医疗AI安全刻不容缓：医院为何不能等待 - AI与医疗健康

医疗AI安全刻不容缓：医院为何不能等待Securing AI in Healthcare and Why Hospitals Can’t Afford to Wait

环球医讯 / AI与医疗健康来源：www.europeanbusinessreview.com英国 - 英语2025-08-02 05:46:59 - 阅读时长5分钟 - 2139字

本文深入分析医疗AI带来的网络安全新风险，揭示医院在AI系统部署中存在的漏洞隐患。通过解析提示注入攻击、模型投毒等新型攻击方式，结合微软365 Copilot的EchoLeak漏洞案例，阐明医疗行业亟需建立AI资产清单并实施实时监控的必要性。探讨欧盟AI法案与英国监管框架的差异化影响，强调医疗组织不应等待监管而应主动构建安全体系的重要性，提出五步法风险管理模型与跨职能协作机制，为医疗AI安全防护提供系统性解决方案。

医院正在加速采用人工智能技术改善患者护理，但这同时也带来了严重的网络安全风险。Ty Greenhalgh警告医疗组织必须立即采取行动保护AI基础设施。在医疗漏洞率居高不下、新型威胁如提示注入攻击频现的当下，医疗行业不能再等待监管法规的完善，更不应通过数据泄露的惨痛代价来获得教训。

医院AI应用带来的网络安全格局变化

人工智能正逐步改变医院运作模式，从提升诊断准确性到优化行政流程。但这些便利的同时也引入了前所未有的网络风险，而许多医疗从业者尚未做好应对准备。

坦率地说，当前人们对这项技术的认知令人担忧。AI工具，特别是生成式AI虽然直观易用，但大多数用户并不了解其运作原理。这意味着当工具出现误判或"幻觉"时，使用者难以察觉，同时也无法理解潜在的网络风险。

我观察到最令人担忧的趋势是提示注入攻击的兴起。这种新型攻击类似于SQL注入攻击，但攻击者通过操控大型语言模型（LLM）的输入来改变其行为。在临床环境中，这可能导致AI系统生成错误或误导性的医疗建议，或泄露本不应接触的敏感数据。

微软365 Copilot被发现存在名为EchoLeak的"零点击"漏洞，攻击者仅需一封精心设计的电子邮件即可通过AI助手读取邮件、电子表格和聊天记录，获取机密数据。黑客发送包含隐藏指令的邮件（即提示注入），Copilot会自动处理这些指令，导致未经授权的数据访问和共享。整个过程无需钓鱼链接或恶意软件，仅靠AI的后台扫描即可触发泄露。

提示注入攻击只是冰山一角。还存在模型投毒风险——攻击者篡改训练数据或设计对抗性提示来操控决策输出。所有这些都导致AI模型完整性面临严峻挑战。

现实情况是，医院正在将AI技术叠加在本已高度脆弱的现有网络上，而这些网络本身就面临较高的网络风险。

医疗行业AI风险的独特脆弱性

虽然所有采用AI的机构都需要重视风险，但医疗环境因多重挑战叠加而尤为脆弱。首先，AI应用的速度往往超过安全治理结构的建设速度。

就像一辆爆胎的汽车继续行驶，却试图在行进中修理。当新技术引入实际环境时，若未充分理解其风险和挑战，就会陷入这种困境。

医院正在部署从诊断算法到文档助手等各类AI系统，却往往不清楚这些工具的具体部署位置，以及它们如何在整体网络中运行。

这种情况似曾相识。电子健康记录（EHR）的推广过程中，我们已看到匆忙引入新技术带来的后果——在追求改善患者护理的同时，让全球最重要的医疗记录暴露给了黑客。

目前最突出的缺口是缺乏全面的AI资产清单。你无法保护看不见的东西，而现在许多机构甚至不知道哪些系统在使用AI、这些系统如何训练、以及它们访问哪些数据。这种信息缺失在AI嵌入临床流程或与旧有基础设施整合时尤为危险。

监管在提升医疗AI安全中的作用

医疗行业本就监管严格，AI工具当然也需要监管。但监管不应成为行动的理由。若等待立法进程，我们永远只能被动应对。当涉及患者安全时，这种滞后是完全不可接受的。

欧盟AI法案将医疗AI列为"高风险"类别，明确了透明度、监管和风险管理的义务。这对承认这些系统影响决策的关键性具有重要意义。但实施过程需要时间，各成员国执行力度可能不一。

英国采取了更分散的"亲创新"监管路径。这种灵活性虽有优势，但也造成监管不一致。当前存在医疗AI系统未受到与其他临床技术同等审查的风险。

无论地理位置如何，核心观点相同：医院不应等待监管指令。这些框架背后的原则——理解系统、管理风险、确保问责——都是我们现在就应该采取的措施。合规性会随之而来，但韧性必须优先建立。

医疗机构必须采取的关键实践步骤

首要且最重要的步骤是可视化管理。需要明确AI在环境中的存在位置，无论是独立工具、嵌入式医疗设备，还是整合到文档系统中的组件。从建立AI资产清单并绘制数据流向开始。

更重要的是将AI监管纳入更广泛的资产保护战略。AI并非独立于基础设施，而是通常在其上运行。这意味着它继承了医疗行业已知的所有风险，如过时的操作系统、不安全的网络协议和糟糕的网络分段。如果已经在管理网络物理系统的暴露面，AI就应纳入同一框架。

我们建议采取五步法：发现现有资产、验证重要部分、界定风险范围、确定修复优先级、调动资源。这种方法对AI特别有效，因为它鼓励持续评估和行动，而非一次性审计。

最后，实时监控至关重要。AI系统进化迅速且难以理解。它们会学习、漂移和改变。若不监控异常行为，可能会错过模型退化或外部威胁行为者操控的早期迹象。技术控制需要与网络安全、IT和临床领导层的跨职能监管相结合，这样才能确保AI实现其承诺而不会成为负债。

关于作者

Ty Greenhalgh是Claroty公司的行业主管，同时担任美国卫生与公共服务部HHS 405(d)工作组的"大使"，参与开发HPH-CPGs和现状分析。他还是HSCC网络工作组成员。他在医疗AI领域作出过重大贡献，成功推出了包括光学字符识别（OCR）、自然语言处理（NLP）、机器学习（ML）和语音AI解决方案在内的多个Best-in-KLAS医疗AI产品，显著提升了医疗运营效率和医院盈利能力。

【全文结束】