Přejít k hlavnímu obsahu

Kvantové počítače pod palbou: Vědci poprvé provedli kompletní kyberútok na kvantovou neuronovou síť

Ilustrační foto
Mezinárodní výzkumný tým poprvé v historii předvedl kompletní, vícestupňový kybernetický útok proti kvantové neuronové síti — a to na reálném kvantovém hardwaru. Útočníci by podle vědců nemuseli prolomit matematické šifrování. Stačilo by jim odposlouchávat spotřebu elektřiny a využít přirozené „přeslechy“ mezi qubity. Studie zveřejněná na arXiv 3. července 2026 ukazuje, že i dnešní nedokonalé kvantové počítače jsou zranitelné vůči promyšleným útokům, které kopírují postupy známé z klasické kybernetické bezpečnosti.

Kill-chain na kvantovém hardwaru: Čtyři fáze jednoho útoku

Výzkumný tým pod vedením Cedrica Brügmanna provedl to, co dosud nikdo — spojil čtyři samostatné útočné techniky do jednoho nepřerušeného řetězce a spustil ho na kvantovém počítači s technologií zachycených iontů (trapped-ion). Výsledkem je první end-to-end demonstrace takzvaného „kill-chainu" proti kvantové neuronové síti (QNN).

Pojem kill-chain pochází z klasické kyberbezpečnosti a označuje sekvenci kroků, kterými útočník postupuje — od průzkumu přes infiltraci až po samotný útok. Vědci tuto metodiku přenesli do kvantového světa a sladili ji s rámcem MITRE ATLAS, což je obdoba známějšího MITRE ATT&CK, ale zaměřená speciálně na hrozby proti systémům umělé inteligence.

Jejich útok probíhal ve čtyřech fázích:

  1. Průzkum pomocí postranních kanálů (side-channel reconnaissance) — útočník analyzuje například spotřebu elektrické energie nebo časování operací na kvantovém čipu. Z těchto „odposlechů" dokáže zpětně zrekonstruovat, jaký kvantový obvod na zařízení běží.
  2. Charakterizace přeslechů (crosstalk characterization) — na základě informací z první fáze útočník mapuje, jak operace na jednom qubitu nechtěně ovlivňují qubity sousední. Tento jev, známý jako crosstalk, je u dnešních kvantových procesorů běžný.
  3. Generování adversariálních vzorků (adversarial example generation) — s využitím poznatků o architektuře obvodu a přeslechových mapách útočník vytvoří speciálně upravený vstup, který neuronovou síť oklame.
  4. Fyzický útok přes crosstalk — poslední fáze, kdy je adversariální perturbace skutečně provedena na kvantovém hardwaru skrze cílenou injekci šumu pomocí crosstalkových kanálů.

Klíčové je, že každá fáze není izolovaná — informace získané v první fázi přímo zefektivňují fáze následující. To je zásadní rozdíl oproti dřívějším studiím, které jednotlivé zranitelnosti zkoumaly odděleně.

Proč na tom záleží: Kvantové cloudy a sdílený hardware

Většina dnešních kvantových počítačů funguje v režimu kvantového cloudu (Quantum-as-a-Service, QaaS). Firmy jako IBM, IonQ nebo Quantinuum nabízejí přístup ke svým kvantovým procesorům přes internet, podobně jako AWS pronajímá klasické servery. Na jednom fyzickém čipu se přitom střídají výpočty různých zákazníků.

Právě v tomto multi-tenant prostředí je scénář popsaný Brügmannovým týmem mimořádně nebezpečný. Útočník, který si legálně zakoupí přístup ke stejnému kvantovému procesoru jako oběť, může během své „legitimní" úlohy sbírat data z postranních kanálů a následně zneužít přeslechy k ovlivnění cizích výpočtů.

„Tato práce ukazuje, že bezpečnost kvantových neuronových sítí nelze řešit jednorozměrně. Je to propojený ekosystém, kde slabina v hardwaru otevírá dveře k manipulaci s algoritmy," uvádějí autoři ve studii.

NISQ éra: Útoky, které fungují už dnes

Zvláště znepokojivé je, že demonstrované útočné vektory fungují na současných NISQ zařízeních (Noisy Intermediate-Scale Quantum). Nevyžadují tedy existenci bezchybných, plně opravených kvantových počítačů, které jsou zatím hudbou vzdálené budoucnosti. Jinými slovy — hrozba je aktuální, ne hypotetická.

NISQ éra označuje období, ve kterém se právě nacházíme: kvantové procesory mají desítky až stovky qubitů, ale trpí vysokou chybovostí. Právě tuto „nedokonalost" útočníci zneužívají — crosstalk a šum nejsou pro ně překážkou, ale zbraní.

Studie navíc v dodatku reportuje i experimenty na supravodivých kvantových čipech, což potvrzuje, že popsané techniky nejsou omezené jen na jeden typ hardwaru. Zranitelnost je širší, než by se mohlo zdát.

Co to znamená pro Česko a Evropu

Česká republika není v kvantovém výzkumu outsiderem. V červnu 2026 spustila v Ostravě Czech AI Factory, která zahrnuje i kvantový hardware. Evropská unie masivně investuje do kvantových technologií prostřednictvím programu Quantum Flagship a buduje 35 nových AI superpočítačů napříč kontinentem.

S rostoucím nasazením kvantových cloudy a multi-tenant prostředí v Evropě poroste i relevance bezpečnostního výzkumu, jaký předvedl Brügmannův tým. Pro evropské poskytovatele QaaS to znamená, že musí od počátku budovat ochranu proti postranním kanálům a crosstalk útokům — čekat na první incident by byla chyba.

EU AI Act se zatím kvantovým neuronovým sítím přímo nevěnuje, ale s tím, jak se kvantové strojové učení přibližuje praktickému nasazení, lze očekávat, že regulace tuto oblast dříve či později pokryje.

Obranné strategie: Defence-in-depth pro kvantový věk

Autoři studie zdůrazňují, že jejich práce nemá být jen katalogem hrozeb. Hlavním cílem je umožnit návrh proaktivní, vrstvené obrany (defence-in-depth) pro kvantové systémy. Pokud bezpečnostní experti pochopí, jak spolu jednotlivé útočné vektory souvisí, mohou stavět obranu, která neřeší jen izolované zranitelnosti, ale celé řetězce.

Mezi doporučené směry patří:

  • Hardwarová mitigace crosstalku — fyzické oddělení citlivých qubitů nebo aktivní kompenzace přeslechů
  • Monitorování postranních kanálů — detekce anomálií ve spotřebě a časování, které by mohly signalizovat průzkumnou fázi útoku
  • Izolace tenantů v QaaS prostředí — důslednější oddělení výpočtů různých zákazníků na úrovni hardwaru i softwaru
  • Adversariální trénování QNN — posilování odolnosti kvantových neuronových sítí proti manipulovaným vstupům

Studie s 19 stranami a 33 obrázky je volně dostupná na arXiv:2607.03337 a představuje podle odborníků zásadní milník v chápání bezpečnostních rizik kvantového strojového učení.

Co je to kvantová neuronová síť (QNN)?

Kvantová neuronová síť je varianta klasické neuronové sítě, která pro výpočty využívá principy kvantové mechaniky — superpozici a provázanost qubitů. Teoreticky může řešit určité problémy efektivněji než klasické neuronové sítě, zejména v oblastech jako je simulace molekul, optimalizace nebo klasifikace kvantových dat. Prakticky ale zatím běží na nedokonalých NISQ zařízeních s vysokou chybovostí.

Jsou dnešní kvantové počítače skutečně v ohrožení, nebo jde o akademické cvičení?

Studie ukazuje reálnou, prakticky proveditelnou hrozbu — útok byl proveden na skutečném kvantovém hardwaru, nejen v simulaci. Vědci prokazují, že současné kvantové procesory jsou zranitelné vůči postranním kanálům a crosstalku. Pro kvantové cloudy, kde více zákazníků sdílí jeden čip, je riziko obzvláště vysoké. Nejedná se tedy o čistě akademické cvičení.

Jak souvisí MITRE ATLAS s kvantovými neuronovými sítěmi?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) je bezpečnostní rámec, který mapuje známé hrozby a útočné techniky proti systémům umělé inteligence — podobně jako MITRE ATT&CK pro klasickou kyberbezpečnost. Autoři studie sladili své útočné vektory právě s tímto rámcem, aby ukázali, že kvantové neuronové sítě sdílejí mnoho zranitelností s klasickými AI systémy, ale přidávají k nim i hrozby specifické pro kvantový hardware.

X

Nezmeškejte novinky!

Přihlaste se k odběru novinek a aktualit.