量子+人工智能安全

量子+人工智能安全

一.量子机器学习存在的安全问题

在量子机器学习领域，安全问题是一个重要的研究方向。以下是一些当前前沿的相关量子机器学习安全问题和研究的入手点：

1. 鲁棒性与对抗性攻击：研究如何提高量子机器学习模型对对抗性攻击的鲁棒性，例如对抗性样本生成和检测算法，以及针对量子计算机的量子对抗攻击；探索鲁棒性算法，使模型能够在存在噪声、干扰或敌对操作时仍能保持良好的性能。什么是对抗性训练？- 对抗性训练（Adversarial Training）是一种机器学习中常用的训练方法，旨在提高模型的鲁棒性和泛化能力。它通过引入对抗性样本来训练模型，使其能够更好地应对噪声、干扰或者针对攻击的情况。- 对抗性训练通常用于解决机器学习模型容易受到对抗性样本干扰的问题。对抗性样本是通过对原始输入样本进行微小修改而生成的，这些修改对人类来说是难以察觉的，但能够误导模型的输出结果。- 对抗性训练的基本思想是，在模型的训练过程中，将对抗性样本与原始样本一起输入模型，并根据其误导模型的效果来调整模型的参数，使其能够更好地适应对抗性样本。这种方式可以提高模型的鲁棒性，使其在面对未知或者具有挑战性的输入时表现更好。- 对抗性训练在计算机视觉、自然语言处理等领域都有广泛的应用。它可以有效地提升模型的抗干扰能力，增强模型的可靠性和安全性。
2. 数据隐私保护：研究如何在量子机器学习中保护数据隐私，特别是当涉及到处理敏感信息时，如何设计安全的协议和算法来保护数据隐私，避免潜在的隐私泄漏。
3. 模型可解释性与迁移性：研究如何解释和解释量子机器学习模型的决策过程，提高模型的可解释性和可信度。同时，研究如何在不同的量子计算平台上实现模型的迁移性和跨平台的泛化能力。
4. 抗量子计算攻击：随着量子计算技术的发展，传统的加密算法可能面临破解。研究如何在量子计算环境下保护机器学习模型的安全性，包括提供抗量子计算攻击的加密算法和安全协议。

从这些入手点出发，研究者可以着手开发新的算法和技术，以解决量子机器学习中的安全问题，保护数据和模型的机密性、完整性和可用性。这些研究对于推动量子机器学习的应用和发展具有重要的意义。

二.相关论文笔记

• 《Quantum Machine Learning》- 量子计算机使用量子相干和纠缠等效应来处理信息。- 许多量子机器学习算法通过将数据映射到量子力学状态，然后使用基本量子线性代数子例程操纵这些状态来找到经典数据中的模型。

• 《Quantum machine learning: a classical perspective》- 在机器学习中存在噪声和某些计算困难的问题的学习被确定为该领域有前途的方向。- 通过仔细利用量子效应，如干扰或（潜在的）纠缠，量子计算机可以有效地解决选定的问题[量子计算机上素数分解和离散对数的多项式时间算法; 一些隐位移问题的量子算法; “Pell方程的多项式时间量子算法和主理想问题”]，这被认为对于经典机器是困难的。- 首先，随着数据量的不断增长，当前的机器学习系统正在迅速接近经典计算模型的极限。在这个意义上，量子算法提供了更快的解决方案来处理选定类别的问题的信息。- 其次，量子学习理论的结果指出，在某些假设下，经典和量子可学习性之间的可证明的分离。这意味着硬经典问题可能会受益于量子计算范式的采用显着。- 已知的用于机器学习问题的量子算法会受到许多限制其实际适用性的警告。- 量子计算的重点是研究量子力学系统中编码的信息的存储，处理和传输问题。- 量子信息的基本单位是任何具有两个自由度的量子系统的状态，这两个自由度可被观察者区分，其与通常的逻辑值0和1一致，北被称为 qubit 。- 通过利用干涉效应，量子计算机能够同时在其域的每个点上计算函数。- 在经典数据分析的背景下，我们可以利用量子信息的编码来有效地表示具有指数级多个点的经典概率分布。​ - 在实践中，量子态是极其脆弱的，并且需要大量的纠错来屏蔽噪声的影响。- 我们将量子加速定义为量子算法在相同任务的经典方法上获得的运行时优势。- 机器学习一词指的是分析数据的各种统计方法，其原目的是从有限数量的观测（训练数据）中推断未知且可能不确定的过程的未来行为- 样本复杂度是学习一个函数直到某些逼近参数所需的最小样本数，它与假设空间的容量和数据分布的规律性直接相关;- 时间复杂度对应于最佳学习算法的运行时间。如果学习算法的运行时间在函数的域的元素的维度上是多项式并且在误差参数上是逆多项式，则该学习算法被称为是有效的。- 正则化技术，其本质上限制了学习估计器的表达能力，以避免过度拟合训练数据集。- 量子计算中理论上的加速的根源之一是在量子叠加中处理信息的能力。- 人工神经网络(ANN)指的是广泛应用于分类、回归、压缩、生成建模和统计推理的各种模型。- 关于使用量子资源加速训练NN的文献主要集中在受限玻尔兹曼机（RBM）上。- 训练RBM的第二个方向是基于量子退火.- 在经典设置中，已经表明噪声可以缓解两个最常见的模型拟合问题：局部最优和泛化性能。- 扰动梯度可以通过“跳出”局部最优值来帮助前者，而扰动训练输入或输出可以改善后者。

• 《Quantum Adversarial Machine Learning》- 对抗性机器学习是一个新兴领域，专注于研究机器学习方法在对抗性环境中的脆弱性，并相应地开发技术，使学习对对抗性操作具有鲁棒性。- 对抗性示例是攻击者精心制作的机器学习模型的输入，以导致模型出错。- 对抗性的例子甚至可以以对输入数据的微小扰动的形式出现，例如对图像中的每个像素进行人类不可见的更改。- 对抗性鲁棒性和泛化准确性之间存在内在的张力- 与基于经典神经网络的传统分类器类似，量子分类器同样容易受到精心制作的对抗性示例的影响，这些示例是通过向合法输入数据添加不可察觉的扰动而获得的。

• 《Towards quantum enhanced adversarial robustness in machine learning》- 对抗ML关注的是生成输入的过程，这些输入将被目标ML系统（通常是神经网络）错误分类，尽管只受到初始正确分类输入的少量干扰[2-5]（见图1）。虽然现代神经网络通常对输入的微小随机扰动具有弹性，但它们可能非常容易受到非随机的精心设计的扰动，如图1（b）所示。​- 在高分辨率图像分类的情况下，即使是最先进的卷积神经网络也可以通过向干净的图像添加扰动来愚弄，这些扰动非常小，人眼完全无法察觉，或者可能仅由单个像素的变化组成。- 分类器将在分类空间中构建决策边界，输入根据它们落在边界的哪一侧进行分类。- 具体来说，COMP意味着从希尔伯特空间中的一个（Haar）随机采样点到最近的对抗样本的距离为O（2^(-n)qubits），这意味着即使对于相对适度的量子位数，也存在严重的脆弱性。- 此外，给定k个独立的量子分类器，可以找到通用的对抗性例子，这些例子只需要强度为O（log（k）2^(−n)qubits）的扰动就可以欺骗所有分类器。- 三种关键防御技术和对抗鲁棒性保证，包括经典技术的直接应用策略和利用量子计算的非经典方面的策略:- 通过量子噪声的对抗鲁棒性。 - 随机噪声在对抗性攻击缓解中发挥着自然的作用：将少量随机性有意地注入到分类过程中可以通过“淹没”任何潜在的对抗性扰动来帮助挫败对抗性攻击。- 参考文献[21]已经证明量子电路中的去极化噪声可以引起量子差分隐私- 差分隐私是随机算法的一个属性，它对输入的微小变化“不太敏感”，这是追求对抗鲁棒性的理想行为。- 量子分类器的可证明鲁棒性。- 对抗训练。 - 经典ML中的一种中央防御技术是对抗训练，其中对抗示例在训练时生成，并包含在训练集中。- 但一个重要的警告是，在测试时测试的攻击是使用与训练数据攻击相同的方法生成的;当测试时的攻击具有不同的性质时，无法保证高性能。- Quantum Adversarial Machine Learning Framework.- 请注意，QAML和QML领域的发展密切相关，因此这两个领域共享一些挑战和机遇-例如，有效的数据编码和克服硬件噪声 对两者都至关重要。- QAML和QML针对不同的目标- QML需要高学习精度，而QAML主要关注对攻击的鲁棒性-因此QAML有许多独特的功能。例如，攻击的生成和评估仅与QAML相关；硬件噪声在某些情况下可能有助于QAML，但对于QML应用程序通常是有害的。- 可以提供对抗性攻击的最佳鲁棒性的架构可能无法为QML任务提供最佳性能。- 在经典环境中，对抗性例子的特征是可转移性，即通过攻击特定网络（白盒攻击）构造的对抗性示例倾向于充当其他完全独立的网络的对抗性示例。可移植性是ML分类器在实践中的脆弱性的基础;即使对手不具有直接访问的不熟悉的网络也容易受到攻击，因为对手可以创建自己的ML网络，对其进行攻击，然后将生成的示例传输给目标。- 目前的QML文献主要基于简单的数据集，对于与现实世界应用相关的更复杂的数据集，需要新的和更有效的数据编码方案。一个重要的研究方向是应用经典的数据简化方案，如滤波或卷积[68]，或者使用聪明的数据压缩技术，如最近通过张量网络方法[69]报道的。

的数据集，对于与现实世界应用相关的更复杂的数据集，需要新的和更有效的数据编码方案。一个重要的研究方向是应用经典的数据简化方案，如滤波或卷积[68]，或者使用聪明的数据压缩技术，如最近通过张量网络方法[69]报道的。