Navzdory velkým úspěchům a stále širšímu nasazení zůstávají systémy AI založené na strojovém učení velmi náchylné k útokům – to znamená ke škodlivým zásahům do zpracovávaných dat, které způsobují jejich překvapivé selhání. Například modely pro klasifikaci obrázků (které analyzují fotografie za účelem identifikace a rozpoznání nejrůznějších kritérií) mohou být často oklamány přidáním dobře připravených změn (tzv. perturbace) do vstupních obrázků. Tyto změny jsou přitom tak malé, že jsou lidským okem nepostřehnutelné. Útočníci toho mohou využít.
Přetrvávající zranitelnost vůči podobným útokům také vyvolává vážné otázky ohledně bezpečnosti nasazení neuronových sítí se strojovým učením v situacích, které mohou ohrozit lidský život. To se týká i aplikací, jako jsou samořízená auta, kde by systém mohl být zmaten nevinným graffiti na značce stop a projet křižovatkou.
Jak lze v této oblasti využít kvantové počítače, respektive kvantové algoritmy? Autoři nové studie z University of Melbourne přišli s následujícím nápadem. Vycházejí z toho, že již byly navrženy různé algoritmy „kvantového strojového učení“, včetně kvantových zobecnění standardních (klasických) metod strojového učení. Předpokládá se, že některé kvantové modely strojového učení se mohou učit určité typy dat podstatně rychleji než jakýkoli model určený pro počítače klasické. To ale není prozatím jasné (otázkou je samotné nasazení kvantových počítačů, zda kvantové algoritmy budou výhodnější pro data, která nás skutečně zajímají atd.) a v případě nové studie o to ani nejde. Práce publikovaná v Physical Review Research namísto toho navrhuje, že kvantové modely strojového učení mohou být lépe chráněny proti útokům protivníka generovaným klasickými počítači. Tyto útoky fungují tak, že identifikují vlastnosti používané konkrétním modelem strojového učení a pak se s touto znalostí snaží systém obelstít. Pracují cca na základě reverzního inženýrství původního trénovacího algoritmu (ať už přímo vědí, jaký konkrétně byl použit, nebo ne).
Funkce používané obecnými kvantovými modely strojového učení jsou však pro klasické počítače prakticky nedostupné, a tudíž pro protivníka vyzbrojeného pouze klasickými výpočetními prostředky neviditelné, uvádí studie.
Modely vytvořené pomocí klasického a kvantového strojového učení lze pak spustit vedle sebe, kvantově vyvinutý klidně jen v nějaké okleštěné verzi (a samozřejmě už na klasickém systému). Za normálních okolností by obě sítě měly dávat cca stejné odpovědi, ale v případě útoku pomocí speciálně upravených dat se jejich výstupy budou radikálně rozcházet – přičemž „zmanipulován“ byl systém s AI, který se učil na klasickém modelu (samozřejmě odlišné výstupy obou modelů mohou nastat i z jiných důvodů).
Maxwell T. West et al, Benchmarking adversarially robust quantum machine learning at scale, Physical Review Research (2023). DOI: 10.1103/PhysRevResearch.5.023186
Zdroj: University of Melbourne / TechXplore.com
Poznámka: Upravená verze téhož přístupu, používat vedle sebe více systémů vyvinutých klasicky a opět zpozornět, pokud se odpovědi začnou podstatně lišit. Upravit data tak, aby zmátly dva modely současně, by také bylo dost obtížné.