清华大学交叉信息研究院邓东灵助理教授研究组与浙江大学物理学院王浩华、宋超研究组等合作，在超导系统中首次实验实现了量子对抗机器学习。

《自然·计算科学》封面：量子对抗学习示意图

对抗机器学习的早期研究可以追溯到垃圾邮件过滤 (spam filtering) 问题，涉及到垃圾邮件的发送方与抵制方之间的博弈。一般来说，当用户的邮箱地址被外界得知后，一些恶意方可能为了商业利益向这个邮箱发送广告邮件、电脑病毒等。为了抵御这种行为，人们开发了邮件过滤器来区分正常邮件与恶意邮件并对后者加以阻挡。而恶意邮件的发送者为了躲过邮件过滤器的检测，便会采取一系列的手段，如修改恶意邮件中的特征词汇、增加正常词汇等。

随着深度学习的发展，深度学习模型在人脸识别、自动驾驶等领域得到了广泛的应用。然而，人们发现深度学习模型同样也存在着被对抗样本攻击的威胁。在一个已经训练好的可以正确识别熊猫的深度学习模型中，即使添加一个肉眼难以察觉的扰动，也很可能会使这个模型给出的预测结果变为长臂猿。如果这类攻击没有得到解决而且被恶意利用，将可能导致严重的安全隐患。例如，在一辆自动驾驶汽车上，如果前方的一个停车告示牌被贴上一层精心设计的对抗扰动薄膜，被汽车的识别程序判断为常速行驶，便可能引发安全事故。在机器学习辅助医疗诊断中，如果核磁共振的图片被恶意添加了微小扰动，也可能引发医疗事故。由此可见，对抗学习的研究对于机器学习实际应用的安全性十分重要。

在量子机器学习领域，近年来的理论工作展示了在某些特定的任务下，量子分类模型和生成模型相对于经典模型具有可证明的、有复杂性理论保证的优势。最近两年，量子对抗机器学习的概念也被提出并受到了广泛关注。然而，在当前中等规模带噪声（NISQ）量子设备上演示量子学习模型面对对抗攻击的脆弱性和防御手段还面临诸多挑战。该研究中，清华大学交叉信息研究院邓东灵团队设计了处理经典数据和量子多体态数据的学习模型，并与浙江大学超导量子计算团队合作，首次在量子设备上成功实现了高维数据的学习、对抗攻击脆弱性的揭示以及相应防御手段的展示。

对于经典输入数据的量子对抗学习

实验首先进行的是高维经典数据的对抗学习，并采用了核磁共振图像（MRI）作为训练数据。为了在当前存在噪声的超导量子芯片上实现较高的分类精度，实验采用了变分参数和输入数据交错嵌入的方案。在训练至收敛并达到较好的效果后，实验通过生成对抗噪声的方式，发现这个量子分类模型面对添加了对抗噪声的样本会给出错误的分类判断，揭示了当前模型面对对抗攻击的脆弱性。为了增强模型面对潜在对抗噪声的鲁棒性，实验采用对抗训练的方式对模型进行了重新训练。相应的结果显示，在对抗训练后，之前导致模型给出错误判断的对抗样本不能使更新后的模型再次出错，对抗训练的防御效果得到了验证。

对于量子输入数据的对抗样本生成

此外，实验研究了量子学习模型对量子多体态数据的分类以及相应对抗样本的生成。实验通过多体哈密顿量演化的方式生成了两类量子态数据，即局域态和热化态。在训练完成后，模型可以以接近百分之百的精度区分这些量子态。通过生成对抗噪声，实验揭示了即使对抗样本保持了和原始样本相似的局域/热化性质，这些样本也能让模型给出错误的分类，从而展示了模型易受对抗噪声的影响。实验采用的36比特超导量子芯片具有易扩展的近邻连通架构。其高度的编程灵活性和99.94%/99.4%保真度的单/双比特量子门，为模型的实验实现提供了基础，并可用于探索更多未知的量子机器学习架构。

该成果论文“通过可编程超导量子比特实现量子对抗学习的实验演示”（Experimental quantum adversarial learning with programmable superconducting qubits）近日以封面论文形式发表在《自然·计算科学》（Nature Computational Science），并获得了该期刊的专栏评论。

该论文通讯作者为清华大学交叉信息研究院邓东灵助理教授、浙江大学物理学院王浩华教授和宋超研究员。清华大学交叉信息研究院2020级博士生李炜康，浙江大学2018级博士生任文慧、2020级博士生徐世波为文章共同第一作者。其他作者包括浙江大学超导量子计算团队部分成员，清华大学交叉信息研究院2019级博士生蒋文杰，以及北京雁栖湖应用数学研究院雅各布·比亚蒙特（Jacob Biamonte）教授。该项目得到了国家自然科学基金、国家重点研发计划以及上海期智研究院等的支持。