发表在24日《自然》杂志的一篇研究论文发现，如果个人数据被用于训练医疗AI模型，那他可能面临在网络攻击中被识别的风险，且代表性不足群体个人信息泄露风险更高。研究认为，当前的风险评估并未将这些群体纳入考量，因此呼吁采取进一步措施以缓解并实施严格的访问控制。

医疗AI模型有望改善全球健康状况，特别是在缺乏专业人才的地区。然而，用于训练这些模型的敏感数据可能面临隐私攻击。攻击者利用成员推理攻击（MIA）来确定个人的数据是否被用于训练模型。通过此类攻击，可以推断出患者的医疗数据和私人信息。此前关于数据风险的研究主要基于整个数据集，并未考虑个体的风险。

德国慕尼黑工业大学研究团队开展了一项隐私审计，重点关注个人隐私风险，发现医疗AI模型可能对个人数据贡献者构成隐私风险。研究人员利用7个由真实临床数据（包括医学影像、心电图和电子健康记录）组成的大型数据集，确定了数据贡献患者中最为脆弱的群体。

研究发现，在个人层面，MIA针对的目标几乎毫无差错地被成功识别出来。在群体层面，在数据集中被识别为代表性不足的群体包括罕见病患者、少数族裔或社会经济地位较低的人群等。随着被AI模型编码的独特数据增多，研究发现这些群体和个人更加脆弱，且面临不成比例的隐私攻击风险。研究同时发现，MIA攻击的成功率，会随着模型容量和规模的增加而上升。

研究人员表示，诸如MIA之类的隐私攻击，在个体层面的精准打击效果，比目前普遍认为的更为显著。他们总结称，隐私风险评估必须将个体风险纳入考量，并对易受攻击的模型提供进一步保护。