识别癌症的 AI 和人类专家可能会被图像篡改攻击所愚弄

评估医学图像的人工智能 (AI) 模型有可能加快和提高癌症诊断的准确性，但它们也可能容易受到网络攻击。在一项新研究中，匹兹堡大学的研究人员模拟了一次伪造乳房 X 线照片图像的攻击，同时愚弄了 AI 乳腺癌诊断模型和人类乳腺影像放射科专家。

今天发表在《自然通讯》(Nature Communications) 上的这项研究引起了人们对被称为“对抗性攻击”的医学人工智能潜在安全问题的关注，这种攻击试图改变图像或其他输入，使模型得出错误的结论。

“我们想通过这项研究表明，这种类型的攻击是可能的，它可能导致 AI 模型做出错误的诊断——这是一个很大的患者安全问题，”资深作者 Shandong Wu 博士说，皮特大学放射学、生物医学信息学和生物工程副教授。“通过了解人工智能模型在医学环境中的对抗性攻击下的表现，我们可以开始思考如何让这些模型更安全、更稳健。”

近年来，基于人工智能的癌症检测图像识别技术发展迅速，多个乳腺癌模型已获得食品和药物管理局 (FDA) 的批准。据 Wu 介绍，这些工具可以快速筛查乳房 X 光图像并识别出最有可能发生癌变的图像，从而帮助放射科医生提高效率和准确性。

但此类技术也面临网络威胁的风险，例如对抗性攻击。此类攻击的潜在动机包括来自希望增加收入的医疗保健提供者的保险欺诈或试图调整临床试验结果以使其对自己有利的公司。对医学图像的对抗性攻击范围从改变 AI 决定但人眼无法察觉的微小操作，到针对图像敏感内容(例如癌变区域)的更复杂版本——使它们更有可能愚弄人类。

为了了解人工智能在这种更复杂类型的对抗性攻击下的表现，Wu 和他的团队使用乳房 X 线照片开发了一个检测乳腺癌的模型。首先，研究人员训练了一种深度学习算法，能够以超过 80% 的准确率区分癌变和良性病例。接下来，他们开发了一种所谓的“生成对抗网络”(GAN)——一种通过分别从负图像或正图像中插入或移除癌变区域来生成虚假图像的计算机程序，然后他们测试了该模型如何对这些对抗图像进行分类。

在 GAN 制作成负面的 44 张正面图像中，模型将 42 张归类为负面，而在看起来正面的 319 张负面图像中，209 张被归类为正面。总的来说，该模型被 69.1% 的假图像愚弄了。

在实验的第二部分，研究人员要求五位人类放射科医生区分乳房 X 线照片图像的真假。专家准确地识别图像的真实性，准确率在 29% 到 71% 之间，具体取决于个人。

“某些欺骗 AI 的虚假图像可能很容易被放射科医生发现。然而，这项研究中的许多对抗性图像不仅欺骗了模型，而且还欺骗了有经验的人类读者，”Wu 说，他也是 Intelligent 的主任临床影像实验室计算和匹兹堡医学影像人工智能创新中心。“如果这种攻击导致错误的癌症诊断，可能会对患者造成非常大的伤害。”