Quantum-Machine-Learning bringt neue Sicherheitsaspekte mit sich : Das BSI untersucht Bedrohungsszenarien für maschinelles Lernen auf Quantencomputern
Der Begriff des Quantum-Machine-Learning (QML) bezeichnet ein dynamisches Forschungsfeld, das Methoden des maschinellen Lernens mit den Potenzialen der Quanteninformationsverarbeitung kombiniert. Von praktischem Interesse ist dabei vor allem, inwiefern bestimmte Subroutinen oder auch die Modellbildung selbst nutzbringend auf einen Quantencomputer ausgelagert werden können. Als Kompetenzzentrum für künstliche Intelligenz (KI) im Zusammenhang mit IT-Sicherheit begleitet das BSI die Entwicklungen des QML, um auf eine sichere Ausgestaltung der neuen Technologie hinzuwirken.
Als vielversprechende Methoden des QML treten derzeit vor allem die sogenannten variationellen Quantenschaltkreise (Variational Quantum-Circuits, VQCs), in Erscheinung. Kennzeichnend hierbei ist ein Wechselspiel zwischen klassischer IT und dem Quantencomputer: Der entsprechende Quantenschaltkreis verfügt hierbei typischerweise über Parameter, die iterativ mithilfe eines klassischen Optimierers angepasst werden. Für VQCs existiert mittlerweile eine beträchtliche Anzahl unterschiedlicher Ansätze und Architekturen, unter anderem in Form sogenannter Quantum-Neural-Networks. VQCs sind aufgrund ihrer vergleichsweise niedrigen Anforderungen an die benötigten Quantencomputing-Ressourcen bereits prinzipiell auf der aktuell verfügbaren, das heißt noch nicht hinreichend fehlerkorrigierten und intermediären, Quanten-Hardware realisierbar.
Parallelen zwischen QML und klassischen KI-Verfahren
In der Analyse der Bedrohungsszenarien für QML-Systeme und -Methoden ist festzustellen, dass sich der Lebenszyklus in gewisser Abstraktion (Datensammlung und -präparation, Modellselektion und Training/Testing, laufender Betrieb) nicht grundsätzlich von demjenigen klassischer KI-Verfahren unterscheidet, auch wenn die genutzten Quantenkomponenten neue Spezifika in die Sicherheitsbetrachtung einbringen. In erster Überlegung ergibt sich damit, dass die für klassische KI-Systeme bekannten Angriffskategorien – das heißt Evasion-Attacks, Data-Poisoning, Model-Stealing und Privacy-Attacks – zumindest prinzipiell auf QML übertragbar sind.
Die Vorgehensweisen und Implementierungen der jeweiligen Angriffe, zum Beispiel zum Auffinden von Adversarial Examples oder dem Eintrainieren einer Hintertür, sind in vielen Fällen zunächst Modell-agnostisch. Auch wenn speziell für Evasion-Attacks und deren Mitigation mittels Adversarial Training bereits erste Arbeiten und Ergebnisse existieren, so sind die weiteren Angriffskategorien bisher nahezu unerforscht. Ob die Anwendung der genannten Angriffe auf QML mit einer abweichenden, womöglich sogar reduzierten Wirksamkeit verbunden ist, ist derzeit noch nicht umfassend bestimmt.
Neue Bedrohungsszenarien möglich
Neben diesen aus der Sicherheit klassischer KISysteme motivierten Bedrohungsszenarien gibt es für das QML auch neuartige quantencomputerspezifische Angriffsflächen. So bietet der Vorgang des Transpilierens, bei dem ein theoretisch beschriebener Quantenschaltkreis für die Ausführung auf der jeweiligen Quantenhardware vorbereitet und an deren Gegebenheiten angepasst wird, unterschiedliche Möglichkeiten zur Manipulation. Ein Angreifer kann hier beispielsweise Qubits mit besonders hohen Fehlerraten sowie fehlender Konnektivität untereinander zuweisen oder gar den Quantenschaltkreis an sich verändern.
Ein zweiter Angriffsvektor ergibt sich aus dem Ansatz, zur effektiven Ausnutzung der vorhandenen Ressourcen mehrere Quantenschaltkreise parallelisiert auf einem einzelnen Quanten-Chip auszuführen. Unbeabsichtigte, aber physikalisch bedingte Kopplungen zwischen den Qubits (sogenannter Cross-Talk) können in diesem Zusammenhang ausgenutzt werden, um die Funktionalität des Quantenschaltkreises zu beeinflussen. Die Realisierbarkeit derartiger Angriffe ist generell eng an die weiteren Entwicklungen im Bereich der Quantenhardware, das heißt unter anderem hinsichtlich deren Noise- und Cross-Talk-Eigenschaften, geknüpft.
Aus wissenschaftlicher Perspektive sind viele fundamentale Zusammenhänge zur Sicherheit von QML-Methoden und -Systemen, die sich einerseits aus den generellen Gegebenheiten der Quantenhardware und zum anderen aus den Spezifika der QML-Methoden ergeben, derzeit nicht abschließend ergründet. So ist bisher nur in Ansätzen untersucht, inwiefern die für herkömmliche KI-Systeme bekannten Angriffe und Verteidigungen durch die diversen auf dem Quantencomputer vorhandenen Noise-Arten beeinflusst werden. Daneben besteht beispielsweise noch Unklarheit darüber, wie unterschiedliche Techniken zum Überführen der Daten in Quantenzustände auf die Widerstandsfähigkeit von QML-Methoden wirken.
BSI betreibt Grundlagenforschung
Aus Sicht des BSI ist eine tiefergehende Beschäftigung mit den Sicherheitsaspekten des QML auch bereits zum jetzigen Zeitpunkt nachdrücklich angezeigt. Mit Blick auf die rasanten Fortschritte und hohen Investitionen im Bereich des Quantencomputings insgesamt ist ein Einzug von Quantencomputern im Anwendungskontext des maschinellen Lernens vorausschauend zu diskutieren. Das BSI engagiert sich deshalb in Form eigener Projektaktivitäten maßgeblich an der Grundlagenforschung bezüglich der hier skizzierten Angriffspfade, Mitigationsmaßnahmen und weiteren Sicherheitseigenschaften von QML-Methoden und -Systemen.