Defending Quantum Classifiers against Adversarial Perturbations through… — 通俗解释

✨

这是对下方论文的AI生成解释。它不是由作者撰写或认可的。如需技术准确性，请参阅原始论文。阅读完整免责声明

Each language version is independently generated for its own context, not a direct translation.

想象一下，你拥有一个非常聪明的机器人，它可以查看一张手写数字（例如"7"）的图片，并准确告诉你它是什么。这个机器人是一个量子机器学习模型，是我们当今所用人工智能的超级高级版本。

然而，就像人类会被魔术戏法愚弄一样，这个机器人也可能被欺骗。攻击者可以在图片上添加一层微小且不可见的“静态”或“噪声”。在你的眼中，"7"看起来仍然像"7"，但机器人却突然认为它是"2"。这被称为对抗性攻击。

本文的作者希望为这个机器人构建一道盾牌，使其不再受骗。以下是他们如何实现这一点的简明解释：

旧式盾牌的缺陷

通常，要教会机器人忽略这些戏法，你必须向它展示成千上万张被篡改的假图片，并告诉它：“这仍然是 7，不要被愚弄！”这被称为对抗性训练。

难点：有时你无法这样做。也许你并不知道攻击者会使用何种戏法，或者也许机器人变得如此擅长识别某一种特定的戏法，以至于它忘记了如何处理新的戏法。这就像只为某一种特定类型的数学考试而学习，当题目稍有变化时便考试不及格。

新解决方案：“量子自编码器”（魔法过滤器）

作者没有重新训练机器人，而是构建了一个量子自编码器（QAE）。你可以将其想象为图像的高科技照片滤镜或降噪耳机。

过滤器：在机器人查看图片之前，QAE 会接收图像（即使是带有不可见噪声的图像），并尝试“重构”它。
净化：QAE 仅在干净、完美的图片上进行训练。当它看到带有噪声的被篡改图片时，它会尝试剥离奇怪的噪声，并根据其对“真实”图片样貌的认知重建图像。这就像一位修复师清洗一幅沾满泥浆的画作，以揭示其下方的原始艺术。
结果：随后，机器人查看这个经过清理的版本。由于噪声已消失，机器人可以再次正确识别出"7"。

“置信度计”（守门员）

有时，噪声过于强烈，以至于过滤器无法完美清理图片。如果机器人试图对一张杂乱的图片进行猜测，它仍可能出错。

为了解决这个问题，作者添加了一个置信度计。这就像俱乐部里一位严格的守门员：

检查：系统会检查两件事：
1. 过滤器清理图片的效果如何？（噪声是否消失了？）
2. 机器人有多确定？（机器人是确信这是"7"，还是在猜测？）
决策：如果图片仍然过于杂乱，或者机器人不确定，守门员会说：“禁止入内！”并拒绝该样本。它不会做出错误的猜测；它只是拒绝回答，这比撒谎要好。

他们的发现

该团队在著名的图像数据集上测试了这种方法（用于数字的 MNIST 和用于服装的 FashionMNIST）。

结果：当攻击者使用强烈的戏法来愚弄机器人时，旧方法（使用标准计算机过滤器）惨败，准确率降至接近零。
胜利：他们的新系统（QAE++）保持了机器人的正常工作。在某些情况下，与现有最佳方法相比，它将机器人的准确率提高了68%。
效率：他们的量子过滤器也比旧的计算机过滤器更小、更轻量，运行所需的内存要少得多。

简而言之

该论文提出了一种保护量子人工智能免受欺骗的方法，而无需针对每一种可能的戏法对其进行重新训练。他们使用量子过滤器来清理图像，并使用置信度计来拒绝任何看起来过于可疑的内容。这使得人工智能即使在有人试图混入不可见的噪声以混淆它时，也能保持准确和可靠。

Each language version is independently generated for its own context, not a direct translation.

以下是论文《通过量子自编码器防御对抗性扰动下的量子分类器》（Andrews、Sanjaya 和 Mishra 著）的详细技术总结。

1. 问题陈述

变分量子分类器（VQCs）正成为机器学习的有力工具，在参数效率方面相比经典模型展现出潜在优势。然而，与其经典对应物一样，VQCs 也易受对抗性攻击的影响。在这些攻击中，攻击者向输入数据（例如图像）中引入难以察觉的、精心设计的噪声（扰动），导致模型对输入产生误分类。

现有的防御机制主要依赖对抗性训练，即利用对抗样本对模型进行重新训练。这种方法存在显著局限性：

可行性：它需要能够生成对抗样本，这在黑盒场景或攻击向量未知的情况下可能无法实现。
过拟合：针对特定攻击类型训练过的模型，往往难以泛化以抵御其他类型的攻击。
资源密集：重新训练量子模型计算成本高昂。

本文旨在解决对不依赖对抗性训练的防御框架的需求，该框架能够在对抗样本到达分类器之前有效地净化它们。

2. 方法论：QAE++ 框架

作者提出了QAE++，这是一个利用**量子自编码器（QAE）**在输入数据送入 VQC 之前对其进行重构和“净化”的防御框架。该框架包含三个主要组件：

A. 用于重构的量子自编码器（QAE）

QAE 充当预处理层。与需要分别训练编码器和解码器权重的经典自编码器（CAE）不同，QAE 利用了量子门的可逆性。

结构：QAE 将输入态 $|\psi_{in}\rangle$ （在 $n$ 个量子比特上）编码到潜空间（在 $k$ 个量子比特上，其中 $k < n$ ）。剩余的 $n-k$ 个量子比特被指定为“垃圾量子比特”。
训练目标：编码器被训练以压缩输入，使得“垃圾量子比特”与参考态（通常为 $|0\rangle^{\otimes n-k}$ ）进行交换。解码器仅仅是编码器的厄米共轭（逆）。
净化机制：通过在仅清洁数据上训练 QAE，它学习了清洁数据分布的流形。当包含该流形之外噪声的对抗样本通过时，QAE 会尝试重构它。重构过程有效地过滤掉了对抗性噪声，将样本投影回学习到的清洁数据流形上。
优化：编码器通过最大化垃圾态与参考态之间的保真度进行训练，使用SWAP 测试。损失函数为 $L = 1 - \langle\sigma_Z\rangle$ ，其中 $\langle\sigma_Z\rangle$ 代表保真度。

B. 置信度指标

为了进一步增强鲁棒性，该框架引入了一种置信度指标，以决定是接受预测还是将样本作为潜在的对抗样本予以拒绝。该指标结合了两个因素：

编码保真度（ $\langle\sigma_Z\rangle_x$ ）：衡量 QAE 对输入的压缩程度。低保真度表明输入包含了训练分布中不存在的特征（噪声），暗示可能存在对抗性攻击。
Logit 差值（ $l_{\hat{x}}$ ）：VQC 输出的最高和第二高 Logit 值之间的差值。较小的差值表明分类置信度低，这通常是对抗样本的标志。

置信度指标 $C$ 计算如下：
$C = \langle\sigma_Z\rangle_x + \frac{l_{\hat{x}}}{2}$
将该值与阈值 $T$ （源自清洁验证数据）进行比较。如果 $C < T$ ，则拒绝该样本；否则，接受 VQC 的预测。

C. 算法流程（QAE++）

输入样本 $x$ （清洁或对抗）被送入 QAE。
QAE 生成重构样本 $\hat{x}$ 和编码保真度分数。
$\hat{x}$ 被传递给 VQC 进行分类，产生 Logit 值。
利用保真度和 Logit 差值计算置信度指标 $C$ 。
如果 $C$ 满足阈值，则返回预测类别；否则，拒绝该样本。

3. 主要贡献

无需对抗性训练的防御：该框架无需在对抗样本上重新训练模型即可防御 VQCs，使其适用于无法生成攻击的场景。
净化方面的量子优势：作者证明，QAE 在重构对抗样本方面优于经典自编码器（CAE），这可能是因为 QAE 能够以更少的参数在量子潜空间中提取特征。
基于置信度的拒绝：引入混合置信度指标（保真度 + Logit 差值）使系统能够动态拒绝高风险样本，显著提高了整体准确率。
参数效率：与最先进的 CAE 防御（约 91,000 个参数）相比，QAE 模型所需的参数显著更少（例如约 120 个），提供了一种更节省资源的防御策略。

4. 实验结果

该框架在MNIST和FashionMNIST (FMNIST)数据集上进行了评估，使用了具有不同层深度（100、200、300 层）的 VQCs，并在FGSM和PGD攻击下测试，扰动强度（ $\epsilon$ ）范围为 0.05 至 0.30。

准确率提升：
- 在 MNIST 上遭受强攻击（ $\epsilon = 0.30$ ）时，基线 VQC 的准确率降至接近 0%。
- 提出的**QAE++实现了78.06%**的准确率，显著优于 CAE 防御（14.95%）和仅 QAE 防御（21.82%）。
- 总体而言，在各种攻击场景下，QAE++ 相比最先进的 CAE 防御展现了高达**68%**的提升。
拒绝能力：
- 置信度指标有效地识别并拒绝了对抗样本。例如，在 $\epsilon=0.30$ （FGSM）下，QAE++ 拒绝了超过 5,700 个被错误分类的样本，同时接受了 494 个正确分类的样本。
混合样本性能：
- 在包含清洁和对抗输入的混合场景中，QAE++ 始终优于 CAE 和仅 QAE 防御，特别是在 VQC 层数增加时。
稳定性：虽然 CAE 有时在攻击强度较低的小规模模型上表现优于 QAE，但随着模型复杂度和攻击强度的增加，QAE++ 保持了更优越的稳定性和性能。

5. 意义

本文为实现量子机器学习的鲁棒性迈出了关键一步。通过证明量子自编码器可以在无需对抗性训练的情况下有效净化对抗噪声，作者为在现实世界（可能充满敌意）的环境中部署 VQCs 提供了解决方案。

其意义在于：

泛化性：该防御无需重新训练即可抵御未知的攻击类型。
效率：与经典防御相比，它用极少的参数实现了更高的准确率，符合量子优势（以更少资源做更多事）的目标。
可靠性：置信度指标增加了一层安全性，允许系统“承认失败”（拒绝样本），而不是自信地误分类对抗输入，这对于安全关键型应用至关重要。

总之，QAE++ 确立了防御量子分类器的新基准，证明了量子原生重构技术相比经典对应物能提供卓越的鲁棒性。

Defending Quantum Classifiers against Adversarial Perturbations through Quantum Autoencoders