Medical Multimodal Model Stealing Attacks via Adversarial Domain Alignment

要約

医療用マルチモーダル大規模言語モデル（MLLM）は医療システムの重要な一部となりつつあり、医療従事者の意思決定や結果分析を支援している。放射線医学レポート生成のためのモデルは、医療画像を解釈することができるため、放射線科医の作業負担を軽減することができる。医療データは希少であり、プライバシー規制によって保護されているため、医療用MLLMは貴重な知的財産である。しかし、これらの資産は、攻撃者がブラックボックスアクセスによってその機能を複製することを目的とするモデル窃盗に対して潜在的に脆弱である。これまでのところ、医療領域におけるモデル盗用は分類に焦点を当てているが、既存の攻撃はMLLMに対して有効ではない。本論文では、医療用MLLMに対する初の盗用攻撃であるAdversarial Domain Alignment (ADA-STEAL)を紹介する。ADA-STEALは、医療用の画像とは対照的に、広く公開されている自然画像に依存する。我々は、敵対的ノイズによるデータ増強が、自然画像と被害MLLMのドメイン固有分布との間のデータ分布ギャップを克服するのに十分であることを示す。IU X-RAYとMIMIC-CXRの放射線データセットを用いた実験により、攻撃者は医療データにアクセスすることなく、敵対的ドメインアライメントにより医療用MLLMを盗み出すことが可能であることが実証された。

要約(オリジナル)

Medical multimodal large language models (MLLMs) are becoming an instrumental part of healthcare systems, assisting medical personnel with decision making and results analysis. Models for radiology report generation are able to interpret medical imagery, thus reducing the workload of radiologists. As medical data is scarce and protected by privacy regulations, medical MLLMs represent valuable intellectual property. However, these assets are potentially vulnerable to model stealing, where attackers aim to replicate their functionality via black-box access. So far, model stealing for the medical domain has focused on classification; however, existing attacks are not effective against MLLMs. In this paper, we introduce Adversarial Domain Alignment (ADA-STEAL), the first stealing attack against medical MLLMs. ADA-STEAL relies on natural images, which are public and widely available, as opposed to their medical counterparts. We show that data augmentation with adversarial noise is sufficient to overcome the data distribution gap between natural images and the domain-specific distribution of the victim MLLM. Experiments on the IU X-RAY and MIMIC-CXR radiology datasets demonstrate that Adversarial Domain Alignment enables attackers to steal the medical MLLM without any access to medical data.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL