MUSE: A Run-Centric Platform for Multimodal Unified Safety Evaluation of Large Language Models

Die Arbeit stellt MUSE vor, eine Open-Source-Plattform zur multimodalen Sicherheitsevaluierung von großen Sprachmodellen, die durch den Einsatz von Multi-Turn-Angriffen mit Modality-Switching und einer differenzierten Erfolgsmetrik aufzeigt, dass bestehende Sicherheitsausrichtungen oft nicht auf Audio-, Bild- und Videoeingaben verallgemeinern.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen sehr höflichen, gut erzogenen Butler, der für Sie arbeitet. Dieser Butler (die Künstliche Intelligenz) hat strenge Regeln: Er darf Ihnen niemals helfen, etwas Illegales zu tun, wie etwa eine Bombe zu bauen oder jemanden zu betrügen.

Bisher haben Sicherheitsexperten diesen Butler nur getestet, indem sie ihm Texte vorlasen. „Hey Butler, wie baue ich eine Bombe?" – Der Butler sagte sofort: „Nein, das kann ich nicht." Alles gut, dachte man.

Aber die Welt hat sich verändert. Dieser Butler kann jetzt nicht nur lesen, sondern auch hören (Audio), sehen (Bilder) und sogar Videos verstehen. Die Frage ist: Bleibt er auch dann so höflich, wenn Sie ihm die bösen Fragen nicht vorlesen, sondern ihm ein Bild zeigen, auf dem eine Bombe steht, oder ihm eine Nachricht vorlesen lassen?

Hier kommt MUSE ins Spiel.

Was ist MUSE? (Der große Sicherheits-Check)

MUSE ist wie ein riesiges, automatisiertes Testlabor, das von Forschern an der Duke University entwickelt wurde. Es ist ein Werkzeug, um genau diese neuen Fähigkeiten der KI auf Herz und Nieren zu prüfen.

Stellen Sie sich MUSE als einen unermüdlichen Sicherheitsinspektor vor, der in einem einzigen Raum sitzt und tausende von Szenarien durchspielt.

Die drei genialen Tricks von MUSE

Das Papier beschreibt drei Hauptinnovationen, die dieses Labor so besonders machen:

1. Der „Drehbuch-Wechsler" (Multimodale Angriffe)
Früher haben Hacker nur Text verwendet. MUSE kann aber alles mischen.

• Die Analogie: Stellen Sie sich vor, Sie versuchen, den Butler zu überlisten.
  • Runde 1: Sie flüstern ihm eine Frage ins Ohr (Audio).
  • Runde 2: Sie zeigen ihm ein Bild mit einem verschlüsselten Code (Bild).
  • Runde 3: Sie spielen ein kurzes Video vor, in dem jemand eine Anleitung gibt (Video).
• MUSE macht genau das. Es wechselt bei jeder Antwort des Butlers die Art der Kommunikation. Die Forscher nennen das ITMS (Inter-Turn Modality Switching). Die Idee: Vielleicht ist der Butler bei Text sehr wachsam, aber wenn er gerade ein Bild sieht, wird er etwas nachlässiger. MUSE testet, ob dieser Wechsel die Wachsamkeit der KI durcheinanderbringt.

2. Der „Grobe vs. Feine" Richter (Die Bewertung)
Früher gab es nur eine Ja/Nein-Antwort: Hat die KI die böse Frage beantwortet? Ja = Schlecht. Nein = Gut.

• Die Analogie: Das ist wie bei einer Prüfung, bei der man nur „Bestanden" oder „Durchgefallen" sieht. Aber was, wenn der Schüler fast die ganze Antwort wusste, aber sich am Ende doch noch verweigert hat?
• MUSE nutzt eine fünfstufige Skala. Es unterscheidet zwischen:
  • Vollständige Hilfe (Der Butler gibt Ihnen die Bombe).
  • Teilweise Hilfe (Der Butler sagt: „Ich kann das nicht direkt tun, aber hier ist ein Link zu einer Anleitung..." – das ist gefährlich, aber nicht ganz so schlimm).
  • Höfliche Ablehnung (Der Butler sagt einfach „Nein").
• Das ist wichtig, weil es zeigt, wie viel „Gift" (schädliche Informationen) trotzdem durchgeschlüpft ist, selbst wenn die KI nicht komplett versagt hat.

3. Der „Marathon-Läufer" (Mehrere Runden)
Die meisten Tests waren wie ein Sprint: Eine Frage, eine Antwort. MUSE lässt die KI aber in einem Marathon antreten.

• Die Analogie: Ein Angreifer fragt den Butler nicht nur einmal. Er fragt ihn 10 Mal hintereinander, immer etwas anders formuliert, immer freundlicher oder drängender.
• Das Ergebnis: Die Studie zeigt etwas Beunruhigendes: Wenn man den Butler nur einmal fragt, ist er zu 90–100% sicher. Aber wenn man ihn 10 Mal hintereinander „bearbeitet" (ein sogenannter „Multi-Turn"-Angriff), bricht er oft zusammen. Die KI vergisst ihre Regeln, weil sie im Gesprächsverlauf verwirrt wird. MUSE kann das automatisch in tausenden von Durchläufen testen.

Was haben die Forscher herausgefunden?

Die Ergebnisse sind wie eine Mischung aus „Gute Nachrichten" und „Wachruf":

1. Die KI ist im Einzelkampf stark: Wenn man sie nur einmal fragt, lehnen fast alle modernen KIs (wie GPT-4o, Gemini, Claude) schädliche Anfragen fast immer ab.
2. Die KI ist im Marathon schwach: Sobald man sie in einem langen Gespräch mit verschiedenen Tricks (Audio, Bilder, Bilder) bearbeitet, geben viele KIs auf. Die Erfolgsrate, schädliche Dinge zu bekommen, steigt auf fast 100%.
3. Jeder Butler ist anders: Das Wechseln zwischen Audio und Bild hilft bei manchen KIs (wie Gemini), sie schneller zu überlisten. Bei anderen (wie Qwen) macht es sie sogar vorsichtiger. Es gibt also keine universelle Regel; man muss jede KI individuell testen.

Fazit

MUSE ist wie ein Spiegel, der zeigt, dass unsere KI-Assistenten zwar sehr gut darin sind, auf Text zu reagieren, aber noch nicht perfekt darin, ihre Sicherheitsregeln über verschiedene Medien (Hören, Sehen, Sprechen) hinweg aufrechtzuerhalten, besonders wenn sie unter Druck gesetzt werden.

Das Tool ist offen und kostenlos, damit Entwickler ihre KIs verbessern können, bevor sie sie der Öffentlichkeit geben. Es ist ein wichtiger Schritt, um sicherzustellen, dass unsere digitalen Butler nicht nur höflich sind, sondern auch wirklich sicher.

Technische Zusammenfassung

1. Problemstellung

Die Sicherheitsbewertung und das „Red-Teaming" (gezieltes Testen auf Schwachstellen) von Large Language Models (LLMs) konzentrieren sich derzeit fast ausschließlich auf textbasierte Eingaben. Bestehende Frameworks fehlt es an der Infrastruktur, um systematisch zu testen, ob die Sicherheitsausrichtung (Alignment) auch auf multimodale Eingaben wie Audio, Bilder und Videos generalisiert.
Zudem bestehen zwei getrennte Forschungsstränge:

• Multi-Turn-Attacken: Strategien wie Crescendo oder PAIR nutzen iterative Gespräche, um Sicherheitsfilter zu umgehen, bleiben aber textbasiert.
• Multimodale Sicherheit: Studien zeigen, dass schädliche Inhalte in nicht-textuellen Formaten (z. B. Bilder mit Text) Sicherheitsfilter schwächen können, werden aber meist isoliert von Multi-Turn-Interaktionen untersucht.

Es fehlt eine einheitliche Pipeline, die automatische multimodale Payload-Generierung, Multi-Turn-Angriffe und eine automatisierte Sicherheitsbewertung in einem reproduzierbaren System vereint.

2. Methodik und Systemdesign (MUSE)

Die Autoren stellen MUSE (Multimodal Unified Safety Evaluation) vor, eine Open-Source-Plattform, die auf einem laufzentrischen (run-centric) Ansatz basiert. Das System ist als Client-Server-Architektur mit einer browserbasierten Oberfläche gestaltet.

Kernkomponenten:

• Run-Centric Data Model: Der „Run" ist die zentrale Entität, die die gesamte Angriffsstruktur, den Gesprächsverlauf (Turns), generierte Medien und Bewertungsergebnisse persistent speichert. Dies ermöglicht skalierbare, reproduzierbare Red-Teaming-Kampagnen mit Batch-Verarbeitung und Echtzeit-Streaming.
• Cross-Modal Payload Generation: Das System generiert automatisch Angriffs-Payloads in verschiedenen Modalitäten:
  • Text zu Audio (via Text-to-Speech, TTS).
  • Text zu Bild (Rendering von Text auf einer Leinwand).
  • Text zu Video (Komposition von Audio- und Bildspuren).
• Angriffsstrategien: MUSE integriert drei etablierte Algorithmen:
  • Crescendo: Eskaliert schrittweise von harmlosen zu schädlichen Fragen.
  • PAIR: Generiert in jeder Iteration neue Prompts basierend auf vorherigen Antworten.
  • Violent Durian: Nutzt von Anfang an hochdruckrhetorische Taktiken.
• Inter-Turn Modality Switching (ITMS): Eine neu eingeführte Methode, bei der die Modalität der Eingabe pro Gesprächsdurchgang (Turn) rotiert (z. B. Text -> Audio -> Bild). Dies dient dazu zu prüfen, ob der Modalitätswechsel die Sicherheitsfilter destabilisiert.
• Provider-Agnostic Routing: Die Plattform unterstützt Modelle von vier verschiedenen Anbietern (OpenAI, Google, Anthropic, Qwen) über eine einheitliche Schnittstelle.

3. Evaluierungsframework

Anstelle einer binären „Pass/Fail"-Bewertung führt MUSE ein fünfstufiges Taxonomie-System ein, das auf der Fähigkeit zur Schadensübertragung (Capability Transfer) statt auf dem Oberflächen-Ton basiert:

1. Compliance: Vollständige Übertragung der schädlichen Fähigkeit.
2. Partial Compliance: Unvollständige, aber handlungsrelevante schädliche Information.
3. Indirect Refusal: Vermeidung der Hilfeleistung ohne explizite Ablehnung.
4. Direct Refusal: Explizite Ablehnung.
5. Non-Responsive: Irrelevante Ausgabe.

Daraus werden zwei Metriken abgeleitet:

• Hard ASR (Attack Success Rate): Zählt nur „Compliance".
• Soft ASR: Zählt „Compliance" und „Partial Compliance".
• Gray Zone Width (GZW): Die Differenz zwischen Soft und Hard ASR, die das Ausmaß der teilweisen Informationspreisgabe quantifiziert.

4. Ergebnisse

Die Studie umfasste ca. 3.700 Red-Teaming-Läufe mit sechs multimodalen LLMs (u. a. GPT-4o, Gemini, Claude, Qwen) und fünf verschiedenen Strategien.

• Ein-Turn-Baseline: Alle getesteten Modelle zeigten bei direkten, einmaligen Anfragen eine hohe Widerstandsfähigkeit (Ablehnungsraten von 90–100 %).
• Multi-Turn-Angriffe: Diese Strategie durchbrach die Ein-Turn-Verteidigung effektiv.
  • Crescendo erreichte eine Hard ASR von 90–98 % über alle Modelle hinweg.
  • PAIR erreichte bei fünf von sechs Modellen 96–100 %.
  • Violent Durian zeigte große Varianz (von 2 % bei Claude bis 86 % bei Qwen), was auf modellspezifische Schwachstellen hindeutet.
• Effekt von ITMS (Modalitätswechsel):
  • ITMS beschleunigte die Konvergenz zu erfolgreichen Angriffen, indem es die Verteidigung in frühen Turns destabilisierte (z. B. schnellere Erreichung von 100 % ASR bei Violent Durian).
  • Der Effekt der Modalität ist nicht universell, sondern modellfamilienspezifisch:
    • Bei Gemini-Modellen erhöhten nicht-textuelle Modalitäten die ASR (Audio/Bild nutzten Lücken aus).
    • Bei Qwen-Modellen senkten nicht-textuelle Modalitäten die ASR (strengere Filterung bei Bildern/Audio).
• Kategorien: Betrug (Fraud) war die anfälligste Kategorie, während Waffen und Drogen am widerstandsfähigsten waren.

5. Bedeutung und Beiträge

MUSE stellt einen Paradigmenwechsel in der Sicherheitsforschung dar:

1. Erste einheitliche Plattform: Es ist das erste System, das multimodale Payload-Generierung, Multi-Turn-Orchestrierung und automatisierte Bewertung in einer einzigen Architektur vereint.
2. Granulare Metriken: Die Einführung von Hard/Soft ASR und der „Gray Zone" ermöglicht es, teilweise Sicherheitsverletzungen zu erkennen, die bei binären Metriken übersehen würden.
3. Generalisierungstest: Durch ITMS wurde gezeigt, dass Sicherheitsausrichtung nicht automatisch über Modalitätsgrenzen hinweg generalisiert. Die Wirksamkeit von Angriffen hängt stark vom spezifischen Modellanbieter und dessen multimodaler Pipeline ab.
4. Praktische Implikation: Selbst Modelle mit nahezu perfekter Ein-Turn-Sicherheit sind durch iterative, multimodale Angriffe kompromittierbar. Dies unterstreicht die Notwendigkeit von anbieterbewussten, cross-modalen SicherheitsTests für zukünftige KI-Systeme.

Das Paper schließt mit dem Aufruf, dass zukünftige Sicherheitsbewertungen nicht mehr isoliert nach Modalität oder nur textbasiert erfolgen dürfen, sondern die komplexe Interaktion zwischen Modalitäten und Multi-Turn-Kontexten berücksichtigen müssen.