近年来,机器学习在图像识别、自然语言处理、医学诊断、自动驾驶等领域取得了巨大的成功,引发了现代社会诸多领域的技术革命。其与量子计算的交叉融通催生了一个新的研究前沿—量子机器学习。
在对抗场景中,经典机器学习系统具有脆弱性:向原始数据添加精心制作的微量噪声,可能会导致分类器以非常高的置信度做出错误的预测。一个非常著名的例子是:在熊猫图像添加了肉眼难以察觉的对抗噪声后,分类器会将其错标为长臂猿,且置信度大于99%。最近的研究表明,量子机器学习系统也会受到来自于对抗攻击的威胁,相关方面的研究引发了广泛的关注。
最近,清华大学交叉信息研究院邓东灵研究组系统地研究了量子机器学习中对抗样本与对抗扰动的普适性(见图)。对以下两个重要问题给出了肯定的回答:1)是否存在可以同时欺骗多个量子分类器的普适对抗样本?2)对于一个给定的量子分类器,是否存在可以同时把多个原始样本变为对抗样本的普适微扰?
对第一个问题,之前已有研究表明添加一个随着量子分类器比特数目指数减小的对抗微扰就足以得到对抗样本, 即对抗微扰强度的下限随着量子线路规模的增大而指数降低。在此基础上,本项研究将以上结论推广到多个分类器的情形,证明了只需将上述下限以正比于量子分类器数量的对数规模增大就可以使同一个对抗样本成功欺骗多个分类器。
对第二个问题,该研究证明:对于一个给定的量子分类器,将一个普适的对抗微扰施加在多个不同的初始样本上, 则此分类器对所得扰动后样本的判错率将随着样本空间维度增大而增大。当维度趋于无穷时, 错误率会逼近100%, 且与量子分类器的结构和训练算法无关.
为展示在实际应用中如何得到普适的对抗样本和对抗微扰,该研究做了广泛的数值模拟实验,涉及日常生活中图像的识别与量子态物质的分类等。下图所示为手写字体识别中普适对抗样本和对抗扰动的示例。
该研究揭示了量子机器学习中对抗样本的普适性,将给未来量子技术用于机器学习,或者更广泛的人工智能,提供有益指导。论文以“Universal adversarial examples and perturbations for quantum classifiers”为题发表于《国家科学评论》(National Science Review, NSR)。清华大学本科生龚维元为论文第一作者,邓东灵助理教授为通讯作者。此项工作得到国家自然科学基金,清华大学和上海期智研究院的支持。
研究详情请见原文:
Universal Adversarial Examples and Perturbations for Quantum Classifiers
https://doi.org/10.1093/nsr/nwab130
Journal
National Science Review