Nature：一眼认出“她”是谁，AI泄露乳腺癌患者个人隐私，模型越大，泄露越猛！

以下文章来源于梅斯肿瘤新前沿，作者关注

人工智能正在深刻改变肿瘤诊疗的面貌。从医学影像的辅助判读到疗效预测模型的构建，AI有望让优质诊断技术触达更多患者，尤其在医疗资源相对匮乏的地区。然而，一个常常被忽视的问题正浮出水面：训练这些AI模型的海量医疗数据，本身是否安全？

2026年6月24日，国际顶级学术期刊Nature在线发表了一项来自德国慕尼黑理工大学、英国伦敦帝国学院等机构的研究，首次对用于乳腺癌筛查等诊断任务的AI模型进行了“个人隐私审核”。

研究揭示了一个令人警醒的事实：总体隐私指标可能严重低估个人的隐私风险。

什么是“成员推理攻击”？

要理解这项研究，首先需要认识一个概念——成员推理攻击（Membership Inference Attack, MIA）。简单来说，攻击者可以通过分析AI模型的输出，推断某一个人的数据是否被用于训练该模型。

这为什么值得警惕？试想，如果一个AI模型是根据某家医院乳腺癌患者的影像数据训练出来的，攻击者成功实施成员推理攻击后，就能反推出某个人是否在这家医院就诊过、是否患有乳腺癌，甚至可能推断出癌症类型、临床特征、治疗方案等敏感信息。

既往的研究主要关注这类攻击对数据集的“总体成功率”——即攻击能正确识别多少比例的训练数据记录。

但这项新研究提出了一个更深层的问题：对于同一个患者——她可能多次就诊、多次检查、多次治疗，向训练数据集贡献了多条记录——个人层面的隐私风险究竟有多大？

乳腺X光检查数据集的“压力测试”

研究团队选取了多个真实临床数据集进行测试，其中最具代表性的是来自美国埃默里大学旗下4家医院的EMBED乳腺X光检查数据集。

该数据集包含超过2.3万名接受乳腺癌筛查或诊断患者的48万余张乳腺X光片，并附有从电子病历中提取的人口统计数据，包括年龄、种族、民族和医疗保险状况。

研究最终纳入了近2万名女性患者的36万余张乳腺X光片，训练了一个用于预测乳腺密度（乳腺癌的重要临床风险因素之一）的AI模型。

随后，研究人员利用随机选取的一半患者数据训练了一个成员推理攻击模型，去“试探”这个乳腺密度预测模型——能否判断某张影像是否来自训练数据？

结果令人震惊：虽然成员推理攻击的总体成功率与随机猜测相差不大，但对于特定的患者个人，攻击成功率能够接近100%。攻击模型在所有类别上的表现均达到极高水平。

更值得关注的是，研究还发现了两组关键趋势：

第一，攻击成功率较高的患者数量会随着AI模型样本量的扩大而显著增加。这意味着，随着医疗AI模型越做越大、数据越喂越多，隐私泄露的风险不是线性增长，而是加速放大。

第二，少数群体面临不成比例的更高风险。按照疾病状态、种族、医疗保险状况、性别或影像检查方法分层后，研究发现在这些群体中攻击成功率显著更高。

例如，在EMBED数据集中，虽然模型训练的目标是预测乳腺密度而非直接诊断肿瘤，但良性肿瘤患者和疑似恶性肿瘤患者在“最易受影响”的记录中所占比例，分别比整体数据集高出60%和1179%。

这意味着什么？

这项研究的核心启示在于：传统的“总体隐私评估”框架已经不够用了。就像用平均气温来描述一个地区的气候会掩盖极端天气一样，用“总体攻击成功率”来评估AI模型的隐私风险，会掩盖那些真正处于高风险中的个体。

医疗数据历来是网络犯罪分子的主要目标。而更令人担忧的是，仅仅依靠数据匿名化，已经不足以防止从大型数据集中重新识别出个人身份。当AI模型的推理能力越来越强，“匿名”的边界变得越来越模糊。

当然，研究者也保持审慎：这项研究观察到的不同风险特征是否也适用于成员推理攻击之外的其他攻击方式，仍然是悬而未决的问题。但无论如何，这项研究已经敲响了警钟——我们需要开发适用于每一位数据贡献者的风险评估方法和保护技术。

对于每一位曾将自己的医疗数据用于科学研究的患者，对于每一位致力于用AI改善肿瘤诊疗的临床医生和研究者，这都是一个需要认真面对的问题。技术的进步不应以牺牲个人隐私为代价，而真正的医疗AI普惠，必须建立在可靠的数据安全之上。

参考资料：

[1]Knolle, M.A., Menten, M.J., Jungmann, F.et al.Disparate privacy risks from medical AI.Nature(2026). https://doi.org/10.1038/s41586-026-10688-0

来源 | 梅斯肿瘤新前沿

编辑 | 木白