在量子机器学习中对投毒的高度韧性与易于遗忘性

为何清理有害数据对 AI 至关重要

现代人工智能系统从大量示例中学习，但这些示例常常并不完美。有些是误标的，有些可能被人故意篡改。一旦这些“被投毒”的数据进入训练集，就可能悄然改变模型的行为，造成有害后果。本文提出了一个令人意外的问题：如果我们用量子计算机而不是经典计算机来构建学习系统，它们对有害数据的反应是否不同——并且在需要时能否更容易地将其忘记？

两种从混乱信息中学习的方式

作者比较了两类在相同任务上训练的神经网络。一类是熟悉的经典网络，在普通计算机上运行，由层叠的加权连接组成。另一类是量子神经网络，使用量子比特和量子门以叠加态处理信息。两者都被要求解决两种分类问题：区分 MNIST 数据集中手写数字，以及在某个量子物理模型中区分两种物质相。在每种情况下，研究人员故意污染一部分训练数据，要么翻转一些样本的标签，要么用随机噪声替换输入特征，然后观察每种模型如何应对。

当标签撒谎时，量子模型坚守阵地

最显著的差异出现在标签被翻转时。经典网络试图满足每一个训练样本，包括那些矛盾的样本，逐渐扭曲其内部决策边界以去拟合它们。随着更多标签被破坏，它在新、未见数据上的性能稳步下降。相比之下，量子网络表现出一种稳健的高原：在广泛的噪声水平范围内，它仍能很好地对干净的验证数据进行分类，有效地忽略被误标的离群点。只有当被篡改的标签占主导——大约在一半标签错误的临界点附近——其性能才会突然崩溃，呈现类似相变的急剧变化。这种行为表明，量子学习器偏好数据中最简单、最连贯的模式，并把散落的矛盾视为无关的扰动，直到这些扰动压倒真实信号为止。

量子模型更容易忘记有害训练样本

除了抵抗污染外，作者还研究了“机器遗忘”：在不从头开始重新训练的情况下，让已训练模型忘记有害数据影响的效率。他们探索了多种策略，例如仅在干净的数据上重新训练、从被投毒的模型出发微调、显式将模型的预测从在有害子集上学到的方向推开，以及使用可以抵消那些示例影响的梯度步骤。对于经典网络，所有高效的近似方法都落后于完整重新训练，这表明其内部表征已经围绕被投毒样本固化。量子网络则表现不同。即便从被投毒的状态开始，通过近似的遗忘方法也能在相同时间窗口内达到或超过昂贵重训的性能。这显示其学习到的表征更具可塑性——既有足够的结构以发挥作用，又足够灵活以便纠正。

潜在景观：韧性与可塑性的根源

为了解释这些对比性行为，作者研究了“损失景观”，即在参数每种设置下衡量模型拟合数据程度的高维表面。良好的泛化通常与该景观中的宽阔、平坦的山谷相联系，而脆弱的过拟合往往对应尖锐、狭窄的极小值。通过分析数据被投毒时该景观的曲率如何变化，他们发现经典网络经历了剧烈的粗糙化：原本围绕解的平坦区域在模型记忆误标点时变得极为陡峭。在遗忘过程中要逃离这个陡峭的山谷非常困难，这解释了经典记忆的顽固性。相比之下，量子网络即便在被投毒后也保持几乎相同的温和曲率。它们的景观具有结构稳定性，受量子操作数学性质的约束，这阻止了极端尖锐极小值的形成，并自然而然地将学习引向平滑、可泛化的解。

对未来可信 AI 的意义

对非专业读者而言，结论是量子机器学习不仅关乎速度或奇特硬件。在这些实验中，量子模型更像谨慎的编辑者而非强迫性的抄写员：它们在混乱数据中挑出主线，不易被少量有害示例左右，并能在不重建的情况下被引导忘记有害影响。这种对投毒的韧性与易于遗忘的结合，提示了一种新的量子优势——根植于可靠性与安全性，而非单纯的计算能力，暗示未来增强量子功能的 AI 系统在嘈杂且不断变化的信息环境中可能成为更可信的伙伴。

引用: Chen, YQ., Zhang, SX. Superior resilience to poisoning and amenability to unlearning in quantum machine learning. Nat Commun 17, 3716 (2026). https://doi.org/10.1038/s41467-026-70420-4

关键词: 量子机器学习, 数据投毒, 机器遗忘, 稳健人工智能, 损失景观