想象一下，一群邻居试图共同编写一本单一、超级聪明的烹饪食谱。他们不分享各自的秘密家庭食谱（其中包含私有数据），而是将食谱留在家中。每周，他们只将对自己食谱所做的修改发送给中央组织者，由组织者将这些修改混合在一起，生成一个更优的“全局”版本。这就是联邦学习。

现在，想象这群人开始使用量子计算机（利用物理学的奇特规则来处理信息的机器）来协助编写这些食谱。这就是量子联邦学习（QFL）。

本文介绍了一种令人担忧的新方法，使“坏邻居”能够在无人察觉的情况下毁掉整本食谱。作者将这种攻击称为CULT（电路级后门威胁）。

以下是其工作原理的分解，使用简单的类比说明：

1. 设置：量子食谱书

在该系统中，每位邻居都拥有一个“量子电路”。可以将该电路想象为一台复杂的多步骤机器，它将输入（数据）转化为烹饪指令（预测）。

好邻居：他们微调各自的机器，以使全局食谱更优。
坏邻居：他们希望破坏整本食谱，例如，使所有猫的图片被误识别为狗，而食谱其余部分看起来依然完美。

2. 攻击："CULT"模型

本文指出，当前的安全措施无法识别那些在内部操纵其量子机器的坏邻居。作者提出了坏邻居可用于破坏系统的四种具体方式：

“格罗弗”攻击（隐藏触发器）：想象坏邻居在其机器中安装了一个秘密开关。如果输入一张带有特定微小灰尘斑点（触发器）的猫的图片，机器就会触发开关并大喊“狗！”。这是通过改变量子波之间的干涉方式实现的。
“泡利”攻击（自旋微调）：量子粒子具有称为“自旋”的属性。坏邻居微妙地旋转这些自旋。这就像轻微倾斜指南针的指针。它不会破坏机器，但会缓慢地将全局食谱导向错误的方向。
“比特翻转”攻击（偶发故障）：想象坏邻居的机器在十次中有九次运行完美，但在第十次时，将一枚硬币从正面翻转为反面。通过以非常特定、有节奏的模式执行此操作，他们在数据中制造出一种隐藏漂移，对组织者而言看起来就像正常的噪声。
“符号翻转”攻击（反向里程表）：这就像坏邻居的机器突然决定将“正”视为“负”。它反转了学习信号的方向，实际上是在告诉群体去“遗忘”正确答案。

3. 隐蔽性：他们如何隐藏

本文最可怕的部分在于坏邻居如何隐藏。

“范数”技巧：大多数安全系统会检查邻居的更新是否“过大”或“过于怪异”（例如，检查食谱修改是否长达 100 页）。本研究中的坏邻居使其破坏性更新看起来大小正常。他们仅对量子机器进行足以造成损害的微调，但不足以在标尺上显得可疑。
“历史”技巧：坏邻居会记录好邻居通常的行为。当他们发送破坏性更新时，会将其伪装成与好邻居发送的内容完全一致。他们甚至添加一点“噪声”（静态干扰），使其看起来像是一次正常且杂乱的量子测量。

4. 结果：后果有多严重？

作者在两个著名数据集（MNIST 和 CIFAR-10）上测试了该方法，这些数据集相当于人工智能的标准测试考试。

一颗老鼠屎：即使 20 位邻居中只有一位是坏的（5%），整个群体的性能也可能崩溃。
- 在 MNIST 测试中，准确率从92% 降至 40%。
- 在 CIFAR-10 测试中，准确率从70% 降至 34%。
防御失败：本文测试了旨在踢出坏邻居的流行安全工具（如"Krum"或"FoolsGold"）。
- 结果：这些工具未能阻止最严重的攻击。在许多情况下，准确率仍然下降了50%。
- 原因：因为坏更新看起来与好更新如此相似，安全工具无法区分。这就像一个小偷穿着完美的警服；保安让他通过了。

5. 结论

本文得出结论，量子联邦学习目前极易受到此类电路级攻击。

当前的防御措施就像在干草堆里找一根针，但坏邻居已将那根针变成了一根看起来与其余干草完全一样的干草。
作者警告，我们不能仅仅依赖“平均”结果或检查“怪异大小”。我们需要新的安全方法，这些方法能够理解量子电路的具体物理特性，以捕捉这些隐蔽的破坏者。

简而言之：单个恶意用户可以秘密地重新布线共享学习项目的量子“引擎”，使其彻底失败，而当前的安全人员正忙于检查“响亮”的噪音，从而忽略了安静的破坏行为。

技术摘要：量子联邦学习能否抵御电路级后门攻击？

问题陈述

量子联邦学习（QFL）结合了联邦学习（FL）的隐私保护特性与参数化量子电路（PQCs）的计算优势。虽然已知 FL 易受恶意客户端注入后门的攻击，但 QFL 引入了一个全新的攻击面：量子电路本身。现有研究尚未全面分析恶意客户端如何利用量子特定机制（如叠加态、纠缠和测量统计）发动隐蔽的后门攻击。本文探讨的核心问题是：在量子保真度和去中心化优化的约束下，QFL 能否抵御由恶意客户端发起的电路级后门攻击。

方法论：CULT 模型

作者提出了一种名为*电路级后门威胁（CircUit-Level backdoor Threat, CULT）*的新型威胁模型。该模型形式化了四种独特的隐蔽攻击向量，这些向量利用了 QFL 的训练期间*（电路执行）和训练后*（更新传输）两个阶段。

1. 攻击面

CULT 模型在两个层面上运作：

层面 S1（训练期间/电路级）： 恶意客户端在本地训练轮次中，以一定概率（ $\rho$ ）用特定的攻击电路替换良性变分量子层。同时，它们在中毒轮次中缩放损失函数，以放大梯度信号。
层面 S2（训练后/更新构建）： 在本地优化之后，恶意客户端在传输前对其原始更新进行转换。它们利用良性更新的歷史记录来构建 deltas，使其保持在良性更新流形附近，从而有效规避基于范数和基于聚类的防御机制。

2. 四种提出的攻击

本文介绍了四种特定的电路级攻击，所有攻击均设计为保持在良性更新的邻近范围内：

Grover 相位预言机攻击： 使用预言机算子 $O_\omega$ 对标记的计算基态（ $|\omega\rangle$ ）施加条件相位翻转。这会改变后续电路层中的干涉模式，在经典头部处理之前使测量的特征向量产生偏差。
泡利旋转攻击： 对选定的量子比特子集施加相干张量积泡利旋转。这在保持更新与良性更新的几何邻近性的同时，改变了测量统计特性。
比特翻转攻击： 在特定轮次定期翻转指定的量子比特，从而在比特串统计中产生结构化的低频漂移，而非随机噪声。
相位回传符号翻转攻击： 对测量的量子比特施加 $\pi$ 相位，翻转相应泡利-Z 期望值的符号。这会在反向传播后引发系统性的梯度反转效应。

3. 更新构建机制

为了确保隐蔽性，攻击者通过以下方式构建构建的更新（ $\tilde{\Delta}\theta$ ）：

将更新锚定到最近的良性历史参考点。
移除良性历史中的主成分，以避免防御机制学习到的主导方向。
重新缩放更新，使其匹配良性客户端的统计范数分布。
应用稀疏性约束以模仿良性更新结构。

理论分析

本文建立了严格的理论基础，证明在标准平滑性假设（ $L$ -平滑性）下，CULT 攻击会对全局模型轨迹产生有界扰动。

隐蔽性约束： 作者定义了一个可行的隐蔽集合，其中恶意更新受到半径和相对于良性 deltas 鲁棒中心的余弦相似度阈值的约束。
精度下降： 提供了一个充分条件，表明如果模型在决策边界附近具有非平凡的质量点，攻击引起的有界漂移足以翻转预测，导致可测量的精度下降。分析证明，即使只有一个恶意客户端，也能引起全局轨迹的显著偏差。

实验结果

实验在 MNIST 和 CIFAR-10 数据集上进行，分别使用了具有 5 个和 9 个量子比特的混合量子神经网络（QNN），并在非独立同分布（Non-IID）数据划分（Dirichlet $\alpha=0.9$ ）下进行。

主要发现：

攻击的严重性： 即使在标准 FedAvg 聚合下，仅一个恶意客户端（ $q=5\%$ $q = 5%$ ）也会导致严重的精度下降。
- 在 MNIST 上，Grover 攻击将精度从 92.65% 降低至 40.95%（下降约 52%）。
- 在 CIFAR-10 上，Grover 攻击将精度从 70.15% 降低至 34.87%。
防御的失效： 流行的鲁棒聚合方法（Krum、Multi-Krum、FoolsGold、FLGuardian、Mud-HoG）在许多情况下减少了退化，但未能消除最坏情况下的故障案例。
- 在特定场景下，即使防御机制处于活动状态，精度仍可能下降高达 50%。
- 某些防御（如 Krum）遭受“欠拟合”问题，即即使在无攻击情况下也会压缩性能，使其看起来稳定，但实际上降低了模型效用。
隐蔽性： 攻击有效地掩盖了其存在。恶意更新保持在良性范数附近，使攻击者能够规避依赖异常阈值或简单梯度统计的系统的检测。
非单调性： 精度下降并不随攻击者比例（ $q$ ）的增加而单调变化。由于非 IID 划分和量子测量的随机性，精度可能会波动，使得朴素启发式方法（例如“随着攻击者增加，精度必须下降”）无效。

意义与主张

本文声称是首个在 QFL 背景下全面分析和形式化电路级后门攻击的工作。其意义在于：

弥合差距： 它在 QFL 中统一了攻击设计与隐蔽性分析，既尊重量子保真度约束，又尊重 FL 的去中心化性质。
挑战当前防御： 结果表明，当前的鲁棒聚合技术不足以应对量子感知攻击，因为恶意更新可以模仿良性几何结构，同时严重降低模型性能。
理论验证： 这项工作提供了理论证明，表明有界且受隐蔽性约束的更新可以翻转预测并降低精度，从而从经验观察转向对脆弱性的形式化保证。

作者得出结论，未来的防御必须超越通用的异常检测，并整合量子感知信号，例如电路级一致性检查和测量分布的时间稳定性约束，以有效对抗 CULT 威胁模型。

Can Quantum Federated Learning Withstand Circuit-Level Backdoors?