以深度机器学习为代表的人工智能方兴未艾,在人类生活方方面面的应用已经十分广泛,例如人脸识别、自动驾驶以及医疗诊断等。随着量子计算的广泛研究,量子人工智能成为当前研究的热点。大量研究工作表明,量子机器学习相比经典模型有着潜在的量子优势,或将为人工智能的发展带来新的机遇。在经典模型中,神经网络容易受到对抗样本的攻击而产生误判。例如,在信号灯上添加一些精心设计的扰动,即使人眼难以察觉,但是却可以欺骗机器学习模型,导致对信号的识别错误,给实际应用带来了潜在的安全隐患。在量子机器学习中,是否也存在类似的对抗噪声?这一问题对量子机器学习的安全性研究至关重要。
近日,浙江大学物理学院超导量子计算研究小组与清华大学交叉信息研究院的理论研究小组合作,在一个包含36个量子比特的倒扣焊超导芯片上首次在实验上演示了量子对抗机器学习,如图1a所示。通过优化样品制备工艺和高精度调控技术,团队将实验中采用的10个量子比特平均寿命推进至150 ,并将单比特门和两比特受控相位门的同步并行操控保真度提升至99.94%和99.4%。在此基础上,团队利用多层同步单比特和两比特量子门块状交替编码的方式,构建了量子神经网络分类器线路(图1b),成功实现了对256维的手写体阿拉伯数字数据集、医疗诊断MRI图像数据集等高维数据的量子编码和学习,最终识别准确率高达99%(图1c,d)。
基于训练好的量子神经网络,团队进一步在对抗场景下对量子机器学习模型的脆弱性展开了实验研究。通过在医疗MRI数据图片上添加微小的人工噪声扰动,团队发现已训练好的量子神经网络分类器识别会发生错误,从而实验证实了对抗噪声在量子机器学习中的存在(图1e,f)。为了缓解对抗噪声的干扰,团队提出并实验验证了一种防御策略,通过将原始的和带噪声的图片合成一个新的数据集,对量子神经网络重新进行对抗训练。实验发现,经过对抗训练的量子神经网络,可以正确识别带噪声的图片,即使噪声图片与对抗训练数据集噪声图片的类型完全不同,表明该防御手段具有一定的普适性(图1g,h)。
研究成果《Experimental quantum adversarial learning with programmable superconducting qubits》近日以封面论文形式发表在《Nature Computational Science》期刊上(论文链接:https://www.nature.com/articles/s43588-022-00351-9,图2),并获得了该期刊的专栏评论(评论链接:https://www.nature.com/articles/s43588-022-00359-1)。论文共同第一作者是浙江大学物理学院博士生任文慧、徐世波和清华大学交叉信息研究院博士生李炜康,通讯作者为浙江大学物理学院教授王浩华、百人计划研究员宋超和清华大学交叉信息研究院助理教授邓东灵。该项目获得了国家自然科学基金、国家重点研发计划和浙江省重点研发计划等支持。
图1:量子对抗学习实验示意和数据。a,超导量子芯片和量子对抗学习示意图。b,MRI数据的交错块编码方式和实验量子电路的示意图。c,在量子分类器的叠代训练过程中,每一步测得的训练和测试数据集的损失函数(上)和区分准确度(下)。d,实验测量的第五个量子比特的泡利算符期望值,该数值的大小对应了图片被区分为手(大于0)或者胸(小于0)MRI图像。e,施加对抗噪声前后的神经网络分类结果。f,训练好的分类器区分对抗样本的结果。g,利用MRI图像进行量子对抗训练的实验结果。h,量子分类器对抗训练前后的对抗样本图像和相应分类结果。
图2:杂志封面-量子对抗机器学习示意图