在人工智能技术深度应用的今天，深度学习模型（DNN）已成为医疗影像诊断、金融风控等关键领域的核心工具。然而研究表明，这些"黑箱"模型不仅存在被对抗样本欺骗的风险，还可能泄露输入数据中的敏感信息。传统解决方案陷入两难：对抗攻击通过添加噪声干扰模型判断，却破坏了载体图像的临床/法律价值；加密技术虽能保护隐私，但完全牺牲了图像可视性。更棘手的是，现有对抗信息隐藏方法多关注攻击有效性，忽视了对原始图像的还原能力——这在要求数据完整性的医疗影像存档、军事情报传输等场景中至关重要。

南阳师范学院的研究团队在《Digital Signal Processing》发表的研究中，创新性地将神经网络可解释性工具与可逆信息隐藏技术结合。该方法利用梯度加权类激活映射（Grad-CAM）定位对分类决策最具影响力的关键像素，通过差分扩展技术在这些敏感区域嵌入用户自定义信息。这种"精准手术式"的修改实现了三重突破：仅需修改1-5个像素即可误导DNN分类；完整提取隐藏信息后可无损恢复载体图像；自定义信息的嵌入还扩展了版权保护功能。研究在CIFAR-10数据集上采用NiN、AlexNet和ResNet三种架构验证，证明其在不同网络深度下的普适性。

关键技术方法包括：1）基于Grad-CAM的热力图分析定位关键像素；2）差分扩展算法实现信息嵌入与图像恢复；3）限制性像素扰动策略（1/3/5像素修改）；4）在32×32尺寸的CIFAR-10图像上测试三类DNN模型。

【研究结果】

1. 可逆对抗信息隐藏框架：通过Grad-CAM可视化确定<5个关键像素，嵌入容量与攻击成功率呈正相关。在1像素修改时，对ResNet的误导成功率仍达68.3%。
2. 最小像素扰动算法：差分扩展使像素值修改幅度控制在±5以内，PSNR值优于传统对抗攻击方法12dB以上。
3. 可行性验证：在NiN模型上实现最高82.6%的攻击成功率，同时保证100%的载体图像恢复精度，验证了医疗影像等敏感数据保护的可行性。

该研究的突破性在于首次将对抗攻击的"矛"与可逆隐藏的"盾"统一：Grad-CAM指导的精准扰动如同"神经手术刀"，在保证图像临床可用性的前提下实现隐私保护；差分扩展技术则像"数据橡皮擦"，确保信息提取后的完美复原。这种"攻防一体"的设计范式，为医疗AI数据共享、金融凭证防伪等场景提供了新思路。文中特别指出，该方法在更大尺寸医学影像（如乳腺X光片）中的应用潜力，未来或可通过迁移学习实现跨模态保护。研究团队在讨论部分强调，随着《数据安全法》的实施，此类兼顾可用性与安全性的技术将成为合规刚需。