Defending Quantum Classifiers against Adversarial Perturbations through Quantum Autoencoders

Questo articolo propone un framework di difesa senza addestramento avversario per classificatori quantistici che utilizza un autoencoder quantistico per purificare campioni avversari e identificare input non pulibili, superando significativamente i metodi più avanzati in termini di accuratezza predittiva sotto attacchi avversari.

L'essenziale

Immagina di avere un robot molto intelligente che può guardare un'immagine di un numero scritto a mano (come un "7") e dirti esattamente cosa sia. Questo robot è un modello di Machine Learning Quantistico, una versione super-avanzata dell'intelligenza artificiale che utilizziamo oggi.

Tuttavia, proprio come un essere umano può essere ingannato da un trucco di magia, anche questo robot può essere tratto in inganno. Un attaccante può aggiungere un sottile strato invisibile di "statica" o "rumore" all'immagine. Ai tuoi occhi, il "7" sembra ancora un "7", ma il robot pensa all'improvviso che sia un "2". Questo è chiamato attacco avversario.

Gli autori di questo articolo volevano costruire uno scudo per questo robot in modo che non venisse ingannato. Ecco come l'hanno fatto, spiegato in modo semplice:

Il Problema dei Vecchi Scudi

Di solito, per insegnare a un robot a ignorare questi trucchi, devi mostrargli migliaia di immagini false e truccate e dire: "Questo è ancora un 7, non farti ingannare!". Questo è chiamato addestramento avversario.

• Il Problema: A volte non puoi farlo. Forse non sai che tipo di trucchi userà l'attaccante, o forse il robot diventa così bravo a individuare un trucco specifico da dimenticare come gestire quelli nuovi. È come studiare solo per un tipo specifico di esame di matematica e fallire quando le domande cambiano leggermente.

La Nuova Soluzione: Il "Quantum Autoencoder" (Il Filtro Magico)

Invece di riaddestrare il robot, gli autori hanno costruito un Quantum Autoencoder (QAE). Pensalo come un filtro fotografico high-tech o come un cuffia con cancellazione del rumore per le immagini.

1. Il Filtro: Prima che il robot guardi l'immagine, il QAE prende l'immagine (anche quella con il rumore invisibile) e cerca di "ricostruirla".
2. La Purificazione: Il QAE viene addestrato solo su immagini pulite e perfette. Quando vede un'immagine rumorosa e truccata, cerca di rimuovere il rumore strano e ricostruire l'immagine basandosi su ciò che sa che un'immagine "vera" dovrebbe essere. È come un restauratore che pulisce un dipinto fangoso per rivelare l'opera d'arte originale sottostante.
3. Il Risultato: Il robot guarda poi questa versione ripulita. Poiché il rumore è sparito, il robot può identificare correttamente il "7" di nuovo.

Il "Misuratore di Fiducia" (Il Buttafuori)

A volte, il rumore è così forte che il filtro non riesce a pulire perfettamente l'immagine. Se il robot cerca di indovinare su un'immagine disordinata, potrebbe comunque sbagliare.

Per risolvere questo problema, gli autori hanno aggiunto un Misuratore di Fiducia. Questo agisce come un buttafuori severo in un club:

• Il Controllo: Il sistema controlla due cose:
  1. Quanto bene il filtro ha pulito l'immagine? (Il rumore è scomparso?)
  2. Quanto è sicuro il robot? (Il robot è certo che sia un "7" o sta indovinando?)
• La Decisione: Se l'immagine è ancora troppo disordinata o il robot non è sicuro, il buttafuori dice: "Nessun ingresso!" e rifiuta il campione. Non fa un'ipotesi sbagliata; si rifiuta semplicemente di rispondere, il che è meglio che mentire.

Cosa Hanno Scoperto

Il team ha testato questo su famosi dataset di immagini (MNIST per i numeri e FashionMNIST per i vestiti).

• I Risultati: Quando gli attaccanti usavano trucchi potenti per ingannare il robot, i vecchi metodi (usando filtri informatici standard) fallivano miseramente, con l'accuratezza che scendeva vicino allo zero.
• La Vittoria: Il loro nuovo sistema (QAE++) ha mantenuto il robot funzionante correttamente. In alcuni casi, ha migliorato l'accuratezza del robot del 68% rispetto ai migliori metodi esistenti.
• Efficienza: Il loro filtro quantistico era anche molto più piccolo e leggero dei vecchi filtri informatici, richiedendo molta meno memoria per essere eseguito.

In Sintesi

L'articolo propone un modo per proteggere l'IA quantistica dall'essere ingannata senza bisogno di riaddestrarla su ogni possibile trucco. Usano un filtro quantistico per pulire le immagini e un misuratore di fiducia per rifiutare tutto ciò che sembra troppo sospetto. Questo mantiene l'IA accurata e affidabile, anche quando qualcuno cerca di introdurre rumore invisibile per confonderla.

Sommario tecnico

1. Enunciato del Problema

I Classificatori Quantistici Variazionali (VQC) stanno emergendo come strumenti potenti per l'apprendimento automatico, offrendo potenziali vantaggi in termini di efficienza dei parametri rispetto ai modelli classici. Tuttavia, come i loro corrispettivi classici, i VQC sono vulnerabili agli attacchi avversari. In questi attacchi, un avversario introduce rumore impercettibile e attentamente progettato (perturbazioni) nei dati di input (ad esempio, immagini), causando la classificazione errata dell'input da parte del modello.

I meccanismi di difesa esistenti si basano principalmente sull'addestramento avversario, in cui il modello viene riaddestrato su esempi avversari. Questo approccio presenta limitazioni significative:

• Fattibilità: Richiede la capacità di generare campioni avversari, il che potrebbe non essere possibile in scenari a scatola nera o quando il vettore di attacco è sconosciuto.
• Sovradattamento (Overfitting): I modelli addestrati su tipi specifici di attacchi spesso falliscono nel generalizzare contro altri tipi di attacchi.
• Intensità delle Risorse: Il riaddestramento di modelli quantistici è computazionalmente costoso.

Il documento affronta la necessità di un framework di difesa che non si basi sull'addestramento avversario e che possa purificare efficacemente i campioni avversari prima che raggiungano il classificatore.

2. Metodologia: Il Framework QAE++

Gli autori propongono QAE++, un framework di difesa che utilizza un Autoencoder Quantistico (QAE) per ricostruire e "purificare" i dati di input prima che vengano immessi in un VQC. Il framework è composto da tre componenti principali:

A. Autoencoder Quantistico (QAE) per la Ricostruzione

Il QAE agisce come un livello di pre-elaborazione. A differenza degli autoencoder classici (CAE) che richiedono un addestramento separato per i pesi dell'encoder e del decoder, il QAE sfrutta la reversibilità delle porte quantistiche.

• Struttura: Il QAE codifica uno stato di input $|\psi_{in}\rangle$ (su $n$ qubit) in uno spazio latente (su $k$ qubit, dove $k < n$). I restanti $n-k$ qubit sono designati come "qubit spazzatura" (trash qubits).
• Obiettivo di Addestramento: L'encoder viene addestrato per comprimere l'input in modo tale che i "qubit spazzatura" vengano scambiati con uno stato di riferimento (tipicamente $|0\rangle^{\otimes n-k}$). Il decoder è semplicemente il coniugato hermitiano (inverso) dell'encoder.
• Meccanismo di Purificazione: Addestrando il QAE su dati puliti solamente, esso apprende la varietà (manifold) della distribuzione dei dati puliti. Quando un campione avversario (contenente rumore al di fuori di questa varietà) viene passato attraverso, il QAE tenta di ricostruirlo. Il processo di ricostruzione filtra efficacemente il rumore avversario, proiettando il campione nuovamente sulla varietà dei dati puliti appresa.
• Ottimizzazione: L'encoder viene addestrato massimizzando la fedeltà tra lo stato spazzatura e lo stato di riferimento utilizzando un test SWAP. La funzione di perdita è $L = 1 - \langle\sigma_Z\rangle$, dove $\langle\sigma_Z\rangle$ rappresenta la fedeltà.

B. Metrica di Confidenza

Per migliorare ulteriormente la robustezza, il framework introduce una metrica di confidenza per decidere se accettare una previsione o rifiutare il campione come potenzialmente avversario. Questa metrica combina due fattori:

1. Fedeltà di Codifica ($\langle\sigma_Z\rangle_x$): Misura quanto bene il QAE ha compresso l'input. Una bassa fedeltà suggerisce che l'input conteneva caratteristiche (rumore) non presenti nella distribuzione di addestramento, indicando un potenziale attacco avversario.
2. Differenza dei Logit ($l_{\hat{x}}$): La differenza tra i logit di output più alti e il secondo più alto dal VQC. Una piccola differenza indica una bassa confidenza nella classificazione, spesso un segno di un campione avversario.

La metrica di confidenza $C$ è calcolata come:
$$C = \langle\sigma_Z\rangle_x + \frac{l_{\hat{x}}}{2}$$
Questo valore viene confrontato con una soglia $T$ (derivata da dati di validazione puliti). Se $C < T$, il campione viene rifiutato; altrimenti, la previsione del VQC viene accettata.

C. Flusso dell'Algoritmo (QAE++)

1. Il campione di input $x$ (pulito o avversario) viene immesso nel QAE.
2. Il QAE produce un campione ricostruito $\hat{x}$ e un punteggio di fedeltà di codifica.
3. $\hat{x}$ viene passato al VQC per la classificazione, producendo i logit.
4. La metrica di confidenza $C$ viene calcolata utilizzando la fedeltà e la differenza dei logit.
5. Se $C$ soddisfa la soglia, viene restituita la classe prevista; altrimenti, il campione viene rifiutato.

3. Contributi Chiave

• Difesa Senza Addestramento Avversario: Il framework difende i VQC senza richiedere che il modello venga riaddestrato su esempi avversari, rendendolo applicabile in scenari in cui la generazione di attacchi è impossibile.
• Vantaggio Quantistico nella Purificazione: Gli autori dimostrano che i QAE possono superare gli Autoencoder Classici (CAE) nella ricostruzione di campioni avversari, probabilmente grazie alla capacità del QAE di estrarre caratteristiche in uno spazio latente quantistico con meno parametri.
• Rifiuto Basato sulla Confidenza: L'introduzione di una metrica di confidenza ibrida (fedeltà + differenza dei logit) permette al sistema di rifiutare dinamicamente i campioni ad alto rischio, aumentando significativamente l'accuratezza complessiva.
• Efficienza dei Parametri: Il modello QAE richiede significativamente meno parametri (ad esempio, 120) rispetto alle difese CAE all'avanguardia (91.000), offrendo una strategia di difesa più efficiente in termini di risorse.

4. Risultati Sperimentali

Il framework è stato valutato sui dataset MNIST e FashionMNIST (FMNIST) utilizzando VQC con diverse profondità di strati (100, 200, 300 strati) sotto attacchi FGSM e PGD con intensità di perturbazione ($\epsilon$) comprese tra 0,05 e 0,30.

• Miglioramento dell'Accuratezza:
  • Sotto attacchi forti ($\epsilon = 0,30$) su MNIST, l'accuratezza del VQC di base è scesa a quasi lo 0%.
  • Il proposto QAE++ ha raggiunto un'accuratezza del 78,06%, superando significativamente la difesa CAE (14,95%) e la difesa QAE-only (21,82%).
  • Complessivamente, QAE++ ha dimostrato miglioramenti di fino al 68% rispetto alle difese CAE all'avanguardia in vari scenari di attacco.
• Capacità di Rifiuto:
  • La metrica di confidenza ha identificato e rifiutato efficacemente i campioni avversari. Ad esempio, a $\epsilon=0,30$ (FGSM), QAE++ ha rifiutato oltre 5.700 campioni classificati erroneamente, accettandone 494 classificati correttamente.
• Prestazioni su Campioni Misti:
  • In scenari con input misti puliti e avversari, QAE++ ha costantemente superato le difese CAE e QAE-only, in particolare all'aumentare del numero di strati del VQC.
• Stabilità: Mentre i CAE a volte superavano i QAE su modelli più piccoli con bassa potenza di attacco, QAE++ ha mantenuto una stabilità e prestazioni superiori all'aumentare della complessità del modello e della forza dell'attacco.

5. Significato

Questo documento presenta un passo critico verso la robustezza dell'Apprendimento Automatico Quantistico. Dimostrando che gli Autoencoder Quantistici possono purificare efficacemente il rumore avversario senza addestramento avversario, gli autori forniscono una soluzione pratica per il dispiegamento di VQC in ambienti reali, potenzialmente ostili.

Il significato risiede in:

1. Generalizzabilità: La difesa funziona contro tipi di attacchi sconosciuti senza riaddestramento.
2. Efficienza: Raggiunge un'accuratezza superiore con drasticamente meno parametri rispetto alle difese classiche, allineandosi all'obiettivo del vantaggio quantistico (fare di più con meno).
3. Affidabilità: La metrica di confidenza aggiunge un livello di sicurezza, permettendo al sistema di "ammettere la sconfitta" (rifiutare un campione) piuttosto che classificare erroneamente con sicurezza un input avversario, il che è cruciale per applicazioni critiche per la sicurezza.

In conclusione, QAE++ stabilisce un nuovo punto di riferimento per la difesa dei classificatori quantistici, dimostrando che le tecniche di ricostruzione native quantistiche possono offrire una robustezza superiore rispetto ai corrispettivi classici.