《自然》研究警示:医疗AI模型可能泄露罕见病及少数群体患者隐私Nature study warns medical AI models expose rare disease and minority patients - DongA Science

环球医讯 / AI与医疗健康来源:www.dongascience.com韩国 - 英语2026-07-09 16:01:17 - 阅读时长3分钟 - 1310字
《自然》杂志最新研究揭示医疗人工智能模型存在隐私泄露隐患,攻击者可通过成员推断攻击技术仅凭模型预测值推断患者疾病信息,且模型规模越大风险越高。研究显示罕见病患者、少数族裔及低收入群体数据在高风险组中出现频率显著高于其在整体数据中的占比,黑人患者数据高风险出现率高出31%,医疗补助受益者数据高出126%,研究人员建议采用差分隐私技术并在患者层面实施隐私保护措施,对高风险模型应限制访问或集成隐私保护技术。
医疗AI隐私泄露罕见病患者少数群体患者成员推断攻击差分隐私数据安全
《自然》研究警示:医疗AI模型可能泄露罕见病及少数群体患者隐私

成员推断攻击揭示模型规模扩大带来更高隐私风险,尤其对小规模和代表性不足的群体

随着个人数据泄露事件频发,数据安全问题日益引发关注,最新研究显示医疗人工智能(AI)模型本身可能成为隐私侵犯的新途径。通过分析AI模型,攻击者可以判断特定患者的资料是否被用于模型训练。研究发现,罕见病患者和少数群体患者尤其容易受到此类攻击。

德国慕尼黑工业大学(TUM)的Daniel Rueckert教授团队分析了医疗AI模型的隐私泄露风险,并于24日(当地时间)在国际期刊《自然》上发表了研究成果。

该团队重点分析了所谓的"成员推断攻击(MIA)"。MIA利用了AI模型对训练期间见过的数据做出更自信预测的倾向。攻击者通过统计分析模型置信度分数的差异,推断特定患者的数据是否包含在训练集中。由于该攻击只需使用模型的预测输出即可实施,因此几乎任何人都可以假扮普通用户相对容易地尝试MIA。

问题在于,仅仅查明特定患者的数据是否用于训练本身就存在隐私风险。例如,如果AI模型仅使用癌症患者数据进行训练,那么知道某个人的数据被使用就意味着此人患有癌症。

研究人员使用七个临床数据集进行分析,包括胸部X光片、皮肤病图像、眼科图像、乳腺X光片、心电图以及来自美国斯坦福医院和哈佛医学院的急诊电子病历。针对每个数据集,他们创建了200个模型,并让每个模型在所有患者数据的一半上进行训练。从单个患者角度看,这意味着200个模型中有一半使用了该患者数据,另一半则没有。研究团队随后比较两组模型的置信度分数,计算每位患者的隐私风险。

在整个数据集的平均水平上,攻击成功率与随机猜测差异不大,表明总体风险似乎较低。然而,当研究人员对患者进行个体分析时,发现对某些人而言,攻击者能够完全准确地推断其数据是否被用于训练。

风险随模型规模增大而增加。在皮肤病数据集中,扩大模型规模使攻击者能够完全准确判断的患者比例从万分之一提高到十分之一。换言之,诊断性能与隐私泄露风险同步上升。

不同患者群体的隐私风险也存在差异。研究人员提取了最易受攻击的前1%数据点并进行分析。他们发现,罕见病患者、少数族裔以及低收入公共保险受益者在高风险组中出现的频率远高于其在整体数据集中的占比。

在急诊电子病历中,黑人患者数据在高风险组中出现的频率比在整体数据中高出31%,医疗补助受益者(低收入公共保险计划参与者)数据高出126%,癌症诊断患者数据高出18%。研究团队得出结论:一个群体在整体数据中的占比越小,AI模型对其特征的记忆就越明显,从而增加隐私泄露风险。

作为应对措施,研究人员建议采用"差分隐私"技术。通过在训练过程中添加随机噪声,该方法使模型能够学习整体诊断模式,同时模糊个体记录的痕迹。他们强调,当单个患者贡献多条记录时,隐私保护保证必须在患者层面而非记录层面实施才能有效。

研究团队表示:"在部署医疗AI模型前,必须检查攻击者可能推断出的敏感信息。高风险模型应集成经过验证的隐私保护技术,或严格限制访问权限。"

参考文献:doi.org/10.1038/s41586-026-10688-0

【全文结束】