1. 论文基本信息

1.1. 标题

量子分类器的鲁棒性验证 (Robustness Verification of Quantum Classifiers)

1.2. 作者

Ji Guan, Wang Fang, Mingsheng Ying

1.3. 发表期刊/会议

预印本 (arXiv preprint)

1.4. 发表年份

2020年

1.5. 摘要

量子机器学习算法在量子世界中取得了成功，有望加速经典分类器的训练并应用于量子物理数据分析。然而，量子噪声是量子机器学习实际应用的主要障碍。在这项工作中，作者定义了一个针对量子机器学习算法抗噪声鲁棒性验证和分析的正式框架。推导出了一个鲁棒界限，并开发了一种算法来检查量子机器学习算法是否对量子训练数据具有鲁棒性。特别是，该算法在检查过程中可以找到对抗性样本 (adversarial examples)。该方法在 Google 的 TensorFlow Quantum 上实现，可以验证量子机器学习算法对来自周围环境的小噪声扰动的鲁棒性。通过实验结果，包括作为“Hello World”示例的量子比特分类 (quantum bits classification)、量子相识别 (quantum phase recognition) 和现实世界中难以处理的物理问题中的簇激发检测 (cluster excitation detection)，以及经典世界中 MNIST 数据集的分类，证实了所提出的鲁棒界限和算法的有效性。

1.6. 原文链接

• 预印本链接: https://arxiv.org/abs/2008.07230v2
• PDF 链接: https://arxiv.org/pdf/2008.07230v2.pdf
• 发布状态: 该论文于2020年8月17日作为预印本发布在 arXiv 上。

2. 整体概括

2.1. 研究背景与动机

近年来，机器学习与量子物理的交叉融合为两个领域都带来了新的发展。一方面，机器学习在过去二十年中取得了巨大进步，并被应用于解决许多具有挑战性的量子物理问题，如利用神经网络解决难以处理的量子多体问题。另一方面，量子计算作为一种新的计算模型，已被证明在某些重要问题上可以指数级加速经典算法，这推动了量子机器学习 (Quantum Machine Learning, QML) 的发展。QML 已被用于解决量子物理中的实际问题，例如量子卷积神经网络 (Quantum Convolutional Neural Networks, QCNNs) 被提出用于实现量子相识别。

然而，正如经典机器学习容易受到对抗性攻击（即，通过微小扰动构造的输入导致模型错误分类）一样，量子机器学习也面临类似的漏洞。在经典场景中，这种脆弱性促使了对抗性训练 (adversarial training) 等防御策略以及形式化方法 (formal methods) 的兴起，以提供可证明的鲁棒性保证。在量子领域，这种脆弱性更为普遍，因为在当前噪声中等规模量子 (Noisy Intermediate-Scale Quantum, NISQ) 时代，量子噪声是量子计算中不可避免的主要障碍。现有的量子机器学习鲁棒性研究大多集中在已知噪声源的情况，但量子攻击者通常是未知的环境，而非像经典情况中的人类。因此，针对未知对手推导鲁棒性保证，以及找到计算紧密鲁棒界限和有效生成对抗性样本的方法，成为了亟待解决的基本问题。

2.2. 核心贡献/主要发现

本文旨在解决上述挑战，并做出了以下核心贡献：

• 形式化框架的建立: 定义了一个针对量子机器学习算法抗噪声鲁棒性验证和分析的正式框架，使得上述问题可以以原则性的方式进行研究。
• 鲁棒界限的推导: 基于保真度 (fidelity) 作为距离度量，推导了一个分析性的鲁棒界限 (robust bound)，可以用于近似检查量子机器学习算法的鲁棒性。
• 将鲁棒性问题转化为 SDP: 证明了计算量子分类算法的最优鲁棒界限可以归结为解决一个半正定规划 (Semidefinite Programming, SDP) 问题。
• 高效鲁棒性验证算法的开发: 开发了一种能够精确且高效地检查量子机器学习算法鲁棒性并检测对抗性样本的算法（Algorithm 1: StateRobustnessVerifier 和 Algorithm 2: RobustnessVerifier）。该算法能够识别可用于对抗性训练的新训练数据。
• 在 TensorFlow Quantum 上的实现: 将鲁棒性验证算法在 Google 的 TensorFlow Quantum 平台上实现。
• 广泛的案例研究: 通过多个案例研究证实了所提出方法和鲁棒界限的有效性，包括量子比特分类、量子相识别、簇激发检测以及 MNIST 图像分类。这些实验涵盖了从“Hello World”示例到现实世界物理问题，再到经典机器学习问题的量子化版本。

3. 预备知识与相关工作

3.1. 基础概念

理解本文需要掌握以下核心量子信息和机器学习概念：

• 量子比特 (Qubit): 经典计算机的基本数据单位是比特（0或1），而量子计算机的基本单位是量子比特。一个量子比特由一个归一化的复数向量表示，例如 $| \phi \rangle = \binom{a}{b} = a|0\rangle + b|1\rangle$，其中 a, b 是满足 $|a|^2 + |b|^2 = 1$ 的复数。$|0\rangle = \binom{1}{0}$ 和 $|1\rangle = \binom{0}{1}$ 构成一个二维希尔伯特空间 (Hilbert space) 的正交基。对于 $n$ 个量子比特，量子数据是一个 $2^n$ 维希尔伯特空间 $\mathcal{H}$ 中的归一化复数向量，通常称为纯态 (pure state)。
• 纯态 (Pure State): 描述量子系统处于确定量子态的情况，由一个向量 $| \psi \rangle$ 表示。
• 混合态 (Mixed State): 描述量子系统处于一系列纯态的概率混合，或当系统与其他环境纠缠时其局部状态。混合态由密度算符 (density operator) $\rho$ 表示，它是一个厄米 (Hermitian)、正半定 (positive semidefinite) 且迹为1的矩阵。数学上，$\rho = \sum_k p_k |\psi_k\rangle\langle\psi_k|$，表示系统以概率 $p_k$ 处于纯态 $|\psi_k\rangle$。纯态可以看作混合态的特例，即 $\rho = |\psi\rangle\langle\psi|$。
• 量子电路 (Quantum Circuit): 量子计算的模型，由一系列量子逻辑门 (quantum logic gates) 组成。
• 酉算符 (Unitary Operator): 每个量子门都可以用一个酉矩阵 (unitary matrix) $U$ 来数学表示，满足 $U^\dagger U = UU^\dagger = I$，其中 $U^\dagger$ 是 $U$ 的共轭转置 (conjugate transpose)，$I$ 是单位矩阵 (identity matrix)。如果输入是纯态 $| \psi \rangle$，输出是 $| \psi' \rangle = U|\psi\rangle$。
• 超算符 (Super-operator): 量子计算的更一般模型，适用于混合态。它是一个将矩阵映射到矩阵的线性变换 $\mathcal{E}$。如果输入是混合态 $\rho$，输出是 $\rho' = \mathcal{E}(\rho)$。超算符必须是迹保持 (trace-preserving) 和完全正 (completely positive) 的。
• Kraus 算符 (Kraus Operators): 任何超算符 $\mathcal{E}$ 都可以用一组 Kraus 矩阵 $\{E_k\}_k$ 来表示，使得 $\mathcal{E}(\rho) = \sum_k E_k \rho E_k^\dagger$。
• 量子测量 (Quantum Measurement): 从量子态中提取信息的唯一方式。它由一组测量算符 (measurement operators) $\{M_k\}_{k=1}^m$ 表示，满足 $\sum_k M_k^\dagger M_k = I$。如果系统处于态 $\rho$，测量结果 $k$ 的概率是 $p_k = \mathrm{tr}(M_k^\dagger M_k \rho)$。测量后，系统状态会塌缩 (collapsed) 到 $\rho_k' = \frac{M_k \rho M_k^\dagger}{\mathrm{tr}(M_k^\dagger M_k \rho)}$。
• 保真度 (Fidelity): 量子信息中衡量两个量子态相似程度的度量。对于两个混合态 $\rho$ 和 $\sigma$，其保真度定义为 $F(\rho, \sigma) = [\mathrm{tr}(\sqrt{\sqrt{\rho}\sigma\sqrt{\rho}})]^2$。保真度值介于 0（完全不同）和 1（完全相同）之间。
• 迹距离 (Trace Distance): 另一个衡量两个量子态可区分性的度量，定义为 $T(\rho, \sigma) = \frac{1}{2}\|\rho - \sigma\|_{\mathrm{tr}}$。它量化了在最佳测量下区分两个态的最大概率。
• 对抗性样本 (Adversarial Example): 对机器学习算法的输入进行微小、通常难以察觉的扰动，但却能导致算法做出错误分类的样本。
• 半正定规划 (Semidefinite Programming, SDP): 一种凸优化 (convex optimization) 问题，其目标函数是线性的，约束条件是矩阵变量为半正定矩阵以及仿射空间 (affine space) 的交集。SDP 问题通常可以通过内点法 (interior point methods) 高效求解。
• 二次约束二次规划 (Quadratically Constrained Quadratic Program, QCQP): 一种优化问题，其中目标函数和所有约束函数都是二次函数。如果所有二次函数都是凸的，则问题是凸的；否则，通常是 NP-hard 问题。

3.2. 前人工作

• 经典机器学习的对抗性鲁棒性: 经典机器学习算法已被发现容易受到对抗性样本攻击。例如，文献 [8,9] 揭示了精心设计的扰动可以导致深度学习模型错误分类。
• 经典鲁棒性验证: 机器学习社区开发了专门的攻击算法来生成对抗性样本。形式化方法社区也开始通过可证明的方式验证经典机器学习算法的鲁棒性，例如 VerifAI [17] 和 NNV [18] 等工具，它们能够为给定输入提供鲁棒性保证或生成反例 (counter-example)。
• 量子机器学习的鲁棒性研究: 针对特定噪声源的量子机器学习鲁棒性研究已经出现。例如，Lu et al. [19] 研究了对各种经典对抗性攻击的鲁棒性；Du et al. [20] 证明了在量子电路中添加去极化噪声 (depolarization noise) 可以得到对抗性鲁棒界限；Liu and Wittek [21] 给出了特殊酉群 (special unitary group) 引起的量子噪声的鲁棒界限；Weber et al. [22] 将二元量子假设检验 (binary quantum hypothesis testing) 与鲁棒量子机器学习算法联系起来。

3.3. 技术演进

该领域的技术演进经历了从经典机器学习的对抗性攻击与防御到量子机器学习的鲁棒性研究。经典领域的经验表明，模型在面对微小扰动时可能表现出意想不到的脆弱性。随着量子计算和量子机器学习的兴起，这种脆弱性因量子噪声的固有存在而变得更加突出。早期的量子鲁棒性研究主要集中在已知或特定类型的噪声源。本文的工作则进一步将鲁棒性研究推广到未知噪声的情况，并通过引入形式化验证框架和将问题转化为凸优化（SDP）的方式，提供了更具普适性和可证明性的鲁棒性分析工具。这代表了从特定噪声模型到通用未知环境扰动鲁棒性分析的重要一步。

3.4. 差异化分析

本文与现有研究的主要差异和创新点在于：

• 未知噪声源的鲁棒性: 现有量子机器学习鲁棒性研究大多考虑已知噪声源（如去极化噪声），而本文则着眼于未知环境噪声。为了防御未知对手，需要推导针对最坏情况的鲁棒性保证。
• 保真度作为距离度量: 论文选择保真度来定义量子态之间的距离 $D(\rho, \sigma) = 1 - F(\rho, \sigma)$。这一点与一些使用迹距离的研究（如 [20]）不同。作者在 Remark 3 和 Appendix A 中论证了在量子机器学习的场景下，保真度比迹距离更适合作为衡量噪声不确定性的度量，因为它与区分态所需的样本数呈线性关系。
• 问题归约为 SDP: 论文证明了计算最优鲁棒界限和验证鲁棒性可以归结为解决一个半正定规划 (SDP) 问题。这与经典机器学习中鲁棒性验证通常是非凸和 NP-complete 问题形成鲜明对比，使得量子分类器在混合态情况下的鲁棒性验证可以高效地进行。
• 生成对抗性样本的机制: 提出的算法不仅能验证鲁棒性，还能在发现非鲁棒性时生成对抗性样本，这为量子对抗性训练 (quantum adversarial training) 提供了基础。

4. 方法论

4.1. 方法原理

本文方法的核心原理是基于量子力学的线性性质。量子机器学习模型（超算符和测量）是线性的，这使得鲁棒性验证问题可以被转化为凸优化问题，即半正定规划 (SDP)。通过定义量子态之间的距离为 $1 - \text{Fidelity}$，作者首先推导了一个快速但可能不精确的鲁棒界限。然后，对于更精确的验证，将寻找对抗性样本（即在给定扰动范围内改变分类结果的相似量子态）的问题，转化为一个优化问题。具体而言，对于混合态，该问题可以表达为 SDP，从而能够高效地找到最优鲁棒界限或对抗性样本。对于纯态，问题被归结为二次约束二次规划 (QCQP)。

4.2. 核心方法详解 (逐层深入)

4.2.1. 量子分类算法

本文关注的是量子监督分类 (quantum supervised classification)。 定义 1. 一个量子分类算法 $\mathcal{A}$ 是一个从希尔伯特空间 $\mathcal{H}$ 上的所有（混合）量子态集合 $\mathcal{D}(\mathcal{H})$ 到我们感兴趣的类别集合 $\mathcal{C}$ 的映射 $\mathcal{D}(\mathcal{H}) \to \mathcal{C}$。

分类器 $\mathcal{A}$ 通过一个训练数据集 $T = \{(\rho_i, c_i)\}_{i=1}^N$ 进行学习，其中 $\rho_i$ 是量子态，$c_i$ 是对应的类别标签。学习过程涉及一个参数化的量子学习模型——参数化量子电路 $\mathcal{E}_\theta$ 和一个测量 $\{M_k\}_{k \in \mathcal{C}}$。$\mathcal{E}_\theta$ 是一个量子超算符，$\theta$ 是一组可调参数。 对于每个类别 $k \in \mathcal{C}$，测量结果为 $k$ 的概率计算如下： $$f_k(\theta, \rho) = \mathrm{tr}(M_k^\dagger M_k \mathcal{E}_\theta(\rho)) \quad (6)$$ 其中 $M_k^\dagger M_k$ 是测量算符 $M_k$ 的正算符 (POVM element)。 量子分类算法 $\mathcal{A}$ 根据以下条件输出量子态 $\rho$ 的类别标签 $c$: $$\mathcal{A}(\theta, \rho) = \arg \max_k \mathrm{tr}(M_k^\dagger M_k \mathcal{E}_\theta(\rho)) \quad (7)$$ 学习过程通过优化 $\theta$ 来最小化经验风险 (empirical risk)： $$\min_\theta \frac{1}{N} \sum_{i=1}^N \mathcal{L}(f(\theta, \rho_i), c_i) \quad (8)$$ 其中 $\mathcal{L}$ 是预定义的损失函数，$f(\theta, \rho)$ 是一个概率向量，其元素为 $f_k(\theta, \rho)$，$c_i$ 也是一个概率向量，对应于 $c_i$ 的条目为 1，其余为 0。本文主要考虑均方误差 (Mean-Squared Error, MSE) 作为损失函数 $\mathcal{L}$，即平方误差：$\mathcal{L}(f(\theta, \rho_i), c_i) = \frac{1}{C} \|f(\theta, \rho_i) - c_i\|_2^2$，其中 $C$ 是类别数量，$\|\cdot\|_2$ 是 $l_2$ 范数。 在论文中，作者聚焦于经过良好训练 (well-trained) 的量子分类算法 $\mathcal{A}$，其参数已优化到 $\theta^*$，因此通常省略 $\theta^*$，表示为 $\mathcal{A} = (\mathcal{E}, \{M_k\}_k)$。

图 1（原文 Figure 1）展示了 CNN 和 QCNN 的简单示例。QCNN 借鉴了 CNN 的主要特点和结构，将其应用于量子计算。

该图像是一个示意图，展示了量子分类器的结构与工作流程。部分(a)显示了从输入图像到特征提取的卷积与池化过程；部分(b)则说明了根据信息状态 ho 的量子门操作、测量及其所涉及的单位矩阵和MCUG模块。

图 1: CNN 和 QCNN 的简单示例。QCNN 像 CNN 一样，包括一个卷积层（用于找到新状态）和一个池化层（用于减小模型大小）。这里，MCUG 代表测量控制酉门 (measurement control unitary gate)，即当且仅当测量结果为 1 时，酉矩阵 $V_1$ 应用于电路。

4.2.2. 鲁棒性定义

定义 2 (对抗性样本). 假设给定一个量子分类器 $\mathcal{A}(\cdot)$，一个输入样本 $(\rho, c)$，一个距离度量 $D(\cdot, \cdot)$ 和一个足够小的阈值 $\epsilon > 0$。如果满足以下条件，则称 $\sigma$ 是 $\rho$ 的一个 $\epsilon$-对抗性样本： $$(\mathcal{A}(\rho) = c) \wedge (\mathcal{A}(\sigma) \neq c) \wedge (D(\rho, \sigma) \leq \epsilon).$$ 这表示 $\rho$ 被正确分类为 $c$，而与 $\rho$ 相似（距离小于等于 $\epsilon$）的 $\sigma$ 却被错误分类为非 $c$ 的类别。

定义 3 (对抗性鲁棒性). 令 $\mathcal{A}$ 为一个量子分类器。如果 $\rho$ 没有对抗性样本，则称 $\rho$ 对于 $\mathcal{A}$ 是 $\epsilon$-鲁棒的。

问题 1 (鲁棒性验证问题). 给定一个量子分类器 $\mathcal{A}(\cdot)$ 和一个输入样本 $(\rho, c)$。检查是否对于所有 $\sigma \in \mathcal{N}_\epsilon(\rho)$ 都满足 $\mathcal{A}(\sigma) = c$，其中 $\mathcal{N}_\epsilon(\rho) = \{\sigma \in \mathcal{D}(\mathcal{H}) : D(\rho, \sigma) \leq \epsilon\}$ 是 $\rho$ 的 $\epsilon$-邻域。如果不是，则产生一个对抗性样本（反例）$\sigma \in \mathcal{N}_\epsilon(\rho)$。

定义 4 (鲁棒准确率). 令 $\mathcal{A}$ 为一个量子分类器。$\mathcal{A}$ 的 $\epsilon$-鲁棒准确率 (robust accuracy) 是训练数据集中 $\epsilon$-鲁棒态的比例。

4.2.3. 距离度量

本文选择使用保真度定义的距离 $D(\rho, \sigma) = 1 - F(\rho, \sigma)$，其中 $F(\rho, \sigma) = [\mathrm{tr}(\sqrt{\sqrt{\rho}\sigma\sqrt{\rho}})]^2$。 原因: 作者在 Remark 3 和 Appendix A 中详细解释了选择保真度而不是迹距离的原因。在量子机器学习中，为了准确估计测量概率 $f_k(\theta, \rho)$（如 $Eq. (6)$ 所示），需要足够多的量子态副本。迹距离和保真度都衡量量子态的可区分性，但它们在需要区分的态副本数量方面有所不同。量子 Chernoff 界限 (quantum Chernoff bound) 表明，当两个态非常接近时，区分它们所需的副本数 $N$ 与不保真度 (infidelity) $1 - F(\rho, \sigma)$ 呈线性关系，而与迹距离 $\|\rho - \sigma\|_{\mathrm{tr}}$ 呈二次关系。因此，在量子机器学习这种需要大量副本进行统计的场景中，保真度作为距离度量更为合适。

4.2.4. 鲁棒界限 (Lemma 1)

引理 1 (鲁棒界限). 给定一个量子分类器 $\mathcal{A} = (\mathcal{E}, \{M_k\}_{k \in \mathcal{C}})$ 和一个量子态 $\rho$。令 $p_1$ 和 $p_2$ 分别是 $\{\mathrm{tr}(M_k^\dagger M_k \mathcal{E}(\rho))\}_k$ 中的最大和次大元素。如果 $\sqrt{p_1} - \sqrt{p_2} > \sqrt{2\epsilon}$，则 $\rho$ 是 $\epsilon$-鲁棒的。

证明概述 (详见附录 B): 证明利用了保真度的单调性 (monotonicity)，即 $F(\mathcal{E}(\rho), \mathcal{E}(\sigma)) \geq F(\rho, \sigma) \geq 1 - \epsilon$。然后将概率分布 $(\sqrt{p_1}, \dots, \sqrt{p_n})$ 和 $(\sqrt{q_1}, \dots, \sqrt{q_n})$ 视为单位向量。问题转化为找到一个与 $\vec{p}$ 内积最大但分类结果不同的向量 $\vec{q}$。通过解决一个优化问题（利用拉格朗日乘数法），可以得到这个最大内积的值，从而推导出上述鲁棒界限。这个界限提供了一个快速近似检查鲁棒性的方法。

4.2.5. 鲁棒性验证的 SDP 归约 (Theorem 1 和 Theorem 2)

当引理 1 的条件不满足时，需要精确计算最优鲁棒界限。作者证明这可以归结为解决半正定规划 (SDP) 问题。 定理 1 ($\epsilon$-鲁棒性验证). 令 $\mathcal{A} = (\mathcal{E}, \{M_k\}_{k \in \mathcal{C}})$ 为一个量子分类器，$\rho$ 是一个态，且 $\mathcal{A}(\rho) = l$。则 $\rho$ 是 $\epsilon$-鲁棒的当且仅当对于所有 $k \in \mathcal{C}$ 且 $k \neq l$，以下问题无解（可行性问题）： $$\begin{array}{rl} \min_{\sigma \in \mathcal{D}(\mathcal{H})} & 0 \\ \text{subject to} & \sigma \geq 0 \\ & \mathrm{tr}(\sigma) = 1 \\ & \mathrm{tr}[(M_l^\dagger M_l - M_k^\dagger M_k)\mathcal{E}(\sigma)] \leq 0 \\ & 1 - F(\rho, \sigma) \leq \epsilon \end{array}$$ 证明概述 (详见附录 C): 充分性直接来自对抗性鲁棒性的定义。必要性方面，如果存在一个 $k \neq l$ 使得上述问题有解 $\sigma$，则意味着存在一个态 $\sigma$ 使得 $\mathcal{A}(\sigma) = k \neq l$，并且 $D(\rho, \sigma) \leq \epsilon$，因此 $\sigma$ 是一个对抗性样本，$\rho$ 不是 $\epsilon$-鲁棒的。 将上述问题归约为 SDP 的关键在于：量子态集合 $\mathcal{D}(\mathcal{H})$ 是一个正半定矩阵的凸集；计算保真度 $F(\rho, \sigma)$ 可以归结为解决一个 SDP 问题 [44]；所有超算符和测量都是线性的。因此，整个问题可以表示为一个 SDP。

定理 2 (最优鲁棒界限). 令 $\mathcal{A}$ 和 $\rho$ 如定理 1 中所述，且 $\mathcal{A}(\rho) = l$。令 $\delta_k$ 为以下问题的解： $$\begin{array}{rl} \delta_k = \min_{\sigma \in \mathcal{D}(\mathcal{H})} & 1 - F(\rho, \sigma) \\ \text{subject to} & \sigma \geq 0 \\ & \mathrm{tr}(\sigma) = 1 \\ & \mathrm{tr}[(M_l^\dagger M_l - M_k^\dagger M_k)\mathcal{E}(\sigma)] \leq 0 \end{array}$$ 如果问题无解，则 $\delta_k = +\infty$。则 $\delta = \min_{k \neq l} \delta_k$ 是 $\rho$ 的最优鲁棒界限。 证明概述: 证明与定理 1 类似。这个定理通过找到在改变分类结果的所有可能类别 $k \neq l$ 中，与 $\rho$ 距离最小（即 $1 - F(\rho, \sigma)$ 最小）的对抗性样本所对应的距离，来确定 $\rho$ 的最优鲁棒界限。

注 4. 作者指出，之所以量子分类器的鲁棒性验证可以归结为 SDP，是因为量子学习模型由量子力学的基本假设所决定的线性性质。而经典机器学习中神经网络表示的函数通常是非线性，导致其鲁棒性验证是非凸问题，通常难以高效求解。

4.2.6. 鲁棒性验证算法

算法 1 StateRobustnessVerifier($\mathcal{A}, \epsilon, \rho, l$)

• 输入:
  • $\mathcal{A} = (\mathcal{E}, \{M_k\}_{k \in \mathcal{C}})$: 经过良好训练的量子分类器。
  • $\epsilon < 1$: 一个实数，表示扰动阈值。
  • $(\rho, l)$: 训练数据集中的一个元素，其中 $\rho$ 是量子态，$l$ 是其正确类别。
• 输出: true 表示 $\rho$ 是 $\epsilon$-鲁棒的；或者 false 和一个对抗性样本 $\sigma$ 表示 $\rho$ 不是 $\epsilon$-鲁棒的。
• 步骤:

  1. 对于每个类别 $k \in \mathcal{C}$ 且 $k \neq l$：

  2. 通过 SDP 求解器，计算定理 2 中 SDP 问题的解 $\delta_k$ 和对应的最优态 $\sigma_k$。

  3. 循环结束。

  4. 令 $\delta = \min_k \delta_k$（所有 $k \neq l$）和 $k^* = \arg \min_k \delta_k$。

  5. 如果 $\delta > \epsilon$：

  6. 返回 true。

  7. 否则：

  8. 返回 false 和 $\sigma_{k^*}$。

  9. 结束。

     定理 3. 算法 1 的最坏情况复杂度是 $O(|\mathcal{C}| \cdot n^{6.5})$，其中 $n$ 是输入态 $\rho$ 的维度，$|\mathcal{C}|$ 是类别集合 $\mathcal{C}$ 的数量。 解释: 算法 1 的主要开销在于第 2 行调用 SDP 求解器。SDP 求解通常使用内点法，复杂度为 $O(n^{6.5})$，其中 $n$ 是 SDP 中半正定矩阵的行数，即在此情境下量子态希尔伯特空间的维度。由于需要对 $|\mathcal{C}| - 1$ 个不同的目标类别 $k$ 运行 SDP，因此总复杂度为 $O(|\mathcal{C}| \cdot n^{6.5})$。

算法 2 RobustnessVerifier($\mathcal{A}, \epsilon, T$)

• 输入:
  • $\mathcal{A} = (\mathcal{E}, \{M_k\}_{k \in \mathcal{C}})$: 经过良好训练的量子分类器。
  • $\epsilon < 1$: 一个实数，表示扰动阈值。
  • $T = \{(\rho_i, l_i)\}_{i=1}^{|T|}$: $\mathcal{A}$ 的训练数据集。
• 输出: 鲁棒准确率 RA 和一个集合 $R = \{(\sigma_j, i_j)\}$，其中对于每个 $j$，$\sigma_j$ 是 $\rho_{i_j}$ 的一个 $\epsilon$-对抗性样本；如果 $T$ 中所有状态都是 $\epsilon$-鲁棒的，则 $R$ 可以是空集。
• 步骤:

  1. 初始化空集 $R \equiv \varnothing$。// 记录对抗性样本和训练数据集中相应状态的索引

  2. 对于训练数据集 $T$ 中的每个 $(\rho_i, l_i)$：

  3. 令 $p_1$ 和 $p_2$ 分别是 $\{\mathrm{tr}(M_k^\dagger M_k \mathcal{E}(\rho_i))\}_k$ 中的最大和次大元素。

  4. 如果 $\sqrt{p_1} - \sqrt{p_2} \leq \sqrt{2\epsilon}$ 则 // 应用引理 1 中的鲁棒界限来快速识别潜在的非鲁棒态

  5. 调用 StateRobustnessVerifier 算法 Algorithm 1 获得输出 result 和 $\sigma$（如果非鲁棒）。

  6. 如果 result 是 false：

  7. 将 $(\sigma, i)$ 添加到集合 $R$ 中。

  8. 结束。

  9. 循环结束。

  10. 返回 $RA = 1 - \frac{|R|}{|T|}$ 和 $R$。 // 如果 $R$ 是空集，则 $|R|=0$

      复杂度分析: 算法 2 的最坏情况复杂度是 $O(|T| \cdot |\mathcal{C}| \cdot n^{6.5})$。然而，通过在第 4 行利用引理 1 的鲁棒界限进行快速筛选，可以显著减少对 Algorithm 1 的调用次数。引理 1 的复杂度仅为 $O(|\mathcal{C}| \cdot n^3)$。如果只有一小部分状态被引理 1 标记为“潜在非鲁棒”，那么实际复杂度将接近 $O(|T'| \cdot |\mathcal{C}| \cdot n^{6.5})$，其中 $|T'|$ 是潜在非鲁棒状态的数量，且 $|T'| \ll |T|$。

对抗性训练 (Adversarial Training): Algorithm 2 的一个重要优点是，当发现 $\epsilon$-鲁棒性失败时，它会自动生成对抗性样本 $\sigma$。通过将 $(\sigma, l)$（其中 $l$ 是 $\rho$ 的正确类别）追加到训练数据集中，可以重新训练分类器 $\mathcal{A}$ 以提高其鲁棒性。

注 5. 作者再次强调，由于量子学习模型的线性性质，量子分类器的鲁棒性验证可以高效完成（在输入态大小上具有多项式时间复杂度）。这与经典机器学习算法（例如非线性非凸的深度神经网络）的鲁棒性验证通常是 NP-complete 问题形成对比。

4.2.7. 纯态鲁棒性验证 (附录 D)

在纯态情况下，鲁棒性验证变得更加困难。 推论 1 (纯态最优鲁棒界限). 令 $\mathcal{A} = (\mathcal{E}, \{M_k\}_{k \in \mathcal{C}})$ 为一个量子分类器，$|\psi\rangle$ 是一个纯态，且 $\mathcal{A}(|\psi\rangle\langle\psi|) = l$。则 $\delta$ 是纯态 $|\psi\rangle$ 对纯态对抗性样本的最优鲁棒界限，其中 $\delta = \min_{k \neq l} \delta_k$，且 $\delta_k$ 是以下二次约束二次规划 (Quadratically Constrained Quadratic Program, QCQP) 的解： $$\begin{align*} \delta_k &= \min_{|\varphi\rangle \in \mathcal{H}} \ 1 - \langle \varphi|\psi\rangle\langle\psi|\varphi\rangle \\ & \text{subject to} \quad \langle \varphi|\varphi\rangle = 1 \\ & \langle \varphi|\mathcal{E}^\dagger (M_l^\dagger M_l - M_k^\dagger M_k)|\varphi\rangle \le 0 \end{align*}$$ 如果 QCQP 无解，则 $\delta_k = +\infty$。 证明概述: 证明基于定理 2，并利用了纯态保真度的性质 $F(|\psi\rangle\langle\psi|, |\varphi\rangle\langle\varphi|) = \langle\varphi|\psi\rangle\langle\psi|\varphi\rangle$ 以及 $\mathrm{tr}(|\varphi\rangle\langle\varphi|A) = \langle\varphi|A|\varphi\rangle$。由于纯态的集合不是凸的，导致其约束条件是非凸的二次函数，所以它是一个非凸的 QCQP。 挑战: 一般而言，解决 QCQP 是一个 NP-hard 问题。虽然存在一些数值工具可以求解 QCQP，但其效率通常不如 SDP。这意味着纯态情况下的最优鲁棒界限计算比混合态情况要困难得多。

5. 实验设置

5.1. 数据集

为了充分展示方法的有效性，实验在四种不同的量子分类器上进行，涵盖了从入门示例到复杂物理问题，再到经典问题的量子化版本。

5.1.1. 量子比特分类 ("Hello World" 示例)

• 任务: 对单个量子比特在 Bloch 球面上两个区域进行二元分类。

• 数据生成: 在 Bloch 球面的 X-Z 平面中选择两个随机归一化纯态 $|a\rangle$ 和 $|b\rangle$（例如，角度 $\theta_a = 1$, $\theta_b = 1.23$）。围绕这两个向量随机采样两组量子数据点。

• 规模: 800 个训练样本，200 个验证样本。

• 特点: 最简单的量子机器学习分类任务，用于演示基本概念。

• 模型: 一个参数化的 $R_y(\theta)$ 旋转门，后接一个沿 Z 轴的测量 $M = \{M_a = |0\rangle\langle0|, M_b = |1\rangle\langle1|\}$。

• 训练: 使用 Adam 优化器最小化 MSE，最终 $\theta = 0.4835$，训练和验证准确率均为 100%。

  图 2（原文 Figure 2）展示了量子比特分类的训练模型。

  该图像是量子计算中的一个示意图，展示了量子态在布洛赫球上的表示。左侧的布洛赫球上显示了状态 $|0\rangle$ 和 $|1\rangle$ 的投影，右侧则是量子门 $R_y(\theta)$ 和测量模块 $M$ 的组合，展示了量子态的旋转及其测量过程。

图 2: 量子比特分类的训练模型：左图显示了在 Bloch 球面上表示的量子训练数据集样本。样本分为红色和黄色两类。向量是采样点周围的状态。右图的第一部分是一个参数化旋转门，其作用是消除量子数据中的叠加。第二部分是沿 Bloch 球面 Z 轴的测量 $M$，将量子数据转换为类别。

5.1.2. 量子相识别 (QPR)

• 任务: 识别一维多体系统（自旋-1/2 链）的基态是否属于某个 $Z_2 \times Z_2$ 对称保护拓扑 (Symmetry-Protected Topological, SPT) 相 $\mathcal{P}$。

• 数据生成: 采样一系列哈密顿量 $H$（$h_2/J = 0$， $h_1/J$ 从 0 到 1.2 均匀变化），计算其基态作为训练数据。从二维空间 $(h_1/J, h_2/J)$ 的两个随机区域均匀采样验证数据。

• 规模: 1000 个训练数据，400 个验证数据。

• 特点: 真实的、难以处理的量子物理问题，需要识别量子相变。使用 6 量子比特实例作为测试平台。

• 模型: 量子卷积神经网络 (QCNN)，电路结构如附录 E 中图 4b 所示。酉算符 $U_i, V_j, F$ 使用广义 Gell-Mann 矩阵基进行参数化，共 114 个参数。测量为 $M = \{M_0 = |+\rangle\langle+|, M_1 = |-\rangle\langle-\rangle\}$，输出 0 表示属于 $\mathcal{P}$ 相。

• 训练: 使用 Adam 优化器最小化 MSE。训练准确率 97.7%，验证准确率 95.25%。

  图 4（原文 Figure 4）展示了量子相识别的训练模型。

  该图像是一个量子电路示意图，包含两个部分 (a) 和 (b)。部分 (a) 主要展示了 Hadamard 门与旋转门的组合，用于量子状态的准备和变换；部分 (b) 则展示了多个控制门和测量过程，体现了量子机器学习算法的结构和过程。图中涉及的旋转操作可表示为 $R_x, R_y, R_z$ 等。

图 4: (a) 通过我们训练的 QCNN 模型获得的输入大小 $N = 6$ 自旋的相图。(b) 我们的 QCNN 电路模型。

5.1.3. 簇激发检测 (Cluster Excitation Detection)

• 任务: 训练量子分类器检测制备的簇态 (cluster state) 是否“激发” (excited)。一个足够大的 $X$ 旋转被认为是激发态（标签 0），否则不是（标签 1）。

• 数据生成: 使用附录 E 中图 5a 所示电路生成簇态，通过在一个量子比特上执行 $X$ 旋转（角度 $\theta$ 从 $-\pi$ 到 $\pi$）。如果 $-\pi/2 \leq \theta \leq \pi/2$，标签为 1；否则为 0。

• 规模: 840 个训练样本，360 个验证样本。

• 特点: 另一个真实的物理问题，用于检测量子态的特定性质。使用 6 量子比特。

• 模型: 量子卷积神经网络 (QCNN)，结构如附录 E 中图 5b 所示。测量为 $M = \{M_0 = |0\rangle\langle0|, M_1 = |1\rangle\langle1|\}$。

• 训练: 使用 Adam 优化器最小化 MSE。训练准确率 99.76%，验证准确率 99.44%。

  图 5（原文 Figure 5）展示了簇激发检测的训练模型。

  该图像是一个量子电路示意图，展示了不同量子门 $C_i$ 和测量门 $P_j$ 的组合如何通过量子态的操作进行分类。该电路结构展示了一个可能的量子分类器设计，图中用不同的 $C$ 和 $P$ 表示多个量子门及其相互连接方式。

图 5: (a) 生成簇态的电路。(b) 簇激发检测的分类模型。

5.1.4. MNIST 分类

• 任务: 识别 MNIST 手写数字数据集中的数字 3 和 6。

• 数据生成: 从 MNIST 数据集中选择 700 张数字 3 和 700 张数字 6 的图像。将 $28 \times 28$ 图像下采样到 $16 \times 16$ 像素，然后通过振幅编码 (amplitude encoding) 将其编码为 8 量子比特的纯态。

• 规模: 1000 个训练样本，400 个验证样本。

• 特点: 经典机器学习的“Hello World”问题，旨在探索量子计算对经典任务的潜在优势。图像被编码为纯态。

• 模型: QCNN 模型，结构如附录 E 中图 6 所示。测量为 $M = \{M_0 = |+\rangle\langle+|, M_1 = |-\rangle\langle-\rangle\}$。输出 1 表示数字 3，输出 0 表示数字 6。

• 训练: 使用 Adam 优化器最小化 MSE。训练准确率 98.4%，验证准确率 97.5%。

  图 6（原文 Figure 6）展示了 MNIST 分类的 QCNN 模型。

  该图像是图表，包括两个部分。左侧（a）展示了量子分类器的相图，其中表明了相变点SPT的位置，右侧（b）展示了量子电路的结构，包括多个量子操作$U_i$和控制量子比特$V_i$在电路中如何布局的示意图。

图 6: 用于 MNIST 分类的 QCNN 模型。

5.2. 评估指标

论文主要使用了以下两个评估指标：

• 鲁棒准确率 (Robust Accuracy):
  • 概念定义: 鲁棒准确率衡量的是分类器在面对一定程度的扰动（即 $\epsilon$-邻域内的对抗性样本）时，仍然能够正确分类的样本所占的比例。它反映了分类器在噪声或对抗性攻击下的稳健性。
  • 数学公式: $$RA = \frac{|\{\rho_i \in T \mid \rho_i \text{ is } \epsilon\text{-robust for } \mathcal{A}\}|}{|T|}$$
  • 符号解释:
    • RA: 鲁棒准确率。
    • $T$: 训练数据集（或验证数据集）。
    • $\rho_i$: 数据集中的第 $i$ 个量子态。
    • $\mathcal{A}$: 量子分类器。
    • $|\cdot|$: 集合的基数（元素数量）。
    • $\epsilon$-robust: 根据定义 3，表示在给定扰动阈值 $\epsilon$ 下，该态没有对抗性样本。
• 验证时间 (Verification Times):
  • 概念定义: 指的是执行鲁棒性验证算法所需的时间。这是一个衡量算法效率的关键指标。
  • 数学公式: 无标准化公式，通常以秒 (Seconds) 为单位记录。
  • 符号解释: 无。

5.3. 对比基线

论文将两种不同的鲁棒性验证方法进行了对比：

• 基于鲁棒界限的近似方法 (Robust Bound - Algorithm 3): 这种方法利用引理 1 中推导的鲁棒界限来快速识别潜在的非鲁棒态，并对鲁棒准确率进行下近似 (under-approximation)。它的计算成本较低。
• 基于最优鲁棒性算法的精确方法 (Robustness Algorithm - Algorithm 2): 这种方法通过求解 SDP（或 QCQP 对于纯态）来精确计算最优鲁棒界限并验证 $\epsilon$-鲁棒性，同时可以发现对抗性样本。它的计算成本相对较高，但结果更精确。

6. 实验结果与分析

实验在 Intel(R) Core(TM) i7-9700 CPU @ 3.00GHz × 8 处理器、15.8 GiB 内存、Ubuntu 18.04.5 LTS 的计算机上进行。SDP 求解器使用 CVXPY: Python Software for Disciplined Convex Programming [38]，QCQP 求解器使用 SciPy。实验中，$\epsilon$ 的值代表量子控制的状态制备能力，通常设置为较小的值。

6.1. 核心结果分析

实验结果在表 1-4 中呈现，展示了两种方法（基于鲁棒界限的近似方法和基于最优鲁棒算法的精确方法）在鲁棒准确率和验证时间上的表现。

6.1.1. 量子比特分类结果 (表 1)

以下是原文 Table 1 的结果：

分析:

• 鲁棒准确率: 基于鲁棒界限的方法（Algorithm 3）提供的鲁棒准确率下近似值与精确算法（Algorithm 2）的结果非常接近。例如，当 $\epsilon = 0.001$ 时，近似值为 88.13%，精确值为 90.00%，差异很小。随着 $\epsilon$ 增大，鲁棒准确率下降，表明分类器对更大的扰动越不鲁棒。
• 验证时间: 基于鲁棒界限的方法验证时间极短（不到 0.01 秒），且几乎不受 $\epsilon$ 值影响。而精确算法的验证时间显著更长，并且随着 $\epsilon$ 值的增大而增加。这证实了 Algorithm 3 在快速筛选潜在非鲁棒态方面的效率。

6.1.2. 量子相识别结果 (表 2)

以下是原文 Table 2 的结果：

分析:

• 鲁棒准确率: 在量子相识别任务中，对于较小的 $\epsilon$ 值（例如 0.0001, 0.0002, 0.0003），基于鲁棒界限的近似值与精确值完全相同。即使对于 $\epsilon = 0.0004$，两者也仅相差 0.1%。这表明引理 1 的鲁棒界限在该任务中提供了非常准确的下近似。
• 验证时间: 同样，近似方法验证时间非常短（约 1.5 秒），而精确方法则需要数十秒。这种效率差异在处理大规模数据集时尤为重要。

6.1.3. 簇激发检测结果 (表 3)

以下是原文 Table 3 的结果：

分析:

• 鲁棒准确率: 在簇激发检测任务中，精确算法显示出 100% 的鲁棒准确率，这表明该分类器对所选 $\epsilon$ 范围内的噪声扰动非常鲁棒。然而，近似方法给出的鲁棒准确率略低，存在 1% 左右的差距。这说明在某些情况下，引理 1 的界限可能不是那么紧密，但仍能提供一个有效的下界。
• 验证时间: 近似方法依然保持极高的效率（约 1.25 秒）。精确算法的验证时间则显著增加，达到了数百秒，并且随着 $\epsilon$ 的增加而显著增长。这进一步凸显了结合两种算法的策略在实际应用中的重要性。

6.1.4. MNIST 分类结果 (表 4)

以下是原文 Table 4 的结果：

分析:

• 鲁棒准确率: 对于 MNIST 分类，两种方法计算的鲁棒准确率都非常高，且非常接近。在某些 $\epsilon$ 值下，近似值与精确值完全相同。这表明分类器对这些扰动表现出高度的鲁棒性。

• 验证时间: 近似方法在 MNIST 上的验证时间非常短（不到 0.14 秒）。原文表格中缺少了精确算法的验证时间数据，但根据其他实验的趋势，可以推断精确算法的时间会更高。

• 对抗性样本可视化: 论文特别展示了 MNIST 分类中由 Algorithm 2（使用了 QCQP 求解器，因为 MNIST 图像编码为纯态）生成的对抗性样本。

  图 3（原文 Figure 3）展示了两个训练态及其由 Algorithm 2（带有 QCQP 求解器）生成的对抗性样本。

  该图像是示意图，展示了数字 3 和 6 的重缩放与合成过程。左侧为原始数字图像，右侧为重缩放后的合成图像，显示了原图像标签的变化。图像中还展示了在具有噪音的条件下，如何进行分类视觉化。通过这种方式，可以观察到图像标签的影响和变化。

图 3: 由 Algorithm 2（带有 QCQP 求解器）生成的两个训练态及其对抗性样本：第一列图像是 MNIST 中 $28 \times 28$ 的良性数据；第二列显示了两个下采样到 $16 \times 16$ 的灰度图像；最后一列图像是从 Algorithm 2 发现的对抗性样本解码而来。第三列图像是良性图像和对抗性图像之间的灰度差异。 分析: 从图 3 可以看出，良性图像和对抗性图像在感知上非常相似，肉眼难以察觉差异。然而，这些微小扰动却足以改变分类器的输出。这证明了作者的鲁棒性验证算法不仅能检测量子对抗性样本，也能检测经典对抗性样本，并有效生成它们，为量子对抗性训练提供了有力的证据。

6.2. 总结

总的来说，所有实验结果都证实了引理 1 中推导的鲁棒界限具有很好的可扩展性，并且 Algorithm 3 提供的鲁棒准确率下近似可以在显著更短的时间内完成。Algorithm 2 则提供了精确的鲁棒性验证和对抗性样本生成能力，但计算成本更高，尤其是在 $\epsilon$ 值增大时，需要搜索更多的潜在非鲁棒态。将两种方法结合起来（先用 Algorithm 3 筛选，再用 Algorithm 2 精确验证）是实践中的有效策略。

7. 总结与思考

7.1. 结论总结

本文开创性地对量子机器学习算法抗未知量子噪声的鲁棒性验证进行了形式化研究。主要贡献包括：

• 提出了一个形式化框架，用于分析量子分类器的鲁棒性。
• 推导了一个分析性的鲁棒界限（引理 1），该界限可以高效计算，并能为鲁棒准确率提供一个良好的下近似。
• 开发了一种鲁棒性验证算法（算法 2），该算法能够精确验证量子机器学习算法的 $\epsilon$-鲁棒性。
• 实现了对抗性样本的检测和生成，为量子对抗性训练奠定了基础。
• 证明了混合态鲁棒性问题可归结为 SDP，为高效求解提供了理论基础。
• 在 Google TensorFlow Quantum 上实现了该方法，并在多个量子机器学习任务（量子比特分类、量子相识别、簇激发检测）和经典任务的量子化版本（MNIST 分类）上进行了广泛的实验验证，证实了方法的有效性和效率。

7.2. 局限性与未来工作

作者指出了以下局限性并提出了未来的研究方向：

• 鲁棒准确率的过近似 (Over-approximation): 本文主要关注鲁棒准确率的下近似。为了更准确、更快速地估计鲁棒准确率，未来研究应该探索开发能够提供过近似的高效方法。
• 与张量网络 (Tensor Networks) 的结合: 张量网络是实现大规模量子分类器（如 45 量子比特的 QCNNs）的已知数据结构之一。为了使鲁棒性验证算法能够扩展到 NISQ 设备（50 个或更多量子比特），未来需要将张量网络集成到算法中。
• 纯态鲁棒性验证的效率: 纯态鲁棒性验证被归结为非凸的 QCQP 问题，其求解通常是 NP-hard。作者提出，未来可以研究是否存在多项式时间算法来解决这种特定形式的 QCQP。
• 更广泛的实验验证: 需要进一步研究以更好地理解鲁棒性在量子机器学习中的作用，特别是通过更多关于现实世界应用（如量子多体系统相的学习）的实验。

7.3. 个人启发与批判

• 量子力学线性性的优势: 本文的核心启发之一是量子力学中超算符和测量的线性性质如何使得鲁棒性验证问题可以被转化为凸优化问题（SDP），从而实现高效求解。这与经典神经网络的非线性导致鲁棒性验证难题形成了鲜明对比。这提示我们，在量子计算的特定范式下，一些经典难题可能会有出乎意料的“捷径”。
• 纯态鲁棒性挑战: 尽管混合态的验证效率高，但纯态鲁棒性问题被证明是 NP-hard 的 QCQP，这揭示了量子态表征（纯态与混合态）对问题计算复杂度的巨大影响。未来若能找到高效求解特定形式量子 QCQP 的方法，将是对量子机器学习鲁棒性研究的重大贡献。
• 保真度作为距离度量: 论文对保真度作为距离度量的选择进行了充分论证，特别是结合量子机器学习需要大量副本的实践场景。这强调了在跨领域研究中，选择合适的数学工具和物理量来表征问题的重要性。
• 对抗性训练的量子化: 能够生成对抗性样本的机制为量子对抗性训练提供了基础。这表明经典机器学习中经过验证的防御策略可以被借鉴和推广到量子领域，以提升量子模型的鲁棒性。这对于未来实际部署量子机器学习模型至关重要，因为 NISQ 时代的量子噪声是不可避免的。
• 潜在局限性思考:
  • SDP/QCQP 的扩展性: 尽管 SDP 求解在理论上是多项式时间，但 $O(n^{6.5})$ 的复杂度在 $n$（希尔伯特空间维度）较大时仍然会非常高。对于超过几十个量子比特的系统（$n=2^q$ 会指数增长），这种方法可能仍然面临实际计算瓶颈。这正是作者提出要结合张量网络的原因。
  • 通用性与实际噪声模型: 本文关注的是“未知噪声”，但实际的量子噪声可能具有特定的结构。尽管本方法提供了一个最坏情况下的鲁棒性保证，但针对特定噪声模型可能存在更高效或更紧密的鲁棒性分析方法。如何在通用性与特定性之间取得平衡，是值得探讨的问题。
  • 与真实物理环境的差距: 尽管本文在 TensorFlow Quantum 上进行了实现，并使用了一些来自真实物理问题的例子，但模拟环境与真实量子硬件上的噪声特性可能仍有差异。在真实量子硬件上进行鲁棒性验证和对抗性训练的实验，将是验证其最终实用性的关键一步。