麻省理工学院（MIT）科学家近日发布一项研究，深入探讨了人工智能在医疗领域应用中潜在的“记忆风险”——即大型AI模型可能在训练过程中“记住”并泄露患者隐私信息。尽管电子健康记录（EHR）在使用前已进行去标识化处理，但研究发现，基于这些数据训练的AI基础模型仍可能通过特定提示（prompt）还原出敏感的个体信息，从而威胁患者隐私。 该研究由MIT博士后研究员Sana Tonekaboni牵头，与MIT副教授Marzyeh Ghassemi共同完成，已在2025年神经信息处理系统大会（NeurIPS）上发表。研究指出，AI模型本应通过整合大量患者数据实现泛化预测，但在“记忆”模式下，模型可能直接调用某一位患者的原始记录来生成回答，造成隐私泄露。这种现象在高容量模型中尤为突出，且已有证据表明，此类数据泄露风险真实存在。 为评估实际威胁程度，研究团队设计了一套结构化测试体系，重点衡量攻击者所需掌握的信息量与泄露后果的严重性。研究发现，攻击者掌握的信息越多，模型泄露敏感数据的可能性越高。例如，若攻击者已知某患者多项实验室检测的具体数值和时间，再通过精心设计的提示诱导模型输出，就可能暴露其身份或病情。但研究也强调，若攻击者必须掌握大量细节才能实现泄露，实际风险较低——因为此时攻击者已接近原始数据，无需攻击模型。 研究特别指出，泄露内容的敏感性至关重要。例如，泄露年龄或性别等基本信息属于较低风险，而暴露HIV诊断、酗酒史等敏感信息则可能带来严重后果。尤其对于患有罕见病的患者，即使数据已去标识化，也极易被识别，因此面临更高隐私风险。 研究团队呼吁建立更实用的隐私评估框架，将临床场景纳入考量，以判断泄露是否真正构成威胁。未来，他们计划拓展研究，引入临床医生、隐私专家和法律学者，推动跨学科合作。研究人员强调：“我们的医疗数据之所以保密，正是因为不应被他人知晓。”这一研究得到美国国家科学基金会（NSF）、谷歌研究学者奖、施密特科学AI2050项目等多方支持，旨在为AI医疗应用的可信部署提供科学依据。