Backdoor Threats in Variational Quantum Circuits: Taxonomy, Attacks, and Defenses

Cet article présente une étude complète des menaces par porte dérobée dans les circuits quantiques variationnels, catégorisant systématiquement les mécanismes d'attaque aux niveaux des données, du compilateur et natif quantique, tout en analysant les stratégies actuelles de détection et de défense pour esquisser les défis futurs liés à la sécurisation des systèmes hybrides quantiques-classiques.

L'essentiel

Imaginez que vous construisez une machine complexe en utilisant un ensemble de plans haute technologie préfabriqués. Ces plans sont appelés circuits quantiques variationnels (VQC). Ils constituent les « cerveaux » utilisés dans l'informatique quantique moderne pour résoudre des problèmes épineux, comme déterminer comment les molécules interagissent ou optimiser un portefeuille financier. Comme ces machines sont difficiles à construire à partir de zéro, les gens téléchargent souvent ces plans sur Internet ou utilisent des versions préentraînées fournies par d'autres.

Ce document est une étiquette d'avertissement et un manuel de sécurité. Il explique comment de mauvais acteurs peuvent glisser un « piège » caché dans ces plans. Ce piège est appelé une porte dérobée.

Voici la décomposition des résultats du document à l'aide d'analogies simples :

1. Le problème central : Le « saboteur endormi »

Imaginez un VQC comme un thermostat intelligent. Dans des conditions normales, il fonctionne parfaitement, maintenant votre maison à la bonne température (c'est la performance bénigne).

Cependant, une attaque par porte dérobée est comme un saboteur qui reconfigure secrètement le thermostat.

• Mode normal : Lorsque vous réglez la température à 21 °C, tout fonctionne bien. Vous ne pouvez pas distinguer un thermostat sûr d'un thermostat piraté.
• Mode déclencheur : Le saboteur ajoute un code secret. Si vous chuchotez une phrase spécifique (le déclencheur) ou si le réseau électrique fluctue d'une manière particulière, le thermostat décide soudainement de chauffer à 38 °C ou de faire geler les tuyaux.

Dans le monde quantique, ce « chauffage à 38 °C » pourrait signifier que l'ordinateur vous donne une mauvaise réponse pour un calcul scientifique ou force un algorithme financier à effectuer un mauvais échange.

2. Les trois façons dont le piège est caché

Le document classe la manière dont ces pièges sont installés en trois méthodes distinctes, passant de l'« ancien système » aux « astuces quantiques de haute technologie ».

A. La « recette empoisonnée » (empoisonnement des données)

• L'analogie : Imaginez un chef enseignant à un étudiant à cuisiner. L'étudiant apprend en goûtant les plats. Le saboteur glisse une quantité minuscule et invisible d'une épice étrange dans 5 à 10 % des ingrédients.
• Fonctionnement : L'étudiant (le circuit quantique) apprend à cuisiner le plat parfaitement sauf si cette épice étrange est présente. Si l'épice est là, le plat a un goût terrible ou change de couleur.
• Le défaut : Cette méthode est fragile. Si vous changez le pot de cuisson (le compilateur) ou si la cuisine est un peu bruyante (bruit quantique), l'épice pourrait être emportée ou l'astuce cesser de fonctionner. Cela fonctionne principalement pour des tâches simples comme le tri d'images, pas pour des mathématiques complexes.

B. Le « plan trafiqué » (attaques au niveau du compilateur)

• L'analogie : Imaginez que vous donnez à un constructeur un plan propre et parfait. Le constructeur l'emmène dans un bureau de traduction (le compilateur) pour le convertir dans une langue que l'équipe de construction comprend. Le saboteur est le traducteur.
• Fonctionnement : Le plan semble parfait sur votre bureau. Mais lorsque le traducteur le traite, il glisse une instruction cachée qui n'apparaît que dans le plan de construction final. Le constructeur ne voit jamais le piège ; seule la machine finale le possède.
• Le défaut : C'est plus difficile à attraper car le plan original semble innocent. Cependant, cela ne fonctionne généralement que pour des types spécifiques de projets de construction et pourrait échouer si vous utilisez un service de traduction différent.

C. Le « fantôme sensible à l'environnement » (attaques natives quantiques)

• L'analogie : C'est le piège le plus sophistiqué. Imaginez un fantôme qui n'apparaît que lorsque le vent souffle du Nord et que la température est exactement de 6 °C.
• Fonctionnement : Au lieu de modifier les ingrédients ou le plan, le saboteur ajuste les paramètres internes de la machine de sorte qu'elle se comporte normalement 99 % du temps. Mais si la machine fonctionne sur un type spécifique de matériel avec un certain type de « bruit statique » (courant dans les ordinateurs quantiques actuels), le piège s'active.
• La surprise : Le document souligne que ces attaques peuvent même tromper les propres « filtres de sécurité » de la machine (appelés extrapolation à bruit zéro). C'est comme un fantôme qui se cache à l'intérieur du filet de sécurité lui-même, faisant croire à la machine qu'elle est sûre alors qu'elle est en réalité défectueuse.

3. Pourquoi les défenses actuelles échouent

Le document examine les « gardes de sécurité » actuels qui tentent d'attraper ces saboteurs, et il indique qu'ils cherchent principalement au mauvais endroit.

• Garde 1 (QSentry) : Ce garde examine la sortie. Si le thermostat souffle soudainement de l'air chaud, le garde déclenche une alarme.
  • Pourquoi cela échoue : Les nouveaux pièges « Fantôme » ne soufflent pas d'air chaud sauf si les conditions de vent spécifiques sont réunies. Si le garde ne se tient pas dans ce vent spécifique, il ne voit rien.
• Garde 2 (TrojanNet) : Ce garde examine la structure du plan. Il vérifie si des fils supplémentaires ont été ajoutés.
  • Pourquoi cela échoue : Les pièges « Fantôme » n'ajoutent pas de fils supplémentaires ; ils ajustent simplement les paramètres des fils existants. Le plan semble parfaitement normal, donc le garde le laisse passer.

4. L'avenir : Un jeu du chat et de la souris

Le document conclut que, à mesure que les ordinateurs quantiques s'améliorent, les pièges deviendront plus intelligents.

• La menace future : Les attaquants créeront des pièges qui s'adaptent au matériel spécifique sur lequel ils s'exécutent, modifiant leur comportement en fonction du « bruit » de la machine.
• La défense future : Nous ne pouvons pas nous contenter d'examiner le plan ou la sortie. Nous avons besoin d'une vérification de sécurité « à l'échelle du système » qui comprend comment la machine quantique, le logiciel et le matériel physique interagissent. Nous devons tester la machine dans de nombreuses « conditions météorologiques » différentes (niveaux de bruit) pour voir si le fantôme apparaît.

Résumé

Ce document nous avertit que compter sur des circuits quantiques préfabriqués est risqué. De mauvais acteurs peuvent cacher des pièges qui ressemblent à des circuits normaux jusqu'à ce qu'une condition secrète spécifique soit remplie. Bien que nous disposions de moyens pour attraper des pièges simples, les nouveaux pièges quantiques sophistiqués sont actuellement invisibles pour nos outils de sécurité standard. Nous devons développer de nouveaux systèmes de sécurité « conscients du quantique » pour protéger ces machines avant qu'elles ne soient utilisées pour des tâches critiques dans le monde réel.

Résumé technique

Résumé technique : Menaces de porte dérobée dans les circuits quantiques variationnels

Énoncé du problème

Les algorithmes quantiques variationnels (VQA) constituent un paradigme de premier plan pour réaliser un avantage quantique sur les dispositifs quantiques à échelle intermédiaire et bruyants (NISQ). Cependant, le déploiement pratique des VQA repose fortement sur des circuits quantiques variationnels (VQC) prédéfinis et préentraînés, souvent issus de tiers ou de dépôts partagés. Cette dépendance introduit des vulnérabilités de sécurité critiques, notamment des attaques par porte dérobée.

Contrairement à l'apprentissage automatique classique, où les portes dérobées sont souvent déclenchées par des perturbations d'entrée, les VQC font face à des menaces uniques en raison de leur nature hybride quantique-classique, de leur dépendance à des profils de bruit matériels spécifiques et de la prévalence des stratégies de transfert de paramètres. Ces attaques intègrent des comportements malveillants cachés qui restent dormants dans des conditions de fonctionnement normales mais s'activent lors de déclencheurs spécifiques, conduisant à des résultats adverses tels que des étiquettes de classification incorrectes, des valeurs d'objectif manipulées dans des tâches d'optimisation (par exemple, VQE, QAOA) ou des résultats de simulation scientifique déformés. Le caractère furtif de ces attaques sape la confiance dans les modèles partagés et pose des risques significatifs pour les applications critiques pour la sécurité et les écosystèmes quantiques collaboratifs.

Méthodologie et taxonomie

Ce document présente un examen structuré et une taxonomie des menaces de porte dérobée dans les VQC, classant les attaques existantes et émergentes en trois domaines principaux basés sur le mécanisme d'injection et d'activation :

1. Portes dérobées de type réseau de neurones classique (empoisonnement de données)

Ces attaques reflètent les stratégies classiques de porte dérobée, où des adversaires injectent des échantillons empoisonnés avec des déclencheurs d'entrée spécifiques dans l'ensemble de données d'entraînement.

• Mécanisme : Le VQC est optimisé à l'aide d'une fonction de perte composite ($L_{VQC} = L_{benin} + \lambda L_{mal}$) pour maintenir des performances élevées sur des données propres tout en produisant des sorties spécifiées par l'attaquant lorsque des déclencheurs sont présents.
• Limitations : Ces approches nécessitent généralement des taux d'empoisonnement élevés (5–10 %), sont limitées principalement aux tâches de classification et manquent de conception spécifique au quantique. Elles sont hautement fragiles ; la compilation, la transpilation et le bruit quantique déforment ou éliminent souvent le déclencheur, rendant l'attaque inefficace dans des environnements NISQ réels.

2. Portes dérobées activées par la compilation

Ces attaques visent la couche de compilation quantique (par exemple, les chaînes d'outils Qiskit) plutôt que les données d'entraînement.

• Mécanisme : Les adversaires manipulent le processus de compilation (transpilation, décomposition de portes, synthèse) pour injecter des opérations malveillantes ou modifier les structures de circuits. Des cadres notables incluent QTrojan (injection de portes autour des couches d'encodage), QuPT (exploitation des propriétés au niveau des portes) et QDoor (exploitation des écarts entre les circuits avant et après compilation).
• Caractéristiques : Ces attaques offrent une grande furtivité car la spécification de haut niveau du circuit reste inchangée, échappant ainsi à la vérification avant le déploiement. La porte dérobée est intégrée dans le circuit exécutable et peut être déclenchée conditionnellement au moment de l'exécution ou rester toujours active. Cependant, leur efficacité est souvent liée à des stratégies de compilation et des mappages matériels spécifiques.

3. Portes dérobées natives quantiques

Ces attaques exploitent les propriétés intrinsèques des systèmes quantiques, telles que les paysages de paramètres, les caractéristiques de bruit et les procédures d'atténuation des erreurs.

• Mécanisme : Une approche représentative implique le transfert de paramètres déclenché par le bruit. Au lieu de l'empoisonnement des données, les adversaires manipulent l'initialisation des paramètres ou les configurations d'entraînement pour intégrer un comportement malveillant directement dans l'espace des paramètres.
• Activation : La porte dérobée n'est activée que dans des conditions dépendantes du matériel, telles que des profils de bruit particuliers, une connectivité des qubits ou lors de l'exécution de techniques d'atténuation des erreurs comme l'extrapolation à bruit nul (ZNE).
• Impact : En perturbant les paramètres du circuit, l'attaque peut biaiser le processus d'extrapolation ZNE, conduisant à des valeurs d'objectif déformées et à des résultats d'optimisation incorrects. Ces attaques sont robustes face à la compilation et à la transpilation car le comportement malveillant est encodé dans les paramètres plutôt que dans la structure du circuit.

Contributions clés

L'article synthétise les avancées récentes pour fournir un aperçu complet du paysage de sécurité des VQC :

• Terminologie formelle : Les auteurs définissent des termes clés incluant VQC bénin, VQC porte dérobée, Déclencheur, Taux de réussite de l'attaque (ASR) et Furtivité, établissant un vocabulaire unifié pour le domaine.
• Modélisation des menaces : L'examen caractérise les menaces selon trois dimensions : les objectifs de l'attaquant (comportement erroné furtif), les capacités (contrôle sur les données, la compilation ou l'exécution) et les scénarios (ensembles de données tiers, plateformes et modèles préentraînés).
• Analyse critique des défenses : L'article évalue les stratégies actuelles de détection et de défense, mettant en évidence leurs limites :
  • QSentry : Un cadre de détection basé sur la sortie qui regroupe les statistiques de mesure. Il est efficace contre les attaques déclenchées par l'entrée mais échoue face aux attaques qui préservent les distributions de sortie ou ciblent les objectifs d'optimisation.
  • TrojanNet : Un cadre de détection basé sur la structure utilisant des CNN pour identifier des motifs de circuits anormaux. Il est inefficace contre les portes dérobées qui préservent la topologie du circuit (par exemple, les manipulations au niveau des paramètres).
  • Limite générale : Les défenses existantes reposent largement sur des signatures classiques (déclencheurs d'entrée ou anomalies structurelles) et sont insuffisantes face aux menaces natives quantiques qui exploitent le bruit, les paysages de paramètres ou l'atténuation des erreurs.

Résultats et constatations

L'examen passe en revue des études représentatives (résumées dans le tableau 1) démontrant que :

• Les attaques par empoisonnement de données peuvent atteindre un ASR élevé (>97 %) dans des environnements contrôlés mais souffrent d'une faible robustesse dans les flux de travail NISQ pratiques en raison de la compilation et du bruit.
• Les attaques au niveau du compilateur contournent avec succès les défenses centrées sur les données mais sont souvent limitées à des flux de travail spécifiques et à des tâches de classification.
• Les attaques natives quantiques (par exemple, celles ciblant le ZNE) représentent un modèle de menace plus puissant, capable de manipuler les résultats d'optimisation dans les VQE et QAOA sans empoisonnement de données, tout en restant robustes face à la compilation et furtives sous une validation standard.

Importance et orientations futures

L'article soutient que, à mesure que les VQA se dirigent vers un déploiement pratique, la sécurité doit évoluer des défenses inspirées du classique vers des approches conscientes du quantique et au niveau du système.

• Menaces émergentes : Les futures attaques devraient devenir de plus en plus adaptatives, répondant dynamiquement aux conditions matérielles (niveaux de bruit, dérive de calibration) et ciblant l'ensemble de la pile hybride quantique-classique.
• Exigences de défense : Les défenses efficaces doivent aller au-delà des couches de détection isolées. Les auteurs proposent un cadre holistique intégrant une analyse multi-niveaux, incluant l'inspection de la structure du circuit, l'audit de l'espace des paramètres et la surveillance du comportement d'exécution dans diverses conditions de bruit.
• Conclusion : Sécuriser les VQC reste un défi de recherche ouvert. L'article souligne que la protection de ces systèmes nécessite de traiter l'interaction unique entre les algorithmes quantiques, les processus de compilation et les techniques d'atténuation des erreurs, plutôt que de s'appuyer uniquement sur les paradigmes traditionnels de sécurité de l'apprentissage automatique.