随着量子计算硬件的突破，量子机器学习(QML)成为解决传统算力瓶颈的新范式。其中混合经典-量子神经网络(HQNNs)因其平衡量子优势与工程可行性，在图像分类等领域表现突出。然而，这种新兴架构的安全性问题长期被忽视——特别是后门攻击这种在经典神经网络中已广受关注的威胁，尚未在HQNNs中被系统研究。更关键的是，量子希尔伯特空间特有的测度集中现象(COMP)理论上会加剧模型脆弱性，但具体影响机制仍属未知。

中国研究人员在《Neural Networks》发表的研究填补了这一空白。团队首先构建了HQNNs后门攻击的理论框架，证明其泛化误差与投毒率、扰动强度存在量化关系。通过对比CNNs与HQNNs在两种经典后门触发模式下的表现，发现HQNNs因COMP特性需要更强扰动才能改变特征分布，展现出显著更强的鲁棒性。为突破传统攻击在HQNNs中隐蔽性差的局限，研究者创新性提出Qcolor后门：利用三原色通道比例调节产生色彩偏移触发，采用多目标优化的NSGA-II算法协同优化攻击成功率(ASR)与结构相似性(SSIM)。实验显示该方法在1%低投毒率下仍能实现89.3%ASR，且SSIM达0.98，显著优于基于粒子群优化(PSO)的传统色彩后门。

关键技术包括：1）建立HQNNs后门攻击的泛化边界理论模型；2）设计基于变分量子电路(VQC)色彩编码的触发机制；3）应用NSGA-II多目标优化算法平衡攻击有效性与隐蔽性；4）采用STRIP等三种防御方案验证鲁棒性。

主要研究结果
Hybrid classical-quantum neural networks
理论分析揭示HQNNs的决策边界受量子态叠加特性影响，COMP现象导致触发模式需要更大扰动才能跨越分类边界。

Threat model
构建投毒攻击场景，假设攻击者仅能操纵训练数据而无法修改模型结构，符合实际应用中的供应链攻击模式。

Formulation of backdoor attacks in HQNNs
数学推导证明投毒样本数m与扰动强度δ需满足m≥O(δ^-2)时攻击才能泛化，这要求远高于CNNs的阈值。

The proposed backdoor attack: Qcolor backdoor
NSGA-II优化的RGB通道调节参数使MNIST数据集色彩偏移ΔE<5时，人类视觉难以察觉但VQC编码角度已发生显著改变。

Experiments
在CIFAR-10测试中，HQNNs对4×4像素块触发需30%投毒率才达80%ASR，而CNNs仅需10%；Qcolor在5%投毒率下即实现91.2%ASR。

Future work
指出该方法可扩展至量子强化学习等领域，但需开发新的触发范式以适应非图像输入场景。

结论与意义
该研究首次系统论证HQNNs对后门攻击的先天鲁棒性源于量子态的高维特性，但同时也揭示通过精心设计的色彩空间攻击仍可突破防御。Qcolor后门通过NSGA-II算法实现攻击参数的多目标优化，为评估量子机器学习安全性建立了新基准。更重要的是，该工作警示即便具备量子优势的模型仍需专门的安全防护策略——这对即将到来的量子计算时代具有前瞻性指导价值。研究团队特别强调，当前量子机器学习安全研究过度聚焦对抗攻击而忽视后门威胁的现状亟待改变。