皮肤癌作为全球高发恶性肿瘤，早期诊断对患者预后至关重要。然而医疗资源分布不均导致诊断可及性差异，促使基于深度神经网络（DNN）的皮肤癌检测移动应用快速发展。尽管这类应用在理想条件下表现优异，但DNN模型对对抗攻击的脆弱性引发担忧——精心设计的扰动可能操控模型预测。现有研究多聚焦数字环境下的白盒攻击，而对真实场景中医疗移动应用的黑盒物理攻击脆弱性仍属空白。

日本九州工业大学生物科学与生物信息学系的Junsei Oda和Kazuhiro Takemoto团队在《Scientific Reports》发表研究，首次证实皮肤癌检测移动应用存在物理相机贴片攻击漏洞。研究人员选取Google Play和Apple Store下载量超1万次的DermoApp、SkiniveMD和Blemish Types三款应用，通过国际皮肤影像协作组（ISIC）2018数据集训练11种DNN架构作为替代模型，包括MobileNetV₂、ResNet-18和Vision Transformer等。采用Li等提出的相机贴片攻击框架，优化透明贴片上25个圆点的位置与RGB值，生成可迁移的通用对抗扰动（UAP）。

关键技术包括：1）黑盒环境下通过替代模型生成可迁移对抗模式；2）物理实现采用PLUS Corp. IT-324 F-C透明胶片打印优化图案；3）使用DELL U2718Q显示器标准化显示ISIC测试集图像；4）多设备（Android平板和iPad）验证攻击普适性。

数字实验结果显示：

• 替代模型在ISIC测试集准确率达84.0-90.2%，其中ViT-Base-16最优（90.2%）
• EfficientNet-B₁生成的对抗模式跨架构迁移性最强，对多数目标模型攻击成功率（ASR）达83.1-95.0%
• 25个圆点时ASR最高，过多圆点导致重叠反而降低效果
• 攻击主要诱导模型将病变误判为血管性皮损（VASC），黑色素瘤（MEL）图像比痣（NV）更易受攻击

物理实验验证发现：

• ResNet-18生成的贴片使DermoApp对MEL图像的ASR达83.0%（基线33.0%）
• SkiniveMD对MEL的ASR提升至85.0%，NV图像则保持25.0%基线水平
• 攻击对初始正确分类的MEL图像仍保持76.1-87.5%的ASR
• 透明贴片引起的色彩偏移视觉不可察，攻击持续影响所有拍摄图像

讨论指出该研究具有三重突破性：

1. 首次实现黑盒条件下医疗AI系统的物理攻击，突破传统数字攻击限制；
2. 揭示移动医疗应用在真实场景的安全隐患，攻击成功率（50-80%）远超随机噪声（15-25%）；
3. 发现模型架构差异影响攻击效果，卷积神经网络（CNN）比视觉Transformer（ViT）更易受攻击。

该研究对医疗AI安全具有警示意义：在资源匮乏地区，攻击可能导致黑色素瘤漏诊延误治疗，或产生假阳性增加医疗负担。建议防御策略包括多角度图像验证、异常检测系统和硬件级防护。研究同时指出，当前医疗AI监管框架需纳入对抗测试要求，开发者应平衡模型精度与鲁棒性。未来需在真实临床环境中进一步验证攻击效果，并探索跨人口统计学的攻击差异性。

这项开创性工作为医疗AI安全评估建立新范式，强调在推进AI医疗应用时，必须同步发展防御机制以保障患者安全。相机贴片攻击的隐蔽性和易实施性，使其成为医疗AI部署中不可忽视的现实威胁。