确保人工智能模型完整性：一种用于保护医学影像训练数据的区块链方法

为何保护医学影像至关重要

当医生使用人工智能来在 MRI 影像上识别脑肿瘤时，他们对数据和软件寄予巨大信任。但如果有人在暗中篡改这些影像，使得 AI 学到了错误的结论——或将肿瘤误判为无害——情况会怎样？本文探讨了将区块链技术与分布式文件存储相结合的方法，如何从影像创建之初就对其上锁，从而帮助确保生死攸关的决策不会基于已被破坏的数据。

医学影像中的隐秘威胁

现代 AI 系统，尤其是深度学习模型，能在 MRI 脑影像中捕捉到人类可能忽略的微妙模式，从而提升准确性并减轻医生的工作负担。然而，这些模型的可靠性取决于其训练所用影像的可信度。对手可以通过将稍作修改的 MRI 影像混入训练数据来实施“数据投毒”攻击。这些改动极其微小，人眼难以察觉，但足以驱使 AI 模型产生危险性错误，例如持续性地错误分类某类肿瘤。类似的微调也可在测试阶段进行，攻击者对单张影像的细微修改能骗过已部署的模型使其给出错误诊断。由于当前的医学影像处理流程往往缺乏关于数据来源和是否被篡改的强有力保证，这类攻击难以被发现，可能带来危及生命的后果。

现有防御为何不足

研究者尝试了多种防护策略，但大多对症下药而非治本。对抗训练通过让模型接触大量被操纵的样本使其学会抵御某些攻击，但这很耗算力且通常只能防护已知的攻击手法。图像“清理”方法，如压缩或去噪，能够去除部分扰动，但对更复杂的攻击可能失效，并且不能证明数据的来源。其他方法，如数字水印或专用安全硬件，提供了篡改检测或受保护计算等有用功能，但这些方法假定进入系统的影像本身已经可信。没有一种方法能从影像在扫描仪采集之时起，贯穿存储、共享和用于 AI 训练的全过程，提供端到端的可记录证明。

基于共享信任的新数据管道

作者提出了一种新架构，从诊断中心创建影像的瞬间开始就对其进行保护。在该设计中，三个角色协同工作：生成 MRI 影像的数据所有者（例如医院影像科），负责管理安全存储和权限的数据保管人，以及训练 AI 模型的研究中心。与其将影像直接放上区块链——那样既慢又笨重——原始 MRI 文件存储在一个称为私有 IPFS 的隔离分布式存储节点网络中。每张影像都会得到一个独特的加密指纹或内容标识符（如果哪怕一个像素被改动，该指纹就会改变）。该指纹以及关于谁上传影像和何时上传的信息随后写入建立在 Hyperledger Fabric 之上的许可区块链，这个区块链仅在经批准的机构之间共享。

系统如何阻止篡改

每当研究人员想要使用影像时，他们会发送一份数字签名的请求并将其记录在区块链上。只有被授权的方可批准该请求，而批准本身也成为永久记录的一部分。研究人员随后从私有存储网络检索影像并重新计算其指纹。如果新的指纹与记录在区块链上的不一致，该影像即被标记为已篡改并被禁止进入 AI 训练管道。这就创建了一个可见篡改、可完全审计的轨迹：每一次上传、访问请求、审批和检索都会被记录在多个独立计算机上，使得悄然操控变得更加困难。作者用真实的脑肿瘤 MRI 影像实现了该设计，使用名为 Hyperledger Caliper 的工具测量其性能，并展示了系统能以低失败率和可控延迟处理安全、近实时的上传。

这对医院中更安全的 AI 有何意义

简单来说，所提系统像是一个上锁且透明的医学影像保险库。每个人都能看到何时有扫描进入或离开保险库，且任何篡改尝试都会留下明显指纹。通过将许可区块链与私有分布式存储和严格的访问控制相结合，该框架从根本上解决了问题：防止被投毒或伪造的影像进入 AI 模型。尽管在将该方案与现有医院软件对接以及应对复杂隐私法规方面仍存在实际挑战，但该方法为临床医生和患者可以信赖的 AI 工具——尤其是在脑肿瘤诊断等高风险领域——提供了一条有希望的路径。

引用: Shinde, R., Patil, S., Kotecha, K. et al. Ensuring the integrity of AI models: a blockchain-based approach for protecting medical imaging training data. Sci Rep 16, 13989 (2026). https://doi.org/10.1038/s41598-026-44040-3

关键词: 医学影像安全, 区块链 医疗保健, 对抗性攻击, 脑肿瘤 MRI, 值得信赖的人工智能