想象一下，你正在使用一套预先制作的高科技蓝图来构建一台复杂的机器。这些蓝图被称为变分量子电路（VQCs）。它们是现代量子计算中用于解决棘手问题（例如分析分子相互作用或优化投资组合）的“大脑”。由于从头构建这些机器非常困难，人们通常会从互联网下载这些蓝图，或使用他人提供的预训练版本。

本文既是一份警告标签，也是一份安全手册。它解释了恶意行为者如何将这些蓝图中的隐藏“陷阱”偷偷植入。这种陷阱被称为后门。

以下是利用简单类比对该论文发现的拆解：

1. 核心问题：“沉睡的破坏者”

将 VQC 想象成一个智能恒温器。在正常条件下，它运作完美，将你的房屋保持在适宜的温度（这就是良性性能）。

然而，后门攻击就像一名破坏者秘密重新布线了恒温器。

正常模式：当你将温度设定为 70°F 时，它运作正常。你无法区分安全的恒温器和被黑客入侵的恒温器。
触发模式：破坏者添加了一个秘密代码。如果你低声说出特定的短语（即触发器），或者电网以特定方式波动，恒温器会突然决定将热量猛增到 100°F 或冻结管道。

在量子世界中，这种“猛增到 100°F"可能意味着计算机在科学计算中给出错误答案，或迫使金融算法进行糟糕的交易。

2. 陷阱隐藏的三种方式

该论文将这些陷阱的植入方式分为三种截然不同的方法，从“老派”到“高科技量子诡计”依次递进。

A. “被投毒的食谱”（数据投毒）

类比：想象一位厨师在教学生做饭。学生通过品尝菜肴来学习。破坏者将微量、不可见的怪异香料混入 5–10% 的食材中。
运作方式：学生（即量子电路）学会完美地烹饪这道菜，除非存在那种怪异香料。如果香料存在，菜肴味道会变得极差或变色。
缺陷：这种方法很脆弱。如果你更换了烹饪锅（即编译器），或者厨房有点嘈杂（即量子噪声），香料可能会被冲走，或者把戏失效。它主要适用于排序图片等简单任务，而非复杂数学计算。

B. “被篡改的蓝图”（编译器级攻击）

类比：想象你给建筑工人一张干净、完美的蓝图。建筑工人将其带到翻译办公室（即编译器），将其转换为施工队能理解的语言。破坏者就是那位翻译。
运作方式：蓝图在你桌上看起来完美无缺。但当翻译处理它时，他们偷偷塞入了一条隐藏指令，这条指令只出现在最终施工计划中。建筑工人从未看到陷阱；只有最终的机器拥有它。
缺陷：这更难被察觉，因为原始蓝图看起来无辜。然而，它通常只适用于特定类型的建筑项目，如果你使用不同的翻译服务，它可能会失效。

C. “环境敏感的幽灵”（量子原生攻击）

类比：这是最复杂的陷阱。想象一个幽灵，只有当风从北方吹来且温度恰好为 42 度时才会出现。
运作方式：破坏者没有更改食材或蓝图，而是调整了机器的内部设置（参数），使其在 99% 的时间内表现正常。但是，如果机器在具有特定类型“静态噪声”（当今量子计算机中很常见）的特定硬件上运行，陷阱就会被激活。
转折：论文强调，这些攻击甚至能欺骗机器自身的“安全过滤器”（称为零噪声外推）。这就像幽灵藏身于安全网本身，让机器误以为自己是安全的，而实际上它已经坏了。

3. 为什么现有防御正在失效

该论文审查了当前试图抓捕这些破坏者的“安全卫士”，并指出他们大多找错了地方。

卫士 1（QSentry）：这位卫士查看输出。如果恒温器突然吹出热风，卫士就会拉响警报。
- 为何失效：新的“幽灵”陷阱除非满足特定的风向条件，否则不会吹出热风。如果卫士没有站在那个特定的风口，他们就什么也看不到。
卫士 2（TrojanNet）：这位卫士查看蓝图结构。他们检查是否添加了额外的电线。
- 为何失效：“幽灵”陷阱并不添加额外的电线；它们只是调整现有电线的设置。蓝图看起来完全正常，所以卫士让其通过。

4. 未来：猫鼠游戏

论文得出结论，随着量子计算机变得更好，陷阱也会变得更聪明。

未来威胁：攻击者将创建能够适应其运行硬件的陷阱，根据机器的“噪声”改变其行为。
未来防御：我们不能仅仅查看蓝图或输出。我们需要一种“系统级”的安全检查，理解量子机器、软件和物理硬件如何相互作用。我们需要在各种不同的“天气条件”（噪声水平）下测试机器，看看幽灵是否会出现。

总结

这篇论文警告我们，依赖预制的量子电路是危险的。恶意行为者可以隐藏陷阱，这些陷阱在特定秘密条件满足之前看起来就像正常电路。虽然我们有办法捕捉简单的陷阱，但新的、复杂的量子陷阱目前对我们标准的安全工具来说是隐形的。我们需要开发新的、具备“量子感知”能力的安全系统，以在这些机器用于关键现实任务之前保护它们。

技术摘要：变分量子电路中的后门威胁

问题陈述

变分量子算法（VQAs）代表了在含噪声中等规模量子（NISQ）设备上实现量子优势的主流范式。然而，VQAs 的实际部署严重依赖于预先设计并预训练的变分量子电路（VQCs），这些电路通常源自第三方或共享存储库。这种依赖性引入了关键的安全漏洞，特别是后门攻击。

与经典机器学习不同，经典机器学习中的后门通常由输入扰动触发，而 VQCs 因其混合量子 - 经典特性、对特定硬件噪声分布的依赖以及参数转移策略的普遍存在，面临着独特的威胁。这些攻击嵌入了隐藏的恶意行为，在正常操作条件下保持休眠，但在特定触发条件下激活，导致对抗性结果，例如错误的分类标签、优化任务（如 VQE、QAOA）中被操纵的目标值，或扭曲的科学模拟结果。这些攻击的隐蔽性破坏了人们对共享模型的信任，并对安全关键应用及协作量子生态系统构成重大风险。

方法论与分类

本文对 VQCs 中的后门威胁进行了结构化综述与分类，根据插入和激活机制将现有及新兴攻击划分为三个主要领域：

1. 类经典神经网络后门（数据投毒）

这些攻击模仿经典后门策略，即攻击者向训练数据集中注入带有特定输入触发器的中毒样本。

机制：VQC 使用复合损失函数（ $L_{VQC} = L_{benign} + \lambda L_{mal}$ ）进行优化，以在保持对干净数据高性能的同时，在存在触发器时产生攻击者指定的输出。
局限性：这些方法通常需要较高的投毒率（5–10%），主要局限于分类任务，且缺乏针对量子特性的设计。它们非常脆弱；编译、转换和量子噪声往往会扭曲或消除触发器，使得该攻击在现实世界的 NISQ 环境中失效。

2. 编译启用的后门

这些攻击针对量子编译层（例如 Qiskit 工具链），而非训练数据。

机制：攻击者操纵编译过程（转换、门分解、综合）以注入恶意操作或改变电路结构。值得注意的框架包括QTrojan（在编码层周围注入门）、QuPT（利用门级特性）和QDoor（利用编译前后电路之间的差异）。
特征：这些攻击具有高度隐蔽性，因为高层电路规范保持不变，从而逃避了部署前验证。后门嵌入在可执行电路中，可以在运行时条件触发，也可以始终保持激活状态。然而，其有效性通常与特定的编译策略和硬件映射相关联。

3. 量子原生后门

这些攻击利用量子系统的固有特性，如参数景观、噪声特征和误差缓解程序。

机制：一种代表性方法是噪声触发的参数转移。攻击者不通过数据投毒，而是操纵参数初始化或训练配置，将恶意行为直接嵌入参数空间。
激活：后门仅在特定的硬件相关条件下激活，例如特定的噪声分布、量子比特连接性，或在执行如**零噪声外推（ZNE）**等误差缓解技术期间。
影响：通过扰动电路参数，该攻击可以偏置 ZNE 外推过程，导致目标值扭曲和优化结果错误。由于恶意行为编码在参数中而非电路结构中，这些攻击对编译和转换具有鲁棒性。

主要贡献

本文综合了最新进展，提供了 VQCs 安全格局的全面概述：

正式术语：作者定义了关键术语，包括良性 VQC、带后门 VQC、触发器、攻击成功率（ASR）和隐蔽性，为该领域建立了统一的词汇表。
威胁建模：该综述从三个维度刻画了威胁：攻击者目标（隐蔽的异常行为）、能力（对数据、编译或运行时的控制）以及场景（第三方数据集、平台和预训练模型）。
防御措施的批判性分析：本文评估了当前的检测和防御策略，突出了其局限性：
- QSentry：一种基于输出的检测框架，对测量统计数据进行聚类。它对输入触发攻击有效，但对那些保持输出分布或针对优化目标的攻击无效。
- TrojanNet：一种基于结构的检测框架，使用 CNN 识别异常电路模式。它对保持电路拓扑的后门（例如参数级操纵）无效。
- 一般局限性：现有防御主要依赖经典特征（输入触发器或结构异常），不足以应对利用噪声、参数景观或误差缓解的量子原生威胁。

结果与发现

该综述回顾了代表性研究（总结于表 1），表明：

数据投毒攻击在受控环境中可以实现高 ASR（>97%），但由于编译和噪声的影响，在实际 NISQ 工作流中鲁棒性较低。
编译器级攻击成功绕过了以数据为中心的防御，但通常局限于特定的工作流和分类任务。
量子原生攻击（例如针对 ZNE 的攻击）代表了更强大的威胁模型，能够在不进行数据投毒的情况下操纵 VQE 和 QAOA 中的优化结果，同时对编译具有鲁棒性，并在标准验证下保持隐蔽。

意义与未来方向

本文认为，随着 VQAs 向实际部署迈进，安全必须从受经典启发的防御演变为量子感知、系统级方法。

新兴威胁：未来的攻击预计将变得更加自适应，动态响应硬件条件（噪声水平、校准漂移），并针对整个混合量子 - 经典堆栈。
防御需求：有效的防御必须超越孤立的检测层。作者提出了一个包含多层分析的综合性框架，包括电路结构检查、参数空间审计以及在多样化噪声条件下的运行时行为监控。
结论：保障 VQCs 的安全仍然是一个开放的研究挑战。本文强调，保护这些系统需要解决量子算法、编译过程和误差缓解技术之间独特的相互作用，而不能仅仅依赖传统的机器学习安全范式。

Backdoor Threats in Variational Quantum Circuits: Taxonomy, Attacks, and Defenses