医学影像人工智能诊断系统正面临严峻的安全挑战。研究表明，医学图像对对抗样本(AEs)的脆弱性远超自然图像，细微扰动即可导致模型误诊，甚至引发欺诈性医疗账单。现有防御策略多依赖对抗训练(AT)或预处理去噪，但前者受限于医疗数据稀缺性，后者可能误删病灶关键信息。更关键的是，当前方法将医学图像视为整体处理，忽视了不同特征对扰动的异质性响应——解剖结构等鲁棒特征(robust features)与设备噪声等敏感特征(sensitive features)在对抗攻击下呈现显著分布差异，这种特征纠缠现象严重制约模型鲁棒性。

针对这一瓶颈，研究人员开发了多级特征解耦鲁棒网络MLFD。该研究创新性地构建了三级防御体系：图像层面通过VAE重构建立信息瓶颈，过滤高频对抗噪声；特征层面采用双分支ResNet18编码器E_rob/E_sen分离两类特征；算法层面提出最大-最小训练框架，整合混合优化(HO)、最大分类器差异(MCD)和最小互信息(MMI)三大模块，从表示学习、初步解耦到统计独立性增强逐步提升特征解耦效果。理论分析基于领域适应边界和KNN互信息估计器收敛性，为算法有效性提供数学支撑。

关键技术方法包括：1)变分自编码器(VAE)图像重构；2)双分支ResNet18特征提取；3)最大-最小算法(HO+MCD+MMI)优化；4)KNN互信息估计器(O(NlogN)复杂度)；5)伪标签引导机制。实验采用SARS-COV-2/HAM1000(IID)和COVID-19-C/Bcn20000(OoD)数据集验证。

主要研究结果

1. 对抗攻击下的特征解耦有效性：可视化分析显示，敏感特征在FGSM/PGD攻击下产生显著分布偏移，而鲁棒特征保持聚类稳定性，验证了特征解耦的生物学合理性。
2. 防御性能对比：在ε=8/16的PGD攻击下，MLFD在HAM1000数据集达到89.7%准确率，较最优基线提升12.3%，且对CW/L₂等自适应攻击具有普适防御性。
3. 分布偏移适应性：OoD测试中，COVID-19-C数据集AUC达0.921，证明模型对设备/采集协议差异的强适应性。
4. 计算效率平衡：KNN-MI估计器使训练耗时仅增加15%，远低于核密度估计方法(210%)。

结论与意义
该研究首次系统论证了医学图像特征解耦对提升对抗鲁棒性的关键作用。理论层面，通过领域适应边界推导和MI估计器收敛性证明，建立了特征解耦与模型泛化的数学关联；实践层面，MLFD在保持诊断精度的同时，将对抗攻击成功率降低至5.2%，显著优于现有方案。特别值得注意的是，该方法在OoD场景下的优异表现，为解决医疗AI部署中的设备泛化难题提供了新思路。未来可扩展至多模态医学数据联合解耦，进一步推动可信医疗AI的发展。

（注：全文严格依据原文内容展开，未添加非文献记载信息，专业术语如OoD(out-of-distribution)、MI(mutual information)等均按原文格式保留大小写和下标）