Feature-level analysis and adversarial transfer in rotationally equivariant quantum machine learning

Questo studio dimostra che l'equivarianza nei modelli quantistici non garantisce di per sé la robustezza agli attacchi avversariali, poiché questi possono sfruttare statistiche fragili nello spazio delle caratteristiche invarianti, ma suggerisce che sopprimere i settori di simmetria associati a tali caratteristiche può migliorare significativamente la resilienza del modello.

L'essenziale

Immagina di avere un detective quantistico molto speciale. Questo detective è stato addestrato per risolvere un caso (riconoscere un'immagine, come un numero scritto a mano) ma ha una regola ferrea: non può mai cambiare la sua risposta se l'immagine viene ruotata. Se vedi un "3" e lo giri di 90 gradi, il detective deve continuare a dire "è un 3". Questa è la "equivarianza rotazionale".

Il problema è: questo detective è sicuro? Se qualcuno gli mostra un'immagine modificata apposta per ingannarlo (un "attacco avversario"), il detective crollerà?

Gli autori di questo studio hanno scoperto che, anche se il detective segue la regola della rotazione, non è automaticamente invincibile. Anzi, a volte è ingenuo e si fida di indizi molto fragili.

Ecco la spiegazione semplice di cosa hanno scoperto, usando delle metafore:

1. Il Detective e la sua "Lente Magica"

Immagina che il nostro detective guardi le immagini non come un normale essere umano, ma attraverso una lente magica che trasforma l'immagine in una serie di anelli concentrici (come le increspature in uno stagno).

• La regola della "equivarianza" dice: "Non importa da dove guardi l'anello, l'informazione deve essere la stessa".
• Gli scienziati hanno scoperto che, attraverso questa lente, il detective vede solo certe statistiche matematiche. In particolare, vede molto chiaramente la luminosità media di ogni anello (quanto è scuro o chiaro il cerchio in media), ma ignora i dettagli specifici della forma.

2. L'Inganno: Il "Trucco del Ring"

Il detective è stato addestrato su molti esempi. Ha imparato che per distinguere un "3" da un "5", spesso basta guardare quanto è scuro l'anello centrale.

• Il problema: Questo è un trucco! Un attaccante intelligente (un "hacker") sa che il detective si fida ciecamente della "luminosità media degli anelli". Quindi, l'hacker non ha bisogno di cambiare la forma del numero; basta che modifichi leggermente la luminosità degli anelli per confondere il detective.
• La scoperta: Anche se il detective è "robusto" contro le rotazioni, è fragile contro questi piccoli trucchi sulla luminosità. È come se un guardiano di un castello fosse bravissimo a difendersi dai ladri che entrano dalla porta principale (le rotazioni), ma venisse facilmente ingannato da qualcuno che gli sussurra una parola chiave sbagliata (la luminosità).

3. La Soluzione: "Spegnere" l'orecchio sbagliato

Gli scienziati hanno pensato: "E se togliessimo al detective la capacità di ascoltare quella specifica informazione fragile?"
Hanno creato una nuova versione del detective a cui hanno chiuso l'orecchio dedicato alla "luminosità media degli anelli" (in termini tecnici, hanno proiettato fuori la modalità $m=0$).

• Risultato: Questo nuovo detective è diventato molto più intelligente. Non potendo più fidarsi del trucco della luminosità, è costretto a guardare altri indizi più complessi (come le correlazioni tra gli anelli) che sono molto più difficili da falsificare.
• Il paradosso: Paradossalmente, togliendo una parte dell'informazione, il detective è diventato più sicuro e meno ingannabile.

4. Il Test di Trasferimento: L'Inganno a Distanza

Per testare la sicurezza, hanno usato un trucco classico: hanno addestrato un "finto detective" classico (un computer normale) a ingannare il detective quantistico.

• Hanno scoperto che il detective quantistico è stato ingannato molto facilmente dal finto detective classico, proprio perché entrambi si basavano sullo stesso trucco fragile (la luminosità degli anelli).
• Ma quando hanno usato il detective con l'"orecchio chiuso" (quello che ignora la luminosità media), il trucco ha smesso di funzionare. Il finto detective classico non sapeva più come ingannarlo.

In Sintesi: Cosa ci insegna questo?

1. La simmetria non è una panacea: Fare in modo che un'intelligenza artificiale rispetti le regole di simmetria (come la rotazione) è utile, ma non la rende automaticamente sicura contro gli hacker.
2. Attenzione agli indizi facili: Le intelligenze artificiali tendono a prendere scorciatoie. Se c'è un indizio facile da usare (come la luminosità media), lo useranno, anche se è un punto debole.
3. La soluzione è la selezione: Per rendere le macchine più sicure, dobbiamo insegnar loro a ignorare gli indizi fragili e a concentrarsi su quelli più ricchi e complessi. È come insegnare a un detective a non fidarsi delle apparenze, ma a cercare prove più profonde.

In conclusione, questo studio ci dice che per costruire intelligenze artificiali quantistiche sicure, non basta renderle "simmetriche"; dobbiamo anche capire su quali indizi si basano e togliere loro la possibilità di affidarsi a quelli più deboli.

Sommario tecnico

1. Il Problema

L'apprendimento automatico quantistico (QML) geometrico utilizza architetture equivarianti rispetto a gruppi di simmetria (come rotazioni, permutazioni o traslazioni) per migliorare l'induzione bias e garantire la trainabilità dei modelli. Tuttavia, rimane poco chiaro come i vincoli di simmetria influenzino la robustezza avversaria di questi modelli.
In particolare, la domanda centrale è: l'equivarianza garantisce automaticamente una maggiore resistenza agli attacchi avversari, specialmente nel contesto degli attacchi di trasferimento (dove un attacco generato su un modello classico "surrogato" viene trasferito su un modello quantistico target)?
La letteratura classica suggerisce che la vulnerabilità agli attacchi deriva dal fatto che i modelli si basano su "caratteristiche fragili" (brittle features). Non è noto se i modelli quantistici equivarianti siano intrinsecamente immuni a questo problema o se, all'interno dello spazio delle caratteristiche invarianti, possano comunque affidarsi a statistiche vulnerabili.

2. Metodologia

Gli autori analizzano un modello quantistico specificamente progettato per essere equivariante rispetto alle rotazioni (introdotti in riferimento [5]), utilizzando un approccio di analisi a livello di caratteristiche (feature-level analysis).

A. Caratterizzazione Teorica (Twirling)

Il lavoro si basa sul concetto di "twirling" (mescolamento) di gruppo. Per un modello quantistico equivariante con una lettura (readout) invariante, le previsioni dipendono solo dalla parte dell'input che è invariante sotto l'azione del gruppo.

• Analisi dello spazio accessibile: Gli autori derivano una caratterizzazione esplicita delle informazioni accessibili al modello. Per il modello rotazionale, l'input viene codificato in registri radiali e orbitali. Dopo l'applicazione della trasformata di Fourier quantistica (QFT) sul registro orbitale, il modello può accedere solo alle statistiche invarianti per rotazione.
• Decomposizione in settori di simmetria: Queste statistiche si decompongono in diversi settori di simmetria (modi di Fourier $m$).
  • Il settore $m=0$ corrisponde alle intensità medie anulari (ring-averaged intensities).
  • I settori $m \neq 0$ catturano variazioni strutturate dell'intensità attorno agli anelli (correlazioni circolari).

B. Trasformazioni di Input Diagnostiche

Per verificare quali statistiche il modello utilizza effettivamente dopo l'addestramento, gli autori introducono tre trasformazioni di input controllate:

1. T1 (Scrambling ortogonale): Mantiene tutte le correlazioni circolari invarianti (preserva lo spazio accessibile) ma mescola l'ordine angolare. Serve come controllo di coerenza.
2. T2 (Permutazione anulare): Mantiene le medie anulari ma distrugge la struttura di correlazione di ordine superiore.
3. T3 (Rimozione della media anulare): Rimuove le medie anulari ($m=0$) ma preserva le correlazioni relative.

C. Valutazione della Robustezza

Viene valutata la robustezza agli attacchi di trasferimento utilizzando modelli classici surrogati (Lineare, MLP, CNN, ResNet18) addestrati con metodi come FGSM (Fast Gradient Sign Method) e PGD (Projected Gradient Descent). Gli attacchi vengono generati sui surrogati e trasferiti al modello quantistico target.

3. Contributi Chiave

1. Mappatura delle Caratteristiche Accessibili: Forniscono una caratterizzazione teorica rigorosa che mostra come l'equivarianza rotazionale limiti l'input del modello a statistiche di correlazione circolare, decomponibili in settori di simmetria specifici.
2. Identificazione di Caratteristiche Fragili: Dimostrano che l'equivarianza da sola non garantisce la robustezza. Anche nello spazio ristretto delle statistiche invarianti, il modello può affidarsi a caratteristiche "fragili". In particolare, identificano le intensità medie anulari (settore $m=0$) come la fonte principale di vulnerabilità agli attacchi di trasferimento.
3. Meccanismo di Miglioramento della Robustezza: Propongono e validano una strategia architetturale per migliorare la robustezza: sopprimere il canale di simmetria associato alle caratteristiche fragili (proiettando fuori il modo $m=0$ durante la misurazione).

4. Risultati Principali

• Dipendenza dai Dataset: L'importanza delle caratteristiche varia a seconda del dataset. Su dataset come STM, RotFMNIST e CIFAR, il modello addestrato su dati puliti dipende fortemente dalle medie anulari (T2 mantiene alta accuratezza, T3 la riduce drasticamente). Su MNIST, invece, le correlazioni di ordine superiore (preservate in T3) sono più critiche.
• Vulnerabilità delle Medie Anulari: I modelli che fanno affidamento sulle medie anulari mostrano una bassa robustezza agli attacchi di trasferimento, specialmente quando i surrogati classici (come i classificatori lineari) sfruttano le stesse statistiche.
• Efficacia della Soppressione del Modo $m=0$:
  • L'addestramento avversario (adversarial training) migliora la robustezza ma spesso a scapito dell'accuratezza sui dati puliti (trade-off noto).
  • La proiezione del modo $m=0$ (rimozione delle medie anulari) durante la misurazione offre un miglioramento della robustezza consistente su tutti i surrogati, mantenendo un'accuratezza sui dati puliti superiore rispetto all'addestramento avversario. Questo dimostra che è possibile eliminare le caratteristiche "fragili" senza distruggere l'informazione necessaria per il compito.
• Trasferibilità: Gli attacchi di trasferimento sono efficaci perché i modelli quantistici e i surrogati classici (specialmente quelli lineari o MLP addestrati sulla stessa rappresentazione radiale-orbitale) tendono a basarsi sulle stesse statistiche invarianti (le medie anulari).

5. Significato e Implicazioni

Questo studio stabilisce un meccanismo sistematico per comprendere e migliorare la robustezza avversaria nei modelli QML basati sulla simmetria:

• Non è la simmetria in sé a garantire la sicurezza: L'equivarianza riduce lo spazio delle caratteristiche, ma all'interno di questo spazio possono coesistere caratteristiche robuste e fragili.
• Analisi Meccanicistica: Fornisce un quadro per analizzare quali caratteristiche un modello sta effettivamente utilizzando, andando oltre la semplice osservazione delle prestazioni.
• Strategia Architetturale: La possibilità di sopprimere selettivamente i canali di simmetria associati a caratteristiche non robuste offre una nuova via per progettare modelli QML più sicuri, senza necessariamente ricorrere a costosi addestramenti avversari o aumentazioni dei dati.
• Privacy e Offuscamento: Le trasformazioni identificate (come T1) potrebbero essere utilizzate per offuscare i dati sensibili mantenendo l'utilità per l'addestramento di modelli equivarianti, poiché le statistiche invarianti rimangono intatte.

In sintesi, il lavoro dimostra che l'analisi a livello di caratteristiche è fondamentale per sbloccare il potenziale di robustezza dei modelli quantistici geometrici, trasformando la conoscenza della struttura di simmetria in uno strumento pratico per la difesa contro gli attacchi avversari.