清華新聞網(wǎng)11月29日電 清華大學(xué)交叉信息研究院鄧東靈助理教授研究組與浙江大學(xué)物理學(xué)院王浩華、宋超研究組等合作����,在超導(dǎo)系統(tǒng)中首次實(shí)驗(yàn)實(shí)現(xiàn)了量子對(duì)抗機(jī)器學(xué)習(xí)��。
《自然·計(jì)算科學(xué)》封面:量子對(duì)抗學(xué)習(xí)示意圖
對(duì)抗機(jī)器學(xué)習(xí)的早期研究可以追溯到垃圾郵件過(guò)濾 (spam filtering) 問(wèn)題,涉及到垃圾郵件的發(fā)送方與抵制方之間的博弈����。一般來(lái)說(shuō),當(dāng)用戶(hù)的郵箱地址被外界得知后�����,一些惡意方可能為了商業(yè)利益向這個(gè)郵箱發(fā)送廣告郵件�����、電腦病毒等����。為了抵御這種行為,人們開(kāi)發(fā)了郵件過(guò)濾器來(lái)區(qū)分正常郵件與惡意郵件并對(duì)后者加以阻擋��。而惡意郵件的發(fā)送者為了躲過(guò)郵件過(guò)濾器的檢測(cè)��,便會(huì)采取一系列的手段���,如修改惡意郵件中的特征詞匯����、增加正常詞匯等。
隨著深度學(xué)習(xí)的發(fā)展����,深度學(xué)習(xí)模型在人臉識(shí)別、自動(dòng)駕駛等領(lǐng)域得到了廣泛的應(yīng)用���。然而��,人們發(fā)現(xiàn)深度學(xué)習(xí)模型同樣也存在著被對(duì)抗樣本攻擊的威脅�����。在一個(gè)已經(jīng)訓(xùn)練好的可以正確識(shí)別熊貓的深度學(xué)習(xí)模型中����,即使添加一個(gè)肉眼難以察覺(jué)的擾動(dòng)����,也很可能會(huì)使這個(gè)模型給出的預(yù)測(cè)結(jié)果變?yōu)殚L(zhǎng)臂猿。如果這類(lèi)攻擊沒(méi)有得到解決而且被惡意利用�����,將可能導(dǎo)致嚴(yán)重的安全隱患。例如���,在一輛自動(dòng)駕駛汽車(chē)上�,如果前方的一個(gè)停車(chē)告示牌被貼上一層精心設(shè)計(jì)的對(duì)抗擾動(dòng)薄膜�����,被汽車(chē)的識(shí)別程序判斷為常速行駛����,便可能引發(fā)安全事故�。在機(jī)器學(xué)習(xí)輔助醫(yī)療診斷中,如果核磁共振的圖片被惡意添加了微小擾動(dòng)��,也可能引發(fā)醫(yī)療事故��。由此可見(jiàn)���,對(duì)抗學(xué)習(xí)的研究對(duì)于機(jī)器學(xué)習(xí)實(shí)際應(yīng)用的安全性十分重要��。
在量子機(jī)器學(xué)習(xí)領(lǐng)域���,近年來(lái)的理論工作展示了在某些特定的任務(wù)下�,量子分類(lèi)模型和生成模型相對(duì)于經(jīng)典模型具有可證明的��、有復(fù)雜性理論保證的優(yōu)勢(shì)��。最近兩年��,量子對(duì)抗機(jī)器學(xué)習(xí)的概念也被提出并受到了廣泛關(guān)注�����。然而����,在當(dāng)前中等規(guī)模帶噪聲(NISQ)量子設(shè)備上演示量子學(xué)習(xí)模型面對(duì)對(duì)抗攻擊的脆弱性和防御手段還面臨諸多挑戰(zhàn)。該研究中���,清華大學(xué)交叉信息研究院鄧東靈團(tuán)隊(duì)設(shè)計(jì)了處理經(jīng)典數(shù)據(jù)和量子多體態(tài)數(shù)據(jù)的學(xué)習(xí)模型�����,并與浙江大學(xué)超導(dǎo)量子計(jì)算團(tuán)隊(duì)合作�����,首次在量子設(shè)備上成功實(shí)現(xiàn)了高維數(shù)據(jù)的學(xué)習(xí)����、對(duì)抗攻擊脆弱性的揭示以及相應(yīng)防御手段的展示。
對(duì)于經(jīng)典輸入數(shù)據(jù)的量子對(duì)抗學(xué)習(xí)
實(shí)驗(yàn)首先進(jìn)行的是高維經(jīng)典數(shù)據(jù)的對(duì)抗學(xué)習(xí)��,并采用了核磁共振圖像(MRI)作為訓(xùn)練數(shù)據(jù)����。為了在當(dāng)前存在噪聲的超導(dǎo)量子芯片上實(shí)現(xiàn)較高的分類(lèi)精度,實(shí)驗(yàn)采用了變分參數(shù)和輸入數(shù)據(jù)交錯(cuò)嵌入的方案�。在訓(xùn)練至收斂并達(dá)到較好的效果后��,實(shí)驗(yàn)通過(guò)生成對(duì)抗噪聲的方式��,發(fā)現(xiàn)這個(gè)量子分類(lèi)模型面對(duì)添加了對(duì)抗噪聲的樣本會(huì)給出錯(cuò)誤的分類(lèi)判斷�����,揭示了當(dāng)前模型面對(duì)對(duì)抗攻擊的脆弱性���。為了增強(qiáng)模型面對(duì)潛在對(duì)抗噪聲的魯棒性��,實(shí)驗(yàn)采用對(duì)抗訓(xùn)練的方式對(duì)模型進(jìn)行了重新訓(xùn)練���。相應(yīng)的結(jié)果顯示���,在對(duì)抗訓(xùn)練后,之前導(dǎo)致模型給出錯(cuò)誤判斷的對(duì)抗樣本不能使更新后的模型再次出錯(cuò)�����,對(duì)抗訓(xùn)練的防御效果得到了驗(yàn)證��。
對(duì)于量子輸入數(shù)據(jù)的對(duì)抗樣本生成
此外�����,實(shí)驗(yàn)研究了量子學(xué)習(xí)模型對(duì)量子多體態(tài)數(shù)據(jù)的分類(lèi)以及相應(yīng)對(duì)抗樣本的生成�����。實(shí)驗(yàn)通過(guò)多體哈密頓量演化的方式生成了兩類(lèi)量子態(tài)數(shù)據(jù)�����,即局域態(tài)和熱化態(tài)��。在訓(xùn)練完成后,模型可以以接近百分之百的精度區(qū)分這些量子態(tài)��。通過(guò)生成對(duì)抗噪聲�,實(shí)驗(yàn)揭示了即使對(duì)抗樣本保持了和原始樣本相似的局域/熱化性質(zhì),這些樣本也能讓模型給出錯(cuò)誤的分類(lèi)�,從而展示了模型易受對(duì)抗噪聲的影響。實(shí)驗(yàn)采用的36比特超導(dǎo)量子芯片具有易擴(kuò)展的近鄰連通架構(gòu)��。其高度的編程靈活性和99.94%/99.4%保真度的單/雙比特量子門(mén)�����,為模型的實(shí)驗(yàn)實(shí)現(xiàn)提供了基礎(chǔ)�����,并可用于探索更多未知的量子機(jī)器學(xué)習(xí)架構(gòu)�����。
該成果論文“通過(guò)可編程超導(dǎo)量子比特實(shí)現(xiàn)量子對(duì)抗學(xué)習(xí)的實(shí)驗(yàn)演示”(Experimental quantum adversarial learning with programmable superconducting qubits)近日以封面論文形式發(fā)表在《自然·計(jì)算科學(xué)》(Nature Computational Science)�����,并獲得了該期刊的專(zhuān)欄評(píng)論��。
該論文通訊作者為清華大學(xué)交叉信息研究院鄧東靈助理教授��、浙江大學(xué)物理學(xué)院王浩華教授和宋超研究員�。清華大學(xué)交叉信息研究院2020級(jí)博士生李煒康,浙江大學(xué)2018級(jí)博士生任文慧�����、2020級(jí)博士生徐世波為文章共同第一作者����。其他作者包括浙江大學(xué)超導(dǎo)量子計(jì)算團(tuán)隊(duì)部分成員,清華大學(xué)交叉信息研究院2019級(jí)博士生蔣文杰���,以及北京雁棲湖應(yīng)用數(shù)學(xué)研究院雅各布·比亞蒙特(Jacob Biamonte)教授���。該項(xiàng)目得到了國(guó)家自然科學(xué)基金、國(guó)家重點(diǎn)研發(fā)計(jì)劃以及上海期智研究院等的支持�。
論文鏈接:
https://www.nature.com/articles/s43588-022-00351-9
供稿:交叉信息研究院
題圖設(shè)計(jì):梁晨
編輯:李華山
審核:郭玲
