CoDA: 의료 영상-언어 모델의 유통 경로 공격 탐색 및 사후 토큰 공간 복구

CoDA: Exploring Chain-of-Distribution Attacks and Post-Hoc Token-Space Repair for Medical Vision-Language Models

의료 영상-언어 모델(MVLM)은 방사선학 파이프라인의 인지 기반 모델 및 다중 모드 어시스턴트의 시각적 인터페이스로 점점 더 많이 사용되고 있지만, 실제 임상 워크플로우에서의 신뢰성은 아직 충분히 연구되지 않았습니다. 기존의 견고성 평가에서는 종종 깨끗하고 정제된 입력 데이터 또는 고립된 오류를 다루는 경우가 많아, 임상적 가독성을 유지하면서 이미지 통계량을 변화시키는 일반적인 획득, 재구성, 표시 및 전달 작업이 간과됩니다. 이러한 격차를 해소하기 위해, 우리는 임상적으로 타당한 파이프라인 변경을 구성하는 유통 경로 프레임워크인 CoDA를 제안합니다. CoDA는 획득과 유사한 음영 처리, 재구성 및 표시 재매핑, 그리고 전달 및 내보내기 과정에서의 품질 저하를 결합하여 이러한 변경을 구현합니다. CoDA는 마스크된 구조적 유사성 제약 조건 하에서, 시각적 타당성을 유지하면서 오류를 유발하기 위해 단계 구성 및 매개변수를 동시에 최적화합니다. 뇌 MRI, 흉부 X선 및 복부 CT 이미지에 대해, CoDA는 CLIP 스타일 MVLM의 제로샷 성능을 크게 저하시키며, 연결된 구성이 단일 단계보다 일관되게 더 큰 피해를 줍니다. 또한, 우리는 다중 모드 대규모 언어 모델(MLLM)을 이미징의 현실성과 품질을 평가하는 기술적 진실성 감사기로 활용하는 방안을 평가합니다. 독점적인 다중 모드 모델은 CoDA로 변경된 샘플에 대해 감사 신뢰성이 저하되고 지속적인 높은 신뢰도 오류를 보이는 반면, 우리가 테스트한 의료 특화 MLLM은 의료 이미지 품질 감사에서 명확한 결함을 보입니다. 마지막으로, 우리는 패치 수준의 정렬을 통해 교사 모델 기반의 토큰 공간 적응을 사용하는 사후 복구 전략을 도입하여, 저장된 CoDA 결과물의 정확도를 향상시킵니다. 전반적으로, 우리의 연구 결과는 MVLM 배포를 위한 임상적으로 기반한 위협 요소를 규명하고, 경량화된 정렬이 배포 시 견고성을 향상시킬 수 있음을 보여줍니다.

Medical vision--language models (MVLMs) are increasingly used as perceptual backbones in radiology pipelines and as the visual front end of multimodal assistants, yet their reliability under real clinical workflows remains underexplored. Prior robustness evaluations often assume clean, curated inputs or study isolated corruptions, overlooking routine acquisition, reconstruction, display, and delivery operations that preserve clinical readability while shifting image statistics. To address this gap, we propose CoDA, a chain-of-distribution framework that constructs clinically plausible pipeline shifts by composing acquisition-like shading, reconstruction and display remapping, and delivery and export degradations. Under masked structural-similarity constraints, CoDA jointly optimizes stage compositions and parameters to induce failures while preserving visual plausibility. Across brain MRI, chest X-ray, and abdominal CT, CoDA substantially degrades the zero-shot performance of CLIP-style MVLMs, with chained compositions consistently more damaging than any single stage. We also evaluate multimodal large language models (MLLMs) as technical-authenticity auditors of imaging realism and quality rather than pathology. Proprietary multimodal models show degraded auditing reliability and persistent high-confidence errors on CoDA-shifted samples, while the medical-specific MLLMs we test exhibit clear deficiencies in medical image quality auditing. Finally, we introduce a post-hoc repair strategy based on teacher-guided token-space adaptation with patch-level alignment, which improves accuracy on archived CoDA outputs. Overall, our findings characterize a clinically grounded threat surface for MVLM deployment and show that lightweight alignment improves robustness in deployment.