Can Quantum Federated Learning Withstand Circuit-Level Backdoors?

Cet article présente le modèle de menace CULT (CircUit-Level backdoor Threat) pour démontrer comment des clients malveillants peuvent exploiter des mécanismes spécifiques aux quantiques dans l'apprentissage fédéré quantique afin d'induire furtivement une dégradation sévère de la précision, révélant ainsi que les mécanismes de défense existants échouent souvent à prévenir les pires scénarios d'échec.

L'essentiel

Imaginez un groupe de voisins essayant de construire un seul livre de recettes de cuisine ultra-intelligent. Au lieu de partager leurs recettes familiales secrètes (qui contiennent des données privées), ils conservent chacun leurs recettes chez eux. Chaque semaine, ils envoient uniquement les modifications apportées à leurs recettes à un organisateur central, qui les mélange tous pour créer une version « globale » améliorée. C'est l'Apprentissage Fédéré.

Maintenant, imaginez que ce groupe commence à utiliser des Ordinateurs Quantiques (des machines qui utilisent les règles étranges de la physique pour traiter l'information) pour aider à rédiger ces recettes. C'est l'Apprentissage Fédéré Quantique (QFL).

Ce papier introduit une nouvelle façon effrayante pour un « mauvais voisin » de ruiner tout le livre de recettes sans que personne ne s'en aperçoive. Les auteurs appellent cela la CULT (Menace de porte dérobée au niveau du Circuit).

Voici la décomposition du fonctionnement, en utilisant des analogies simples :

1. La Configuration : Le Livre de Recettes Quantique

Dans ce système, chaque voisin possède un « Circuit Quantique ». Imaginez ce circuit comme une machine complexe à multiples étapes qui transforme des ingrédients (données) en une instruction de cuisine (une prédiction).

• Les Bons Voisins : Ils ajustent légèrement leurs machines pour améliorer la recette globale.
• Le Mauvais Voisin : Il veut saboter le livre afin que, par exemple, toutes les images de chats soient mal identifiées comme des chiens, tandis que le reste du livre semble parfait.

2. L'Attaque : Le Modèle « CULT »

L'article soutient que les mesures de sécurité actuelles ne savent pas repérer un mauvais voisin qui manipule l'intérieur de sa machine quantique. Les auteurs proposent quatre façons spécifiques dont un mauvais voisin peut saboter le système :

• L'Attaque « Grover » (Le Déclencheur Caché) : Imaginez que le mauvais voisin installe un interrupteur secret dans sa machine. Si vous lui donnez une image de chat avec une toute petite poussière spécifique (un déclencheur), la machine actionne l'interrupteur et crie « CHIEN ! ». Cela est réalisé en modifiant la façon dont les ondes quantiques interfèrent entre elles.
• L'Attaque « Pauli » (L'Ajustement de Spin) : Les particules quantiques possèdent une propriété appelée « spin ». Le mauvais voisin fait tourner subtilement ces spins. C'est comme pencher légèrement l'aiguille d'une boussole. Cela ne brise pas la machine, mais il dirige lentement la recette globale dans la mauvaise direction.
• L'Attaque « Bit-Flip » (Le Dysfonctionnement Occasionnel) : Imaginez que la machine du mauvais voisin fonctionne parfaitement 9 fois sur 10, mais à la 10e fois, elle retourne une seule pièce de monnaie de Face à Pile. En procédant ainsi selon un motif très spécifique et rythmé, ils créent une dérive cachée dans les données qui ressemble au bruit normal pour l'organisateur.
• L'Attaque « Sign-Flip » (L'Odomètre Inversé) : C'est comme si la machine du mauvais voisin décidait soudainement que « Positif » signifie « Négatif ». Elle inverse la direction du signal d'apprentissage, indiquant efficacement au groupe de désapprendre la bonne réponse.

3. La Furtivité : Comment Ils Se Cachent

La partie la plus effrayante de ce papier est la façon dont le mauvais voisin se cache.

• L'astuce de la « Norme » : La plupart des systèmes de sécurité vérifient si la mise à jour d'un voisin est « trop grande » ou « trop étrange » (comme vérifier si un changement de recette fait 100 pages). Le mauvais voisin de cette étude fait en sorte que ses mises à jour de sabotage semblent avoir une taille normale. Il ajuste sa machine quantique juste assez pour causer des dégâts, mais pas assez pour paraître suspect à la règle.
• L'astuce de l'« Histoire » : Le mauvais voisin tient un journal de ce que font habituellement les bons voisins. Lorsqu'il envoie sa mise à jour de sabotage, il la déguise pour qu'elle ressemble exactement à quelque chose qu'un bon voisin enverrait. Il ajoute même un peu de « bruit » (statique) pour qu'elle ressemble à une mesure quantique normale et désordonnée.

4. Les Résultats : À quel point est-ce grave ?

Les auteurs ont testé cela sur deux ensembles de données célèbres (MNIST et CIFAR-10), qui sont comme des examens standards pour l'IA.

• Une Pomme Pourrie : Même si un seul voisin sur 20 est mauvais (5 %), les performances de tout le groupe peuvent s'effondrer.
  • Sur le test MNIST, la précision est passée de 92 % à 40 %.
  • Sur le test CIFAR-10, la précision est passée de 70 % à 34 %.
• L'Échec de la Défense : L'article a testé des outils de sécurité populaires (comme « Krum » ou « FoolsGold ») censés exclure les mauvais voisins.
  • Le Résultat : Ces outils ont échoué à arrêter les pires attaques. Dans de nombreux cas, la précision a tout de même chuté de 50 %.
  • Pourquoi ? Parce que les mauvaises mises à jour ressemblaient tellement aux bonnes que les outils de sécurité ne pouvaient pas faire la différence. C'est comme un voleur portant un uniforme de police parfait ; le gardien de sécurité le laisse passer.

5. La Conclusion

L'article conclut que l'Apprentissage Fédéré Quantique est actuellement très vulnérable à ces types spécifiques d'attaques au niveau du circuit.

• Les défenses actuelles sont comme chercher une aiguille dans une botte de foin, mais le mauvais voisin a transformé l'aiguille en un brin de foin qui ressemble exactement au reste.
• Les auteurs avertissent que nous ne pouvons pas simplement nous fier à la « moyenne » des résultats ou vérifier les « tailles étranges ». Nous avons besoin de nouvelles méthodes de sécurité qui comprennent la physique spécifique des circuits quantiques pour attraper ces saboteurs furtifs.

En bref : Un seul utilisateur malveillant peut secrètement recâbler le « moteur » quantique d'un projet d'apprentissage partagé pour le faire échouer de manière spectaculaire, et les gardes de sécurité actuels sont trop occupés à vérifier les « bruits forts » pour remarquer le sabotage silencieux.

Résumé technique

Résumé Technique : L'Apprentissage Fédéré Quantique Résiste-t-il aux Backdoors de Niveau Circuit ?

Énoncé du Problème

L'Apprentissage Fédéré Quantique (QFL) combine la nature préservant la confidentialité de l'Apprentissage Fédéré (FL) avec les avantages computationnels des Circuits Quantiques Paramétrés (PQC). Bien que le FL soit connu pour être vulnérable à des clients malveillants injectant des backdoors, le QFL introduit une surface d'attaque nouvelle : la circuiterie quantique elle-même. Les recherches existantes n'ont pas analysé de manière exhaustive comment des clients malveillants peuvent exploiter des mécanismes spécifiques au quantique (tels que la superposition, l'intrication et les statistiques de mesure) pour lancer des attaques par backdoor furtives. La question centrale abordée est de savoir si le QFL peut résister aux attaques par backdoor de niveau circuit posées par des clients malveillants opérant dans les contraintes de la fidélité quantique et de l'optimisation décentralisée.

Méthodologie : Le Modèle CULT

Les auteurs proposent un nouveau modèle de menace nommé CircUit-Level backdoor Threat (CULT). Ce modèle formalise quatre vecteurs d'attaque distincts et furtifs qui exploitent à la fois les phases en cours d'entraînement (exécution du circuit) et post-entraînement (transmission des mises à jour) du QFL.

1. Surfaces d'Attaque

Le modèle CULT opère sur deux surfaces :

• Surface S1 (En cours d'entraînement/Niveau Circuit) : Les clients malveillants remplacent la couche quantique variationnelle bénigne par un circuit d'attaque spécifique lors des tours d'entraînement local avec une certaine probabilité ($\rho$). Ils ajustent également la fonction de perte lors des tours empoisonnés pour amplifier le signal du gradient.
• Surface S2 (Post-entraînement/Confection de Mises à Jour) : Après l'optimisation locale, les clients malveillants transforment leurs mises à jour brutes avant transmission. Ils utilisent un historique de mises à jour semblables aux mises à jour bénignes pour fabriquer des deltas qui restent proches de la variété des mises à jour bénignes, évitant ainsi efficacement les défenses basées sur la norme et le clustering.

2. Quatre Attaques Proposées

L'article introduit quatre attaques spécifiques de niveau circuit, toutes conçues pour rester à proximité des mises à jour bénignes :

1. Attaque par Oracle de Phase de Grover : Applique un retournement de phase conditionnel à un état de base computationnel marqué ($|\omega\rangle$) en utilisant un opérateur oracle $O_\omega$. Cela altère les motifs d'interférence dans les couches ultérieures du circuit, biaisant le vecteur de caractéristiques mesuré avant qu'il ne soit traité par la tête classique.
2. Attaque par Rotation de Pauli : Applique des rotations de Pauli cohérentes en produit tensoriel à un sous-ensemble sélectionné de qubits. Cela déplace les statistiques de mesure tout en maintenant la proximité géométrique de la mise à jour par rapport aux mises à jour bénignes.
3. Attaque par Inversion de Bit : Inverse périodiquement un qubit désigné lors de tours spécifiques pour créer une dérive structurée, de basse fréquence, dans les statistiques des chaînes de bits, plutôt qu'un bruit aléatoire.
4. Attaque par Inversion de Signe de Rétroaction de Phase : Applique une phase de $\pi$ à un qubit mesuré, inversant le signe de l'attente de Pauli-Z correspondante. Cela induit des effets systématiques d'inversion de gradient après la rétropropagation.

3. Mécanisme de Confection de Mises à Jour

Pour assurer la furtivité, l'attaquant construit une mise à jour fabriquée ($\tilde{\Delta}\theta$) en :

• Ancrant la mise à jour à la référence bénigne historique la plus proche.
• Supprimant les principales composantes de l'historique bénin pour éviter les directions dominantes apprises par les défenses.
• Re-échelonnant la mise à jour pour correspondre à la distribution de norme statistique des clients bénins.
• Appliquant des contraintes de parcimonie pour imiter les structures de mises à jour bénignes.

Analyse Théorique

L'article établit une fondation théorique rigoureuse démontrant que, sous des hypothèses de régularité standard (L-lissité), les attaques CULT induisent une perturbation bornée de la trajectoire du modèle global.

• Contraintes de Furtivité : Les auteurs définissent un ensemble de furtivité réalisable où les mises à jour malveillantes sont contraintes par un rayon et un seuil de similarité cosinus par rapport à un centre robuste des deltas bénins.
• Dégradation de la Précision : Une condition suffisante est fournie montrant que si le modèle possède une masse non triviale de points près de la frontière de décision, la dérive bornée induite par les attaques est suffisante pour inverser les prédictions, provoquant une baisse mesurable de la précision. L'analyse prouve qu'un seul client malveillant peut induire une déviation significative de la trajectoire globale.

Résultats Expérimentaux

Des expériences ont été menées sur les ensembles de données MNIST et CIFAR-10 en utilisant des Réseaux de Neurones Quantiques Hybrides (QNN) avec respectivement 5 et 9 qubits, sous des répartitions de données non-IID (Dirichlet $\alpha=0.9$).

Principales Constatations :

1. Gravité des Attaques : Même un seul client malveillant ($q=5\%$) provoque une dégradation sévère de la précision sous l'agrégation FedAvg standard.
   • Sur MNIST, l'attaque de Grover a réduit la précision de 92,65 % à 40,95 % (une baisse d'environ 52 %).
   • Sur CIFAR-10, l'attaque de Grover a réduit la précision de 70,15 % à 34,87 %.
2. Échec des Défenses : Les méthodes d'agrégation robustes populaires (Krum, Multi-Krum, FoolsGold, FLGuardian, Mud-HoG) réduisent la dégradation dans de nombreux régimes mais échouent à éliminer les cas d'échec du pire scénario.
   • Dans des scénarios spécifiques, la précision chute jusqu'à 50 % même avec des défenses actives.
   • Certaines défenses (par exemple Krum) souffrent de « sous-apprentissage », où elles compriment les performances même en l'absence d'attaques, les rendant apparemment stables mais réduisant en réalité l'utilité du modèle.
3. Furtivité : Les attaques masquent efficacement leur présence. Les mises à jour malveillantes restent proches des normes bénignes, permettant aux attaquants d'échapper à la détection par des systèmes reposant sur des seuils d'anomalie ou des statistiques de gradient simples.
4. Non-Monotonie : La dégradation de la précision ne s'échelonne pas de manière monotone avec la fraction d'attaquants ($q$). En raison des répartitions non-IID et de la nature stochastique des mesures quantiques, la précision peut fluctuer, rendant invalides les heuristiques naïves (par exemple, « la précision doit baisser à mesure que les attaquants augmentent »).

Importance et Revendications

L'article revendique être le premier travail à analyser et formaliser de manière exhaustive les attaques par backdoor de niveau circuit dans le contexte du QFL. Son importance réside dans :

• Combler le Vide : Il unifie la conception d'attaques et l'analyse de furtivité au sein du QFL, respectant à la fois les contraintes de fidélité quantique et la nature décentralisée du FL.
• Remettre en Question les Défenses Actuelles : Les résultats démontrent que les techniques d'agrégation robustes actuelles sont insuffisantes face aux attaques conscientes du quantique, car les mises à jour malveillantes peuvent imiter la géométrie bénigne tout en dégradant sévèrement les performances du modèle.
• Validation Théorique : Le travail fournit une preuve théorique que des mises à jour bornées et contraintes par la furtivité peuvent inverser les prédictions et dégrader la précision, allant au-delà de l'observation empirique pour atteindre des garanties formelles de vulnérabilité.

Les auteurs concluent que les futures défenses doivent aller au-delà de la détection générique des valeurs aberrantes et intégrer des signaux conscients du quantique, tels que des vérifications de cohérence de niveau circuit et des contraintes de stabilité temporelle sur les distributions de mesure, pour contrer efficacement le modèle de menace CULT.