Adversarial Robustness of Deep Learning-Based Thyroid Nodule Segmentation in Ultrasound

Die Studie zeigt, dass zwar räumliche adversarielle Angriffe auf die Segmentierung von Schilddrüsenknoten in Ultraschallbildern durch Eingangs-Verfahren teilweise gemildert werden können, frequenzbasierte Angriffe jedoch widerstandsfähig gegen die getesteten Verteidigungsmechanismen bleiben.

Das Wesentliche

Stellen Sie sich vor, ein hochmoderner Roboter-Arzt lernt, Ultraschallbilder von Schilddrüsen zu lesen. Seine Aufgabe ist es, kleine Knötchen (Tumore) auf dem Bild genau einzumalen, damit die Ärzte wissen, wo sie hinsehen müssen. Dieser Roboter ist sehr gut, aber wie jeder Lerneffekt hat er auch eine Schwäche: Er ist anfällig für „digitale Täuschungen".

Dieser Forschungsbericht untersucht genau diese Schwäche. Hier ist die Geschichte in einfachen Worten, mit ein paar bildhaften Vergleichen:

1. Das Problem: Der unsichtbare Störfaktor

Stellen Sie sich vor, Sie malen ein Bild. Ein Hacker nimmt einen winzigen Pinsel und trägt unsichtbare Tinte auf das Bild auf. Für das menschliche Auge sieht das Bild immer noch genauso aus wie vorher. Aber für den Roboter-Arzt verändert diese unsichtbare Tinte alles. Plötzlich sieht er das Knötchen an der falschen Stelle oder gar nicht mehr.

In der Medizin nennt man das adversarielle Angriffe (gegnerische Angriffe). Das Ziel der Forscher war es zu testen, wie gut dieser Roboter gegen solche Tricks geschützt ist und ob man ihn „immunisieren" kann, ohne ihn neu zu programmieren.

2. Die zwei Arten von Tricks (Die Angriffe)

Die Forscher entwickelten zwei verschiedene Methoden, um den Roboter zu verwirren, die speziell auf Ultraschallbilder zugeschnitten waren:

• Trick Nr. 1: Der „Staubwolken"-Angriff (SSAA)
  Ultraschallbilder haben von Natur aus ein körniges Aussehen (wie ein alter TV-Schnee). Der erste Trick fügt genau an den Rändern des Knötchens winzige, künstliche Körnchen hinzu.

  • Die Metapher: Stellen Sie sich vor, jemand streut hauchfeinen Sand genau auf die Konturlinie einer Zeichnung. Das menschliche Auge sieht den Sand kaum, aber der Roboter, der auf scharfe Kanten achtet, wird verwirrt und verliert den Rand aus den Augen.
  • Ergebnis: Dieser Trick war sehr effektiv. Der Roboter machte viele Fehler, obwohl das Bild für uns unverändert aussah.

• Trick Nr. 2: Der „Frequenz-Zauber"-Angriff (FDUA)
  Jeder Bild hat eine Art „musikalische Note" oder Frequenz. Dieser Trick verändert die unsichtbaren Schwingungen im Bild, die die Textur des Gewebes ausmachen.

  • Die Metapher: Stellen Sie sich vor, Sie spielen ein Klavier. Jemand dreht an den Saiten im Inneren des Instruments, sodass der Klang leicht verzerrt ist, ohne dass man sieht, was passiert ist. Der Roboter hört den falschen Ton und versteht das Bild nicht mehr richtig.
  • Ergebnis: Auch dieser Trick verwirrte den Roboter, aber auf eine etwas andere Art und Weise.

3. Die Schutzschild-Tests (Die Verteidigung)

Die Forscher fragten sich: „Können wir den Roboter schützen, ohne ihn neu zu bauen?" Sie testeten drei einfache Methoden, die während der Analyse des Bildes angewendet werden (wie eine Brille, die der Roboter aufsetzt):

1. Der „Zufalls-Trick" (Randomized Preprocessing): Bevor der Roboter das Bild sieht, wird es leicht verzerrt, gedreht oder unscharf gemacht – und das Bild wird dann 5-mal auf diese Art bearbeitet. Der Roboter schaut sich alle 5 Versionen an und macht eine Art „Durchschnittsbild".

   • Vergleich: Wie wenn Sie ein verschwommenes Foto 5-mal aus verschiedenen Winkeln betrachten und sich dann ein klares Bild im Kopf zusammenpuzzeln.
   • Ergebnis: Bei „Trick Nr. 1" (Staubwolken) half das sehr gut! Der Roboter wurde wieder deutlich besser.

2. Der „Reinigungs-Trick" (Denoising): Das Bild wird wie ein verschmutztes Fenster abgewischt. Rauschen und kleine Störungen werden weggefiltert.

   • Vergleich: Wie wenn Sie einen staubigen Spiegel putzen, bevor Sie hineinschauen.
   • Ergebnis: Das war der beste Schutz gegen „Trick Nr. 1". Es rettete etwa ein Drittel der verlorenen Genauigkeit.

3. Der „Meinungs-Cluster" (Ensemble): Der Roboter schaut sich das Bild 5-mal an, wobei jedes Mal leicht andere Bedingungen herrschen (wie 5 verschiedene Experten, die das Bild unabhängig betrachten). Sie stimmen dann ab.

   • Vergleich: Wie eine Jury, die sich ein Urteil über ein Bild bildet.
   • Ergebnis: Auch hier half es gegen „Trick Nr. 1", aber etwas weniger als das Putzen des Spiegels.

4. Die große Überraschung: Warum der Schutz nicht immer funktioniert

Hier kommt der wichtigste Punkt der Studie: Der Schutz funktionierte nur bei einem der beiden Tricks.

• Gegen den Staubwolken-Trick (SSAA) waren die Schutzschilde (besonders das Putzen des Bildes) sehr erfolgreich. Der Roboter wurde wieder zu einem guten Arzt.
• Gegen den Frequenz-Zauber-Trick (FDUA) waren alle Schutzschilde wirkungslos. Das Putzen des Spiegels oder das Betrachten aus verschiedenen Winkeln half nicht. Die Störung war so tief im Bild verankert, dass sie sich nicht einfach „wegwischen" ließ.

5. Was bedeutet das für die Zukunft?

Die Forscher fassen es so zusammen:
Es gibt keine „Einheitslösung" für Sicherheit in der KI.

• Wenn ein Hacker das Bild nur an der Oberfläche stört (wie Staub), können wir es leicht reinigen.
• Wenn der Hacker aber tiefer in die Struktur des Bildes eingreift (wie die Frequenzen), brauchen wir stärkere Waffen. Einfaches „Putzen" reicht nicht.

Das Fazit für den Alltag:
KI-Systeme in der Medizin sind mächtig, aber sie haben blinde Flecken. Wir können sie nicht einfach mit ein paar einfachen Tricks (wie Bildfiltern) vor allen möglichen Angriffen schützen. Um sie sicher zu machen, müssen wir sie in Zukunft so trainieren, dass sie diese tiefen Störungen von Anfang an erkennen und ignorieren können – ähnlich wie ein erfahrener Arzt, der gelernt hat, zwischen echtem Gewebe und bloßem Rauschen zu unterscheiden, auch wenn jemand versucht, ihn zu täuschen.

Die Studie warnt also: Wir dürfen nicht denken, wir sind sicher, nur weil wir einen einfachen Schutzschild haben. Die Bedrohungen sind vielfältig, und die Verteidigung muss genauso kreativ sein wie die Angreifer.

Technische Zusammenfassung

1. Problemstellung

Die automatisierte Segmentierung von Schilddrüsenknoten in B-Mode-Ultraschallbildern mittels Deep Learning gewinnt zunehmend an Bedeutung für Diagnose und Behandlungsplanung. Allerdings ist die Robustheit dieser Modelle gegenüber adversariellen Angriffen (gezielte, oft für das menschliche Auge unsichtbare Bildmanipulationen) in diesem medizinischen Kontext noch unzureichend untersucht.

Besondere Herausforderungen ergeben sich durch die spezifischen Eigenschaften von Ultraschallbildern:

• Multiplicative Speckle-Rauschen (Körnigkeit).
• Charakteristische Frequenzstrukturen durch die Strahlformung.
• Hohe Variabilität zwischen einzelnen Frames.

Bisherige Studien konzentrierten sich oft auf Klassifizierungsaufgaben oder nutzten generische Angriffe, die die Besonderheiten von Ultraschall ignorieren. Zudem fehlen Untersuchungen zu Black-Box-Angriffen (der Angreifer hat keinen Zugriff auf Modellgewichte) und effektiven Inferenzzeit-Verteidigungen (Defenses, die ohne Nachtraining des Modells funktionieren).

2. Methodik

Datensatz und Modell

• Daten: Verwendung der öffentlich zugänglichen „Stanford AIMI Thyroid Ultrasound Cine-clip"-Datenbank mit 192 biopsiebestätigten Knoten (17.412 Frames).
• Modell: Ein U-Net-Segmentierungsnetzwerk (Encoder-Decoder-Architektur), trainiert auf 70 % der Daten (patientenbasiert aufgeteilt, um Data Leakage zu vermeiden).
• Metriken: Primär der Dice-Similarity-Coefficient (DSC), ergänzt durch IoU, Precision, Recall, Pixel-Accuracy und HD95.

Threat Model (Bedrohungsmodell)

• Szenario: Black-Box-Angriff. Der Angreifer kann nur Eingaben senden und Ausgaben (Segmentierungsmasken) beobachten, kennt aber keine internen Parameter.
• Budget: Begrenzt auf 500 Abfragen pro Clip.
• Ziel: Minimierung des DSC bei gleichzeitiger Wahrung der visuellen Ununterscheidbarkeit (Imperceptibility).

Angriffsvektoren (Attacks)

Es wurden zwei ultraschallspezifische Angriffe entwickelt:

1. SSAA (Structured Speckle Amplification Attack):
   • Nutzt das multiplikative Speckle-Rauschen-Modell.
   • Fügt strukturiertes Rauschen hinzu, das gezielt an den Rändern der vorhergesagten Segmentierung konzentriert ist.
   • Das Rauschen folgt einer Rayleigh-Verteilung (statistisch ähnlich wie Ultraschall-Speckle).
2. FDUA (Frequency-Domain Ultrasound Attack):
   • Operiert im Frequenzbereich (Fourier-Transformation).
   • Wendet bandpassgefilterte Phasenstörungen auf mittlere Frequenzkomponenten an, wo Gewebestrukturen konzentriert sind.
   • Ziel ist die Störung der Texturinformation, ohne das Bild visuell stark zu verzerren.

Verteidigungsstrategien (Defenses)

Drei Inferenzzeit-Methoden wurden evaluiert (ohne Nachtraining des Modells):

1. Randomized Preprocessing mit Test-Time Augmentation (TTA): Anwendung von 5 zufälligen Transformationen (Skalierung, Gauß-Weichzeichner) vor der Inferenz und Mittelung der Wahrscheinlichkeitskarten.
2. Deterministisches Input-Denoising: Feste Vorverarbeitungskette aus Gauß-Weichzeichner und Medianfilter (3x3) zur Entfernung hochfrequenter Störungen.
3. Stochastisches Ensemble mit konsistenzbewusster Aggregation: Erzeugung von 5 augmentierten Kopien (Verschiebung, Skalierung, Rauschen, Helligkeit), deren Vorhersagen per Mehrheitsvotum und gewichteter Mittelung (basierend auf Übereinstimmung) aggregiert werden.

3. Ergebnisse

Baseline-Leistung

Das ungestörte U-Net-Modell erreichte einen mittleren DSC von 0,76 (SD 0,20).

Wirksamkeit der Angriffe

• SSAA: Reduzierte den DSC drastisch auf 0,47 (Verlust von 0,29). Die Angriffe waren visuell sehr schwer zu erkennen (SSIM = 0,94).
• FDUA: Reduzierte den DSC moderater auf 0,65 (Verlust von 0,11), führte jedoch zu stärkeren visuellen Artefakten (SSIM = 0,82).

Wirksamkeit der Verteidigungen

• Gegen SSAA (Raumdomäne): Alle drei Verteidigungen zeigten eine statistisch signifikante Verbesserung.
  • Deterministisches Denoising war am effektivsten (+0,10 DSC, Wiederherstellungsrate ~36 %).
  • Randomized Preprocessing (+0,09 DSC) und Stochastisches Ensemble (+0,08 DSC) folgten.
  • Die Verbesserungen resultierten primär aus einem höheren Recall (Wiedererkennung von übersehenem Gewebe), nicht aus der Korrektur falscher Vorhersagen.
• Gegen FDUA (Frequenzdomäne): Keine der Verteidigungen konnte eine statistisch signifikante Verbesserung des DSC erzielen.
  • Zwar verbesserte sich der Recall teilweise, aber die Precision verschlechterte sich (Überschneidung/Over-Segmentation), was den Netto-DSC-Effekt neutralisierte.
  • Dies deutet darauf hin, dass Frequenzstörungen schwerer von normalen Gewebestrukturen zu trennen sind als räumliche Störungen.

Kosten für ungestörte Bilder

Alle Verteidigungsmaßnahmen hatten vernachlässigbare negative Auswirkungen auf die Leistung bei ungestörten Bildern (DSC-Verlust < 0,004).

4. Wichtige Beiträge

1. Ultraschallspezifische Angriffe: Entwicklung und Evaluation von SSAA und FDUA, die die physikalischen Eigenschaften von Ultraschall (Speckle, Frequenzstruktur) explizit ausnutzen.
2. Black-Box-Realismus: Untersuchung unter realistischen Bedingungen ohne Zugriff auf Modellgradienten.
3. Asymmetrie der Verteidigung: Nachweis, dass einfache Inferenzzeit-Preprocessing-Methoden gegen räumliche Angriffe (SSAA) funktionieren, gegen frequenzbasierte Angriffe (FDUA) jedoch versagen.
4. Praktische Verteidigungsstrategien: Demonstration, dass deterministisches Denoising eine kosteneffiziente, effektive Maßnahme gegen bestimmte Ultraschall-Angriffe darstellt.

5. Bedeutung und Fazit

Die Studie zeigt, dass Deep-Learning-Modelle für die Schilddrüsen-Segmentierung anfällig für Black-Box-Angriffe sind, die klinisch relevante Fehler verursachen können, ohne visuell auffällig zu sein.

Ein zentrales Ergebnis ist die Modalspezifische Asymmetrie: Während räumliche Angriffe durch Standard-Preprocessing teilweise abgewehrt werden können, bleiben frequenzbasierte Angriffe durch diese Methoden ungebremst. Dies unterstreicht, dass keine universelle Verteidigung existiert und die Robustheitsbewertung spezifisch für den Angriffsvektor und das Bildgebungsverfahren erfolgen muss.

Für die klinische Praxis bedeutet dies, dass reine Inferenzzeit-Filterungen nicht ausreichen, um vollständige Sicherheit zu gewährleisten. Zukünftige Arbeiten sollten auf Trainingsstrategien (Adversarial Training mit frequenzbasierten Störungen) und architektonische Ansätze (diverse Ensemble-Modelle) sowie auf Mechanismen zur Erkennung von Unsicherheit (Confidence-based Triage) fokussieren, um die Patientensicherheit zu gewährleisten.