我科学家在超导系统中实现量子对抗机器学习

（记者邓晖） 随着发展量子计算和人工智能成为世界各国的重要战略，两者交汇而生的量子人工智能更是发展迅速。但由于神经网络容易受到对抗扰动的影响，量子人工智能技术的安全性成为研究热点。

近日，清华大学交叉信息研究院邓东灵研究组与浙江大学物理学院王浩华、宋超研究组等合作，在超导系统中首次实验实现了量子对抗机器学习。相关成果“通过可编程超导量子比特实现量子对抗学习的实验演示”以封面论文形式发表在《自然·计算科学》，并获得了该期刊的专栏评论。

对抗机器学习的早期研究可以追溯到垃圾邮件过滤问题，涉及垃圾邮件的发送方与抵制方之间的博弈。一般来说，当用户的邮箱地址被外界得知后，一些恶意方可能为了商业利益向这个邮箱发送广告邮件、电脑病毒等。为了抵御这种行为，人们开发了邮件过滤器来区分正常邮件与恶意邮件并对后者加以阻挡。而恶意邮件的发送者为了躲过邮件过滤器的检测，便会采取一系列的手段，如修改恶意邮件中的特征词汇、增加正常词汇等。

随着深度学习的发展，深度学习模型在人脸识别、自动驾驶、医疗诊断等领域得到了广泛的应用。然而，人们发现深度学习模型同样也存在着被对抗样本攻击的威胁。

“比如，在一辆自动驾驶汽车上，如果前方的一个停车告示牌被贴上一层精心设计的对抗扰动薄膜，被汽车的识别程序判断为常速行驶，便可能引发安全事故。在机器学习辅助医疗诊断中，如果核磁共振的图片被恶意添加了微小扰动，也可能引发医疗事故。”研究人员表示，如果这类攻击没有得到解决而且被恶意利用，可能导致严重的安全隐患。

最近两年，量子对抗机器学习的概念被提出并受到了广泛关注。然而，在当前中等规模带噪声量子设备上演示量子学习模型面对对抗攻击的脆弱性和防御手段还面临诸多挑战。

本研究中，研究团队用10个可编程超导量子比特阵列进行量子对抗学习的首次实验演示。在这项工作中，通过优化器件制造和控制工艺，他们将这些量子比特的平均寿命提高到150微秒，同时单量子比特门和双量子比特门平均保真度分别大于99.94%和99.4%。这使其能够成功地实现具有不同结构的大规模量子分类器，量子线路深度达到60，并且可训练的变分参数数量超过250。

团队采用了核磁共振等图像作为训练数据。经过训练，这些分类器可以在这些数据集上实现当前量子分类器所能达到的最先进的性能，测试准确率高达99%。进一步的实验证明，通过对抗训练，量子分类器抵抗干扰的能力将增强，对相同攻击策略产生的对抗扰动实现免疫。

团队成员表示，他们的结果不仅揭示了量子学习系统在对抗场景中的脆弱性，而且证明了防御策略在实践中应对对抗攻击的有效性，从而为实现可信赖的量子人工智能做出了重要的实验尝试。