta en los datos que parece ruido normal para el organizador.
• El Ataque "Sign-Flip" (El Odómetro Inverso): Esto es como si la máquina del vecino malo decidiera repentinamente que "Positivo" significa "Negativo". Invierte la dirección de la señal de aprendizaje, indicando efectivamente al grupo que desaprenda la respuesta correcta.

3. El Sigilo: Cómo se Ocultan

La parte más aterradora de este artículo es cómo se oculta el vecino malo.

• El Truco de la "Norma": La mayoría de los sistemas de seguridad verifican si la actualización de un vecino es "demasiado grande" o "demasiado extraña" (como verificar si un cambio de receta tiene 100 páginas de largo). El vecino malo en este estudio hace que sus actualizaciones de sabotaje parezcan de tamaño normal. Ajustan su máquina cuántica justo lo suficiente para causar daño, pero no tanto para parecer sospechosos bajo una regla.
• El Truco de la "Historia": El vecino malo lleva un diario de lo que suelen hacer los vecinos buenos. Cuando envían su actualización de sabotaje, la disfrazan para que se vea exactamente como algo que enviaría un vecino bueno. Incluso añaden un poco de "ruido" (estática) para que parezca una medición cuántica normal y desordenada.

4. Los Resultados: ¿Qué tan malo es?

Los autores probaron esto en dos conjuntos de datos famosos (MNIST y CIFAR-10), que son como exámenes estándar para la IA.

• Una Manzana Podrida: Incluso si solo uno de cada 20 vecinos es malo (5%), el rendimiento de todo el grupo puede colapsar.
  • En la prueba MNIST, la precisión cayó de 92% a 40%.
  • En la prueba CIFAR-10, la precisión cayó de 70% a 34%.
• El Fracaso de la Defensa: El artículo probó herramientas de seguridad populares (como "Krum" o "FoolsGold") que supuestamente deberían expulsar a los vecinos malos.
  • El Resultado: Estas herramientas no lograron detener los peores ataques. En muchos casos, la precisión aún cayó un 50%.
  • ¿Por qué? Porque las actualizaciones malas se parecían tanto a las buenas que las herramientas de seguridad no podían distinguir la diferencia. Es como un ladrón vistiendo un uniforme de policía perfecto; el guardia de seguridad lo deja pasar.

5. La Conclusión

El artículo concluye que el Aprendizaje Federado Cuántico es actualmente muy vulnerable a estos tipos específicos de ataques a nivel de circuito.

• Las defensas actuales son como buscar una aguja en un pajar, pero el vecino malo ha convertido la aguja en un trozo de paja que se ve exactamente igual al resto.
• Los autores advierten que no podemos simplemente confiar en "promediar" los resultados o verificar "tamaños extraños". Necesitamos nuevos métodos de seguridad que comprendan la física específica de los circuitos cuánticos para atrapar a estos saboteadores sigilosos.

En resumen: Un solo usuario malicioso puede reconfigurar secretamente el "motor" cuántico de un proyecto de aprendizaje compartido para hacer que falle espectacularmente, y los guardias de seguridad actuales están demasiado ocupados verificando ruidos "fuertes" para notar el sabotaje silencioso.

Resumen técnico

Resumen Técnico: ¿Resiste el Aprendizaje Federado Cuántico las Puertas Traseras a Nivel de Circuito?

Enunciado del Problema

El Aprendizaje Federado Cuántico (QFL) combina la naturaleza de preservación de la privacidad del Aprendizaje Federado (FL) con las ventajas computacionales de los Circuitos Cuánticos Parametrizados (PQCs). Si bien se sabe que FL es vulnerable a clientes maliciosos que inyectan puertas traseras, QFL introduce una nueva superficie de ataque: la propia circuitería cuántica. La investigación existente no ha analizado exhaustivamente cómo los clientes maliciosos pueden explotar mecanismos específicos de la cuántica (como la superposición, el entrelazamiento y las estadísticas de medición) para lanzar ataques de puertas traseras sigilosos. La pregunta central abordada es si QFL puede resistir ataques de puertas traseras a nivel de circuito planteados por clientes maliciosos que operan dentro de las restricciones de la fidelidad cuántica y la optimización descentralizada.

Metodología: El Modelo CULT

Los autores proponen un modelo de amenaza novedoso denominado Amenaza de Puerta Trasera a Nivel de Circuito (CULT). Este modelo formaliza cuatro vectores de ataque distintos y sigilosos que explotan tanto la fase durante el entrenamiento (ejecución del circuito) como la fase post-entrenamiento (transmisión de actualizaciones) de QFL.

1. Superficies de Ataque

El modelo CULT opera sobre dos superficies:

• Superficie S1 (Durante el Entrenamiento/A Nivel de Circuito): Los clientes maliciosos reemplazan la capa cuántica variacional benigna con un circuito de ataque específico durante las rondas de entrenamiento local con una cierta probabilidad ($\rho$). También escalan la función de pérdida en las rondas envenenadas para amplificar la señal del gradiente.
• Superficie S2 (Post-Entrenamiento/Confección de Actualizaciones): Después de la optimización local, los clientes maliciosos transforman sus actualizaciones crudas antes de la transmisión. Utilizan un historial de actualizaciones similares a las benignas para crear deltas que permanecen cerca de la variedad de actualizaciones benignas, evadiendo efectivamente las defensas basadas en normas y las basadas en agrupamiento.

2. Cuatro Ataques Propuestos

El artículo introduce cuatro ataques específicos a nivel de circuito, todos diseñados para permanecer dentro de la proximidad de las actualizaciones benignas:

1. Ataque de Oráculo de Fase de Grover: Aplica un cambio de fase condicional a un estado marcado de la base computacional ($|\omega\rangle$) utilizando un operador oráculo $O_\omega$. Esto altera los patrones de interferencia en capas posteriores del circuito, sesgando el vector de características medido antes de que la cabeza clásica lo procese.
2. Ataque de Rotación de Pauli: Aplica rotaciones coherentes de producto tensorial de Pauli a un subconjunto seleccionado de qubits. Esto desplaza las estadísticas de medición manteniendo la proximidad geométrica de la actualización con respecto a las actualizaciones benignas.
3. Ataque de Inversión de Bit: Invierte periódicamente un qubit designado en rondas específicas para crear una deriva estructurada de baja frecuencia en las estadísticas de cadenas de bits, en lugar de ruido aleatorio.
4. Ataque de Inversión de Signo por Retroalimentación de Fase: Aplica una fase de $\pi$ a un qubit medido, invirtiendo el signo de la expectativa de Pauli-Z correspondiente. Esto induce efectos sistemáticos de inversión de gradiente después de la retropropagación.

3. Mecanismo de Confección de Actualizaciones

Para garantizar el sigilo, el atacante construye una actualización confeccionada ($\tilde{\Delta}\theta$) mediante:

• Anclar la actualización a la referencia benigna histórica más cercana.
• Eliminar los principales componentes principales del historial benigno para evitar las direcciones dominantes aprendidas por las defensas.
• Reescalar la actualización para coincidir con la distribución de norma estadística de los clientes benignos.
• Aplicar restricciones de dispersión para imitar las estructuras de actualización benignas.

Análisis Teórico

El artículo establece una base teórica rigurosa que demuestra que, bajo supuestos estándar de suavidad ($L$-suavidad), los ataques CULT inducen una perturbación acotada en la trayectoria del modelo global.

• Restricciones de Sigilo: Los autores definen un conjunto de sigilo factible donde las actualizaciones maliciosas están restringidas por un radio y un umbral de similitud coseno con respecto a un centro robusto de deltas benignos.
• Degradación de la Precisión: Se proporciona una condición suficiente que muestra que, si el modelo tiene una masa no trivial de puntos cerca del límite de decisión, la deriva acotada inducida por los ataques es suficiente para invertir las predicciones, causando una caída medible en la precisión. El análisis demuestra que incluso un solo cliente malicioso puede inducir una desviación significativa en la trayectoria global.

Resultados Experimentales

Se realizaron experimentos en los conjuntos de datos MNIST y CIFAR-10 utilizando Redes Neuronales Cuánticas Híbridas (QNN) con 5 y 9 qubits, respectivamente, bajo divisiones de datos no IID (Dirichlet $\alpha=0.9$).

Hallazgos Clave:

1. Gravedad de los Ataques: Incluso un solo cliente malicioso ($q=5\%$) causa una degradación severa de la precisión bajo la agregación estándar FedAvg.
   • En MNIST, el ataque de Grover redujo la precisión del 92,65% al 40,95% (una caída de ~52%).
   • En CIFAR-10, el ataque de Grover redujo la precisión del 70,15% al 34,87%.
2. Fallo de las Defensas: Los métodos de agregación robusta populares (Krum, Multi-Krum, FoolsGold, FLGuardian, Mud-HoG) reducen la degradación en muchos regímenes, pero no logran eliminar los casos de fallo en el peor escenario.
   • En escenarios específicos, la precisión cae hasta un 50% incluso con las defensas activas.
   • Algunas defensas (por ejemplo, Krum) sufren de "subajuste", donde comprimen el rendimiento incluso en ausencia de ataques, haciéndolas parecer estables pero reduciendo en realidad la utilidad del modelo.
3. Sigilo: Los ataques enmascaran efectivamente su presencia. Las actualizaciones maliciosas permanecen cerca de las normas benignas, permitiendo a los atacantes evadir la detección por sistemas que dependen de umbrales de anomalías o estadísticas de gradiente simples.
4. No Monotonía: La degradación de la precisión no escala de manera monótona con la fracción de atacantes ($q$). Debido a las divisiones no IID y a la naturaleza estocástica de las mediciones cuánticas, la precisión puede fluctuar, lo que invalida las heurísticas ingenuas (por ejemplo, "la precisión debe disminuir a medida que aumentan los atacantes").

Significado y Afirmaciones

El artículo afirma ser el primer trabajo que analiza y formaliza exhaustivamente los ataques de puertas traseras a nivel de circuito en el contexto de QFL. Su significado radica en:

• Cerrar la Brecha: Unifica el diseño de ataques y el análisis de sigilo dentro de QFL, respetando tanto las restricciones de fidelidad cuántica como la naturaleza descentralizada de FL.
• Desafiar las Defensas Actuales: Los resultados demuestran que las técnicas actuales de agregación robusta son insuficientes contra ataques conscientes de la cuántica, ya que las actualizaciones maliciosas pueden imitar la geometría benigna mientras degradan severamente el rendimiento del modelo.
• Validación Teórica: El trabajo proporciona una prueba teórica de que las actualizaciones acotadas y restringidas por sigilo pueden invertir predicciones y degradar la precisión, avanzando más allá de la observación empírica hacia garantías formales de vulnerabilidad.

Los autores concluyen que las defensas futuras deben ir más allá de la detección genérica de valores atípicos e integrar señales conscientes de la cuántica, como verificaciones de consistencia a nivel de circuito y restricciones de estabilidad temporal sobre las distribuciones de medición, para contrarrestar efectivamente la amenaza del modelo CULT.