12 月 4 日消息,據清華大學官網消息,清華大學交叉信息研究院鄧東靈助理教授研究組與浙江大學物理學院王浩華、宋超研究組等合作,在超導系統中首次實驗實現了量子對抗機器學習。
《自然?計算科學》封面:量子對抗學習示意圖
對抗機器學習的早期研究可以追溯到垃圾郵件過濾 (spam filtering) 問題,涉及到垃圾郵件的發送方與抵制方之間的博弈。一般來說,當用戶的郵箱地址被外界得知后,一些惡意方可能為了商業利益向這個郵箱發送廣告郵件、電腦病毒等。為了抵御這種行為,人們開發了郵件過濾器來區分正常郵件與惡意郵件并對后者加以阻擋。而惡意郵件的發送者為了躲過郵件過濾器的檢測,便會采取一系列的手段,如修改惡意郵件中的特征詞匯、增加正常詞匯等。
隨著深度學習的發展,深度學習模型在人臉識別、自動駕駛等領域得到了廣泛的應用。然而,人們發現深度學習模型同樣也存在著被對抗樣本攻擊的威脅。在一個已經訓練好的可以正確識別熊貓的深度學習模型中,即使添加一個肉眼難以察覺的擾動,也很可能會使這個模型給出的預測結果變為長臂猿。如果這類攻擊沒有得到解決而且被惡意利用,將可能導致嚴重的安全隱患。例如,在一輛自動駕駛汽車上,如果前方的一個停車告示牌被貼上一層精心設計的對抗擾動薄膜,被汽車的識別程序判斷為常速行駛,便可能引發安全事故。在機器學習輔助醫療診斷中,如果核磁共振的圖片被惡意添加了微小擾動,也可能引發醫療事故。由此可見,對抗學習的研究對于機器學習實際應用的安全性十分重要。
在量子機器學習領域,近年來的理論工作展示了在某些特定的任務下,量子分類模型和生成模型相對于經典模型具有可證明的、有復雜性理論保證的優勢。最近兩年,量子對抗機器學習的概念也被提出并受到了廣泛關注。然而,在當前中等規模帶噪聲(NISQ)量子設備上演示量子學習模型面對對抗攻擊的脆弱性和防御手段還面臨諸多挑戰。該研究中,清華大學交叉信息研究院鄧東靈團隊設計了處理經典數據和量子多體態數據的學習模型,并與浙江大學超導量子計算團隊合作,首次在量子設備上成功實現了高維數據的學習、對抗攻擊脆弱性的揭示以及相應防御手段的展示。
對于經典輸入數據的量子對抗學習
實驗首先進行的是高維經典數據的對抗學習,并采用了核磁共振圖像(MRI)作為訓練數據。為了在當前存在噪聲的超導量子芯片上實現較高的分類精度,實驗采用了變分參數和輸入數據交錯嵌入的方案。在訓練至收斂并達到較好的效果后,實驗通過生成對抗噪聲的方式,發現這個量子分類模型面對添加了對抗噪聲的樣本會給出錯誤的分類判斷,揭示了當前模型面對對抗攻擊的脆弱性。為了增強模型面對潛在對抗噪聲的魯棒性,實驗采用對抗訓練的方式對模型進行了重新訓練。相應的結果顯示,在對抗訓練后,之前導致模型給出錯誤判斷的對抗樣本不能使更新后的模型再次出錯,對抗訓練的防御效果得到了驗證。
對于量子輸入數據的對抗樣本生成
此外,實驗研究了量子學習模型對量子多體態數據的分類以及相應對抗樣本的生成。實驗通過多體哈密頓量演化的方式生成了兩類量子態數據,即局域態和熱化態。在訓練完成后,模型可以以接近百分之百的精度區分這些量子態。通過生成對抗噪聲,實驗揭示了即使對抗樣本保持了和原始樣本相似的局域 / 熱化性質,這些樣本也能讓模型給出錯誤的分類,從而展示了模型易受對抗噪聲的影響。實驗采用的 36 比特超導量子芯片具有易擴展的近鄰連通架構。其高度的編程靈活性和 99.94%/99.4% 保真度的單 / 雙比特量子門,為模型的實驗實現提供了基礎,并可用于探索更多未知的量子機器學習架構。
IT之家了解到,該成果論文“通過可編程超導量子比特實現量子對抗學習的實驗演示”(Experimental quantum adversarial learning with programmable superconducting qubits)近日以封面論文形式發表在《自然?計算科學》(Nature Computational Science),并獲得了該期刊的專欄評論。
