MedFocusLeak攻击：针对医疗视觉语言模型的背景区域对抗攻击

本文介绍ACL 2026口头报告论文提出的MedFocusLeak攻击——一种可迁移的黑盒多模态对抗攻击方法。该攻击通过在医疗影像非诊断背景区域注入微小扰动，误导医疗视觉语言模型（MedVLMs）做出错误诊断，揭示了医疗AI在注意力机制层面的安全脆弱性。

医疗视觉语言模型（MedVLMs）能同时理解医学图像和临床文本，在放射科影像分析、病理切片解读等任务中潜力巨大。但传统认为诊断关键在病灶区域，最新研究发现模型对背景区域敏感性远超预期，为对抗攻击开辟新攻击面。

攻击设计思路

选择非诊断背景区域（如边缘健康组织、设备伪影区）注入人眼难察觉的微小扰动。

注意力转移机制

通过优化算法生成特定扰动模式，诱导模型注意力从病灶转移到篡改背景区域，导致错误诊断。

黑盒可迁移性

无需目标模型内部参数，仅通过输入输出行为训练对抗样本，且对相似架构的MedVLMs有效，可大规模复制。

攻击成功率

在标准测试集上攻击成功率极高，即使对抗训练加固的模型也脆弱，现有防御对背景扰动无效。

隐蔽性分析

扰动集中在非诊断区域且幅度小，专业医生盲测难以区分原始与攻击图像，易导致错误诊断进入临床流程。

跨模型迁移

针对开源MedVLM生成的对抗样本，在闭源商业API上仍保持较高成功率，说明模型共享注意力偏差。

注意力机制双刃剑

注意力机制聚焦关键区域，但易被操纵，需考虑注意力鲁棒性而非仅输出准确性。

背景区域不可忽视

传统专注病灶检测，MedFocusLeak证明背景区域影响模型决策，需将全图安全纳入训练评估。

对抗训练新方向

现有防御针对像素级扰动，需关注语义层面攻击（误导模型理解方式），开发抵御注意力操纵的防御方法。

1. 多模型集成验证：用多个独立模型分析同一图像，比对注意力热力图和诊断结论，检测异常转移。
2. 注意力监督学习：训练时引入注意力一致性约束，确保模型注意力符合医学先验（如关注解剖相关区域）。
3. 输入预处理加固：开发检测消除背景扰动的预处理管道，过滤对抗修改同时不影响诊断信息。

ACL 2026将该研究选为口头报告，反映学术界对医疗AI安全的重视。随着MedVLMs进入临床，安全性成为产品成败关键。该研究推动行业建立严格安全测试标准，促使开发者平衡准确率与鲁棒性、可信赖性，助力医疗AI赢得医患信任。