Clear Sky Science
Evidensbaserade, jargonsnåla förklaringar

Clear Sky Science · sv

Säkerställande av integriteten hos AI‑modeller: en blockkedjebaserad metod för att skydda träningsdata för medicinsk bildbehandling

· Tillbaka till index

Varför det är viktigt att skydda medicinska skanningar

När läkare använder artificiell intelligens för att upptäcka hjärntumörer på MR‑skanningar lägger de stort förtroende i både data och programvara. Men tänk om någon tyst ändrade dessa skanningar så att AI:n lärde sig felaktiga slutsatser — eller felbedömde en tumör som ofarlig? Den här artikeln undersöker hur en kombination av blockkedjeteknik och distribuerad fillagring kan låsa fast medicinska bilder från det ögonblick de skapats, och hjälpa till att säkerställa att livsavgörande beslut inte baseras på korrupta data.

Figure 1
Figure 1.

Det dolda hotet i medicinska bilder

Moderna AI‑system, särskilt djupa inlärningsmodeller, kan upptäcka subtila mönster i MR‑bilder av hjärnan som människor kan missa, vilket ökar noggrannheten och avlastar läkarnas arbetsbörda. Men dessa modeller är bara så pålitliga som de bilder de tränas på. Angripare kan utföra så kallade ”dataförtjuvningar” genom att smyga in lätt förändrade MR‑bilder i träningsdatamängder. Förändringarna är så små att människor inte ser dem, men de kan styra AI‑modellen mot farliga misstag, till exempel att systematiskt felklassificera en tumörtyp. Liknande justeringar kan göras i testfasen, där en angripare subtilt manipulerar en enskild skanning för att lura en driftsatt modell att ge fel diagnos. Eftersom dagens pipelines för medicinsk bildbehandling ofta saknar starka garantier för var data kommer ifrån och om den ändrats, är dessa attacker svåra att upptäcka och kan få livshotande konsekvenser.

Varför befintliga försvar inte räcker

Forskare har testat flera metoder för att försvara AI‑modeller, men de flesta behandlar symptomen snarare än orsakerna. Adversarial träning utsätter modeller för många manipulerade exempel så att de lär sig motstå vissa attacker, men detta är beräkningsmässigt kostsamt och tenderar att skydda endast mot kända angrepp. Metoder för att ”rensa” bilder, såsom kompression eller brusreducering, kan ta bort vissa störningar men kan misslyckas mot mer sofistikerade attacker och visar inte varifrån datan ursprungligen kommer. Andra tillvägagångssätt, som digital vattenmärkning eller särskild säker hårdvara, erbjuder användbara funktioner som manipulationdetektion eller skyddad beräkning, men de förutsätter att bilderna som matas in i systemet redan är tillförlitliga. Ingen av dessa metoder ger en änd‑till‑änd‑logg för varje medicinsk bild från det att den fångas i en skanner till lagring, delning och användning i AI‑träning.

En ny datapipeline byggd på delat förtroende

Författarna föreslår en ny arkitektur som börjar skydda bilder i samma ögonblick som de skapas i en diagnostisk enhet. I deras design samverkar tre roller: DataOwner (till exempel en radiologavdelning) som genererar MR‑skanningar, DataCustodian som hanterar säker lagring och behörigheter, och ResearchCenter som tränar AI‑modeller. Istället för att lägga bilder direkt på en blockkedja — vilket skulle vara långsamt och tungrott — lagras råa MR‑filer i ett privat, isolerat nätverk av distribuerade lagringsnoder kallat en Private IPFS. Varje bild tilldelas ett unikt kryptografiskt fingeravtryck, eller innehållsidentifierare, som ändras om ens en enda pixel modifieras. Det fingeravtrycket, tillsammans med information om vem som laddade upp bilden och när, skrivs sedan till en permissioned blockkedja byggd på Hyperledger Fabric, som delas endast mellan godkända organisationer.

Figure 2
Figure 2.

Hur systemet stoppar manipulation

När en forskare vill använda bilder skickar hen en digitalt signerad begäran som registreras i blockkedjan. Endast auktoriserade parter kan godkänna denna begäran, och godkännandet självt blir en del av den permanenta historiken. Forskningscentret hämtar sedan bilden från det privata lagringsnätverket och beräknar om dess fingeravtryck. Om det nya fingeravtrycket inte matchar det som lagrats i blockkedjan markeras bilden som manipulerad och blockeras från att gå in i AI‑träningspipen. Detta skapar ett manipulationsbevissystem med full revisionsbarhet: varje uppladdning, åtkomstbegäran, godkännande och hämtning loggas över flera oberoende datorer, vilket gör tyst manipulation mycket svårare. Författarna implementerade denna design med verkliga MR‑bilder av hjärntumörer, mätte dess prestanda med ett verktyg kallat Hyperledger Caliper och visade att det kan hantera säkra, närapå realtidsuppladdningar med låga felnivåer och hanterbara fördröjningar.

Vad detta innebär för säkrare AI på sjukhus

Enklare uttryckt fungerar det föreslagna systemet som ett låst, transparent valv för medicinska bilder. Alla kan se när en skanning kommer in i eller lämnar valvet, och varje försök att ändra en skanning lämnar tydliga fingeravtryck. Genom att kombinera en permissioned blockkedja med privat distribuerad lagring och strikta åtkomstkontroller angriper ramen problemet vid dess rot: den håller förgiftade eller förfalskade bilder borta från AI‑modellen. Även om praktiska utmaningar kvarstår — såsom att koppla denna lösning till befintlig sjukhusprogramvara och navigera komplicerade sekretessregler — erbjuder tillvägagångssättet en lovande väg mot AI‑verktyg som kliniker och patienter kan lita på, särskilt i höginsatsområden som diagnos av hjärntumörer.

Citering: Shinde, R., Patil, S., Kotecha, K. et al. Ensuring the integrity of AI models: a blockchain-based approach for protecting medical imaging training data. Sci Rep 16, 13989 (2026). https://doi.org/10.1038/s41598-026-44040-3

Nyckelord: säkerhet för medicinsk bildbehandling, blockkedja vård, adversariala attacker, MR‑undersökning av hjärntumör, pålitlig AI