研究揭示医疗AI模型数据可能增加个人被识别风险
国际学术期刊《自然》6月25日发表的一篇健康科学研究论文提醒,其数据被用于训练医疗人工智能(AI)模型的个人,可能面临在网络攻击中被识别的风险。
研究背景与核心发现
该研究由中外学者联合开展,聚焦医疗AI模型在训练和部署过程中的隐私安全隐患。研究指出,即使个人数据仅用于模型训练、未直接公开,攻击者仍可能通过特定技术手段将模型输出与原始训练数据关联,从而识别出特定个人的健康状况。
“即便某人的医学影像数据被匿名化处理后用于训练AI,攻击者依然能通过模型输出的预测概率,反向推断该人是否存在某种疾病。”
具体攻击场景解析
研究者以训练AI模型识别胸片中的疾病为例进行说明。攻击者可不借助任何原始数据,仅通过反复向模型提交查询并分析其置信度评分,就能判定某特定个体的数据是否被用于训练。这种技术被称为“成员推断攻击”,其核心是利用模型在训练数据上的过拟合现象——模型对训练样本的预测往往比对未见过样本更“确信”。
- 攻击前提:攻击者需掌握目标个人的部分医疗信息(如姓名、就诊记录),作为查询依据。
- 攻击后果:若成功推断,将直接暴露该人的疾病史、用药方案等敏感信息。
对医疗数据隐私保护的启示
该研究指出,当前医疗AI领域广泛使用的数据共享和模型发布流程,尚未充分防范此类攻击。医疗数据的敏感性远高于一般个人身份信息,一旦泄露可能引发歧视、保险拒保等连锁反应。
论文建议,医疗机构和AI开发者在模型训练中应引入差分隐私等技术手段,在模型输出中加入随机噪声,以降低单个样本对模型决策的影响度,从根本上削弱攻击者的推断能力。这一发现为医疗AI的合规化落地提供了重要技术参考。

医疗AI模型隐私风险研究:成员推理攻击可精准识别代表性不足群体
德国慕尼黑工业大学研究团队日前发布一项隐私审计结果,发现医疗人工智能(AI)模型对个人数据贡献者构成显著隐私风险,尤其是代表性不足群体面临的数据泄露风险更高。该研究基于七个真实临床数据集,重点考察成员推理攻击(MIA)在个体和群体层面的表现。
代表性不足群体在数据集中更易被攻击
论文作者指出,当前的风险评估并未将代表性不足群体纳入考量。在群体层面,被识别为代表性不足的群体包括罕见病患者、少数族裔、社会经济地位较低的人群,以及性别较不常见的人群。随着被AI模型编码的独特数据增多,这些群体和个人更加脆弱,且面临不成比例的隐私攻击风险。
研究利用包含医学影像、心电图和电子健康记录的真实临床数据,对多个医疗AI模型进行隐私审计。论文第一作者和通讯作者、德国慕尼黑工业大学的Moritz A. Knolle与合作者发现,在个人层面,成员推理攻击针对的目标几乎毫无差错地被成功识别出来。
成员推理攻击(MIA)是一种隐私攻击手段,攻击者利用该技术来确定某个个人的数据是否被用于训练AI模型,从而可能推断出患者的医疗数据和私人信息。
模型规模与攻击成功率呈正相关
研究显示,成员推理攻击者攻击的成功率会随着模型容量和规模的增加而上升。这意味着,更大更复杂的医疗AI模型可能带来更高的隐私泄露风险。
论文作者总结说,此类隐私攻击在个体层面的精准打击效果比目前普遍认为的更为显著。他们强调,隐私风险评估必须将个体风险纳入考量,并对易受攻击的模型提供进一步保护。研究团队呼吁采取进一步的风险缓解措施并实施严格的访问控制。
- 研究基于七个由真实临床数据组成的大型数据集,涵盖医学影像、心电图和电子健康记录。
- 个人层面攻击几乎零差错;群体层面,罕见病患者、少数族裔等代表性不足群体更脆弱。
- 模型容量和规模增大时,攻击成功率上升。
