Can Quantum Federated Learning Withstand Circuit-Level Backdoors?

Dit artikel introduceert het CULT-model (CircUit-Level backdoor Threat) om aan te tonen hoe kwaadaardige clients kwantumspecifieke mechanismen in Quantum Federated Learning kunnen misbruiken om op sluwe wijze ernstige degradatie van de nauwkeurigheid te veroorzaken, waarbij wordt blootgelegd dat bestaande verdedigingsmechanismen vaak falen in het voorkomen van worst-case scenario's.

De kern

Stel je een groep buren voor die proberen één superslim kookboek te maken. In plaats van hun geheime familierecipes (die privégegevens bevatten) te delen, houden ze hun recepten thuis. Elke week sturen ze alleen de wijzigingen die ze aan hun recepten hebben aangebracht naar een centrale organisator, die ze allemaal samenvoegt tot een betere "globale" versie. Dit is Federated Learning.

Stel je nu voor dat deze groep Quantum Computers (machines die de vreemde regels van de fysica gebruiken om informatie te verwerken) gaat gebruiken om deze recepten te schrijven. Dit is Quantum Federated Learning (QFL).

Dit paper introduceert een angstaanjagende nieuwe manier waarop een "slechte buur" het hele kookboek kan verpesten zonder dat iemand het merkt. De auteurs noemen dit de CULT (CircUit-Level backdoor Threat).

Hier is de uiteenzetting van hoe het werkt, met gebruik van eenvoudige analogieën:

1. De Opzet: Het Quantum Kookboek

In dit systeem heeft elke buur een "Quantum Circuit". Denk aan dit circuit als een complexe, meerstaps machine die ingrediënten (data) omzet in een kookinstructie (een voorspelling).

• De Goede Buren: Ze passen hun machines iets aan om het globale recept te verbeteren.
• De Slechte Buur: Hij wil het boek saboteren zodat bijvoorbeeld alle foto's van katten worden verward met honden, terwijl de rest van het boek perfect lijkt.

2. De Aanval: Het "CULT"-Model

Het paper betoogt dat huidige beveiligingsmaatregelen niet weten hoe ze een slechte buur moeten opsporen die met het interieur van zijn quantummachine speelt. De auteurs stellen vier specifieke manieren voor waarop een slechte buur het systeem kan saboteren:

• De "Grover"-Aanval (De Verborgen Trigger): Stel je voor dat de slechte buur een geheime schakelaar in zijn machine installeert. Als je een foto van een kat met een specifieke kleine stofvlek (een trigger) invoert, schakelt de machine over en schreeuwt "HOND!". Dit wordt gedaan door te veranderen hoe de quantumgolven met elkaar interfereren.
• De "Pauli"-Aanval (De Spin-aanpassing): Quantumdeeltjes hebben een eigenschap genaamd "spin". De slechte buur draait deze spins subtiel. Het is alsof je een kompasnaald iets kantelt. Het breekt de machine niet, maar stuurt het globale recept langzaam de verkeerde kant op.
• De "Bit-Flip"-Aanval (De Af en Toe Glitch): Stel je voor dat de machine van de slechte buur 9 keer op de 10 perfect werkt, maar op de 10e keer een enkele munt van Kop naar Munt draait. Door dit te doen in een zeer specifiek, ritmisch patroon, creëren ze een verborgen drift in de data die voor de organisator lijkt op normale ruis.
• De "Sign-Flip"-Aanval (De Omgekeerde Kilometerstand): Dit is alsof de machine van de slechte buur plotseling besluit dat "Positief" "Negatief" betekent. Het keert de richting van het leersignaal om, en zegt de groep effectief dat ze het juiste antwoord moeten "ontleren".

3. De Stiekemheid: Hoe Ze Zich Verstoppen

Het engste deel van dit paper is hoe de slechte buur zich verbergt.

• De "Norm"-Truc: De meeste beveiligingssystemen controleren of de update van een buur "te groot" of "te vreemd" is (alsof je controleert of een receptwijziging 100 pagina's lang is). De slechte buur in deze studie laat zijn sabotage-updates er normaal groot uitzien. Hij past zijn quantummachine net genoeg aan om schade te veroorzaken, maar niet genoeg om verdacht te lijken op een liniaal.
• De "Geschiedenis"-Truc: De slechte buur houdt een dagboek bij van wat de goede buren meestal doen. Wanneer hij zijn sabotage-update stuurt, verpakt hij deze zodat hij er precies uitziet als iets dat een goede buur zou sturen. Hij voegt zelfs een beetje "ruis" (statische storing) toe om het eruit te laten zien als een normale, rommelige quantummeting.

4. De Resultaten: Hoe Slecht Is Het?

De auteurs hebben dit getest op twee beroemde datasets (MNIST en CIFAR-10), die fungeren als standaardtoetsen voor AI.

• Eén Slechte Appel: Zelfs als slechts één buur van de 20 slecht is (5%), kan de prestatie van de hele groep instorten.
  • Op de MNIST-test daalde de nauwkeurigheid van 92% naar 40%.
  • Op de CIFAR-10-test daalde de nauwkeurigheid van 70% naar 34%.
• Het Falen van de Verdediging: Het paper testte populaire beveiligingstools (zoals "Krum" of "FoolsGold") die slechte buren moeten uitschakelen.
  • Het Resultaat: Deze tools slaagden er niet in om de ergste aanvallen te stoppen. In veel gevallen daalde de nauwkeurigheid nog steeds met 50%.
  • Waarom? Omdat de slechte updates er zo veel op leken dat de beveiligingstools het verschil niet konden zien. Het is alsof een dief een perfect politie-uniform draagt; de beveiligingswachter laat hem door.

5. De Conclusie

Het paper concludeert dat Quantum Federated Learning momenteel zeer kwetsbaar is voor deze specifieke soorten circuit-aanvallen.

• Huidige verdedigingen zijn als het zoeken naar een naald in een hooiberg, maar de slechte buur heeft de naald veranderd in een stuk hooi dat er precies uitziet als de rest.
• De auteurs waarschuwen dat we niet zomaar kunnen vertrouwen op het "middelen" van resultaten of het controleren op "vreemde maten". We hebben nieuwe beveiligingsmethoden nodig die de specifieke fysica van quantumcircuits begrijpen om deze sluwe saboteurs te vangen.

Kortom: Een enkele kwaadaardige gebruiker kan in het geheim de quantum-"motor" van een gezamenlijk leerproject herschakelen om het spectaculair te laten falen, en de huidige beveiligingswachten zijn te druk bezig met het controleren op "luid" geluid om de stille sabotage op te merken.

Technische samenvatting

Technische Samenvatting: Kan Quantum Federated Learning Circuit-Level Backdoors Trotseren?

Probleemstelling

Quantum Federated Learning (QFL) combineert de privacybehoudende aard van Federated Learning (FL) met de rekenkundige voordelen van geparametriseerde quantumcircuits (PQCs). Hoewel FL bekend staat als kwetsbaar voor kwaadaardige clients die backdoors injecteren, introduceert QFL een nieuw aanvalsoppervlak: de quantumcircuitering zelf. Bestaand onderzoek heeft niet grondig geanalyseerd hoe kwaadaardige clients quantum-specifieke mechanismen (zoals superpositie, verstrengeling en meetstatistieken) kunnen exploiteren om sluwe backdoor-aanvallen te lanceren. De centrale vraag die wordt behandeld, is of QFL circuit-level backdoor-aanvallen kan trotseren die worden gesteld door kwaadaardige clients die opereren binnen de beperkingen van quantumfideliteit en gedecentraliseerde optimalisatie.

Methodologie: Het CULT-model

De auteurs stellen een nieuw bedreigingsmodel voor dat CircUit-Level backdoor Threat (CULT) wordt genoemd. Dit model formaliseert vier distincte, sluwe aanvalsvectoren die zowel de tijdens-training (circuitexecutie) als de na-training (update-transmissie) fasen van QFL exploiteren.

1. Aanvalsoppervlakken

Het CULT-model werkt op twee oppervlakken:

• Oppervlak S1 (Tijdens-training/Circuit-level): Kwaadaardige clients vervangen de goedaardige variational quantum layer door een specifiek aanvalscircuit tijdens lokale trainingsrondes met een bepaalde waarschijnlijkheid ($\rho$). Ze schalen ook de verliesfunctie op vergiftigde rondes om het gradiëntsignaal te versterken.
• Oppervlak S2 (Na-training/Update-bewerking): Na lokale optimalisatie transformeren kwaadaardige clients hun ruwe updates voordat ze worden verzonden. Ze maken gebruik van een geschiedenis van goedaardige-achtige updates om delta's te smeden die dicht bij het goedaardige update-manifold blijven, waardoor ze effectief norm-gebaseerde en clustering-gebaseerde verdedigingen ontlopen.

2. Vier Voorgestelde Aanvallen

Het artikel introduceert vier specifieke circuit-level aanvallen, allemaal ontworpen om binnen de nabijheid van goedaardige updates te blijven:

1. Grover Phase-Oracle Aanval: Past een conditionele faseflip toe op een gemarkeerde computationele basisstaat ($|\omega\rangle$) met behulp van een oracle-operator $O_\omega$. Dit verandert interferentiepatronen in latere circuitlagen, waardoor de gemeten featurevector wordt beïnvloed voordat deze door het klassieke hoofd wordt verwerkt.
2. Pauli-Rotatie Aanval: Past coherente tensor-product Pauli-rotaties toe op een geselecteerde subset van qubits. Dit verschuift de meetstatistieken terwijl de geometrische nabijheid van de update ten opzichte van goedaardige updates behouden blijft.
3. Bit-Flip Aanval: Keert periodiek een aangewezen qubit om op specifieke rondes om gestructureerde, laagfrequente drift in bit-string statistieken te creëren, in plaats van willekeurige ruis.
4. Phase-Kickback Sign-Flip Aanval: Past een $\pi$-fase toe op een gemeten qubit, waardoor het teken van de overeenkomstige Pauli-Z-verwachting wordt omgekeerd. Dit induceert systematische gradiëntomkeringseffecten na backpropagatie.

3. Update-Bewerkingsmechanisme

Om sluwigheid te waarborgen, construeert de aanvaller een bewerkte update ($\tilde{\Delta}\theta$) door:

• De update te verankeren aan de dichtstbijzijnde historische goedaardige referentie.
• De top-principal components van de goedaardige geschiedenis te verwijderen om dominante richtingen die door verdedigingen zijn geleerd, te vermijden.
• De update te herschalen om de statistische normverdeling van goedaardige clients te matchen.
• Sparsiteitsbeperkingen toe te passen om goedaardige update-structuren na te bootsen.

Theoretische Analyse

Het artikel vestigt een rigoureuze theoretische basis die aantoont dat onder standaard gladheidsaannames ($L$-gladheid), de CULT-aanvallen een begrenste verstoring van de globale modeltraject induceren.

• Sluwheidsbeperkingen: De auteurs definiëren een haalbare sluwigheidsset waar kwaadaardige updates worden beperkt door een straal en een cosinus-similariteitsdrempel ten opzichte van een robuust centrum van goedaardige delta's.
• Accuraciesdaling: Een voldoende voorwaarde wordt geboden die aantoont dat als het model een niet-triviale massa punten nabij de beslissingsgrens heeft, de door de aanvallen geïnduceerde begrenste drift voldoende is om voorspellingen om te draaien, wat leidt tot een meetbare daling in nauwkeurigheid. De analyse bewijst dat zelfs een enkele kwaadaardige client significante afwijking in het globale traject kan veroorzaken.

Experimentele Resultaten

Experimenten werden uitgevoerd op MNIST- en CIFAR-10-datasets met behulp van hybride Quantum Neural Networks (QNN's) met respectievelijk 5 en 9 qubits, onder non-IID data-splits (Dirichlet $\alpha=0.9$).

Belangrijkste Bevindingen:

1. Ernst van Aanvallen: Zelfs een enkele kwaadaardige client ($q=5\%$) veroorzaakt ernstige accuraciesdaling onder standaard FedAvg-aggregatie.
   • Op MNIST verlaagde de Grover-aanval de nauwkeurigheid van 92,65% naar 40,95% (een daling van ~52%).
   • Op CIFAR-10 verlaagde de Grover-aanval de nauwkeurigheid van 70,15% naar 34,87%.
2. Falenvan Verdedigingen: Populaire robuuste aggregatiemethoden (Krum, Multi-Krum, FoolsGold, FLGuardian, Mud-HoG) verminderen de degradatie in veel regimes, maar slagen er niet in om worst-case faalgevallen te elimineren.
   • In specifieke scenario's daalt de nauwkeurigheid tot wel 50% zelfs met actieve verdedigingen.
   • Sommige verdedigingen (bijv. Krum) lijden onder "underfitting", waarbij ze de prestaties comprimeren zelfs bij afwezigheid van aanvallen, waardoor ze stabiel lijken maar in werkelijkheid de modelnut verminderen.
3. Sluwheid: De aanvallen maskeren hun aanwezigheid effectief. Kwaadaardige updates blijven dicht bij goedaardige normen, waardoor aanvangers detectie kunnen ontlopen door systemen die vertrouwen op anomaliedrempels of eenvoudige gradiëntstatistieken.
4. Non-Monotoniteit: Accuraciesdaling schaalt niet monotoon met het aandeel aanvangers ($q$). Vanwege non-IID-splits en de stochastische aard van quantummetingen kan de nauwkeurigheid fluctueren, waardoor naïeve heuristieken (bijv. "nauwkeurigheid moet dalen naarmate aanvangers toenemen") ongeldig zijn.

Betekenis en Claims

Het artikel beweert het eerste werk te zijn dat circuit-level backdoor-aanvallen in de context van QFL grondig analyseert en formaliseert. De betekenis hiervan ligt in:

• Het Overbruggen van de Kloof: Het verenigt aanvalontwerp en sluwigheidsanalyse binnen QFL, waarbij zowel quantumfideliteitsbeperkingen als het gedecentraliseerde karakter van FL worden gerespecteerd.
• Uitdagen van Huidige Verdedigingen: De resultaten tonen aan dat huidige robuuste aggregatietechnieken ontoereikend zijn tegen quantum-bewuste aanvallen, aangezien kwaadaardige updates goedaardige geometrie kunnen nabootsen terwijl ze de modelprestaties ernstig degraderen.
• Theoretische Validatie: Het werk biedt een theoretisch bewijs dat begrenste, sluwigheids-beperkte updates voorspellingen kunnen omkeren en nauwkeurigheid kunnen degraderen, waardoor wordt overgestapt van empirische observatie naar formele garanties van kwetsbaarheid.

De auteurs concluderen dat toekomstige verdedigingen moeten gaan voorbij generieke outlier-detectie en quantum-bewuste signalen moeten integreren, zoals circuit-level consistentiechecks en temporele stabiliteitsbeperkingen op meetverdelingen, om het CULT-bedreigingsmodel effectief te counteren.