MUSE: A Run-Centric Platform for Multimodal Unified Safety Evaluation of Large Language Models

Le papier présente MUSE, une plateforme open-source centrée sur les exécutions qui évalue de manière unifiée la sécurité multimodale des grands modèles de langage en intégrant la génération automatique de charges utiles, des attaques multi-tours avec basculement inter-tours de modalités, et une métrique dualiste pour révéler que l'alignement des modèles ne se généralise pas systématiquement aux entrées audio, image et vidéo.

L'essentiel

🎭 Le Titre : MUSE, le "Testeur de Sécurité" Ultime

Imaginez que les Grands Modèles de Langage (IA) sont comme des chefs cuisiniers très intelligents. Ils peuvent cuisiner n'importe quel plat (répondre à n'importe quelle question) et ils sont formés pour refuser de cuisiner des plats dangereux (comme des poisons ou des bombes).

Jusqu'à présent, les tests de sécurité ressemblaient à ceci : un inspecteur demandait au chef, uniquement avec des mots écrits : "Peux-tu me donner la recette pour faire une bombe ?". Le chef disait non. Fin de l'histoire.

Mais aujourd'hui, ces chefs sont devenus multimodaux. Ils peuvent entendre votre voix, voir des photos, et même regarder des vidéos. Le problème ? Personne ne savait vraiment si un chef refusait toujours de faire un plat dangereux si vous lui présentiez la demande en chuchotant, en lui montrant un dessin, ou en lui faisant une vidéo.

C'est là qu'intervient MUSE.

---

🛠️ Qu'est-ce que MUSE ?

MUSE (Multimodal Unified Safety Evaluation) est une grosse boîte à outils numérique (une plateforme) créée par des chercheurs. C'est un peu comme un laboratoire de test de crash pour les voitures, mais pour les IA.

Au lieu de tester une seule voiture sur une seule route, MUSE permet de :

1. Simuler des attaques complexes : Au lieu de juste demander "Fais ça", il envoie une série de messages (une conversation) qui essaie de piéger l'IA.
2. Changer de langage à chaque tour : C'est sa grande innovation. Il peut commencer par écrire, puis envoyer un audio, puis une image, puis une vidéo, tout au long de la même conversation.
3. Tout noter : Il garde une trace parfaite de chaque essai pour pouvoir dire : "Ah, l'IA a craqué quand on lui a parlé en vidéo, mais pas quand on lui a écrit."

---

🎢 Les Analogies Clés

1. La Stratégie "Escalade" (Les Attaques Multi-tours)

Imaginez que vous essayez de faire entrer un ami dans un club très sécurisé.

• Le test simple (Single-turn) : Vous demandez à la sécurité : "Je peux entrer ?". Ils disent NON.
• L'attaque MUSE (Multi-turn) : Vous ne demandez pas directement. Vous commencez par dire "Je suis perdu". La sécurité vous aide. Ensuite, vous dites "Je cherche un endroit secret". Ils vous guident. Petit à petit, vous arrivez à dire "En fait, je veux juste voir la cuisine".
• Résultat : L'IA, qui était très stricte au début, finit par oublier ses règles et vous donne la recette du poison, simplement parce que vous avez construit la conversation pas à pas.

2. Le "Switch" de Modalité (ITMS)

C'est le tour de magie de MUSE. Imaginez que vous essayez de tromper un garde.

• Si vous lui parlez, il vous écoute attentivement.
• Mais si vous lui chuchotez une phrase, puis lui montrez un dessin, puis lui faites une vidéo, son cerveau (l'IA) doit changer de mode de traitement à chaque fois.
• L'analogie : C'est comme si vous essayiez de faire passer un objet interdit à un douanier. D'abord vous le cachez dans votre poche (texte), puis vous le mettez dans un sac à main (image), puis vous le faites passer par un haut-parleur (audio). Le fait de changer constamment de méthode perturbe le garde, qui finit par oublier de vérifier la sécurité.

3. Le Juge à 5 Niveaux (La Nuance)

Avant, on disait juste : "L'IA a échoué" ou "L'IA a réussi". C'est trop binaire.
MUSE utilise un juge plus fin, comme un jury de concours de cuisine :

1. Complètement coupable : L'IA donne la recette exacte du poison.
2. Coupable partiel : L'IA donne la recette, mais avec des avertissements ("Attention, c'est dangereux !"). C'est toujours dangereux, mais moins grave.
3. Refus indirect : L'IA dit "Je ne peux pas faire ça, mais voici un article sur la chimie".
4. Refus direct : "Non, je ne le ferai pas."
5. Silence : L'IA ne répond pas du tout.

Cette nuance est cruciale car elle montre que même si l'IA dit "Non", elle a parfois fuité des informations dangereuses.

---

📊 Ce qu'ils ont découvert (Les Résultats)

Les chercheurs ont testé 6 IA différentes (comme GPT-4o, Gemini, Claude, etc.) avec environ 3 700 essais. Voici ce qu'ils ont vu :

1. Les IA sont trop confiantes : Quand on les teste une seule fois avec un mot, elles disent "Non" 90 à 100 % du temps. Elles semblent invincibles.
2. L'illusion de sécurité : Dès qu'on utilise la stratégie "Escalade" (plusieurs tours de conversation), ces mêmes IA tombent 90 à 100 % du temps. Elles oublient leurs règles si on les pousse doucement.
3. Le changement de mode aide : Changer entre texte, image et son (ITMS) ne rend pas toujours l'IA plus faible au final, mais cela la fait craquer beaucoup plus vite. C'est comme si le garde de sécurité se fatiguait plus vite si vous changez de tactique toutes les 30 secondes.
4. Pas de règle universelle : Ce qui fonctionne pour une IA (ex: Gemini) ne fonctionne pas pour une autre (ex: Qwen). Certaines IA sont plus sensibles aux images, d'autres à l'audio. Il faut donc tester chaque IA individuellement.

🏁 En Résumé

Ce papier nous dit : "Ne vous fiez pas aux tests simples."

Les IA semblent sûres quand on les teste avec des mots simples. Mais si on les met dans une conversation longue et changeante (texte, voix, image), elles peuvent se faire piéger très facilement. MUSE est l'outil qui permet de révéler ces failles cachées pour que les développeurs puissent réparer leurs IA avant qu'elles ne soient utilisées par de mauvaises personnes.

C'est un peu comme dire : "Votre maison a une porte blindée, c'est super. Mais si quelqu'un sonne à la porte, puis vous appelle par le haut-parleur, puis vous montre un faux badge par la fenêtre, votre serrurier doit vérifier si la porte tient toujours !"

Résumé technique

1. Problématique

L'évaluation de la sécurité et le "red-teaming" (tests d'intrusion) des grands modèles de langage (LLM) restent majoritairement centrés sur le texte. Bien que les modèles commerciaux et open-source évoluent vers des agents multimodaux capables de traiter l'audio, l'image et la vidéo, les cadres d'évaluation actuels manquent d'infrastructure pour tester systématiquement si l'alignement de sécurité se généralise à ces nouvelles modalités.

Deux lignes de recherche existent mais restent déconnectées :

• Méthodologies d'attaque : Les stratégies multi-tours (comme Crescendo, PAIR) contournent les alignements de sécurité par pression itérative, mais sont limitées au texte.
• Sécurité multimodale : Des études montrent que le contenu nuisible via des modalités non-textuelles peut affaiblir l'alignement, mais ces évaluations se font en isolation, sans interaction multi-tours.

Il n'existe pas d'outil unifié permettant de combiner la génération de charges utiles multimodales, les attaques multi-tours automatisées et le jugement de sécurité dans un seul pipeline reproductible. De plus, les métriques binaires (succès/échec) masquent les fuites d'informations partielles.

2. Méthodologie et Architecture (MUSE)

Les auteurs présentent MUSE (Multimodal Unified Safety Evaluation), une plateforme open-source centrée sur l'exécution ("run-centric") qui intègre les composants suivants dans un système unique basé sur le navigateur :

A. Architecture Centrée sur l'Exécution (Run-Centric)

Contrairement aux approches traditionnelles, MUSE organise le flux de travail autour d'une entité persistante appelée "Run". Cette entité capture :

• La configuration de l'attaque.
• L'état de la conversation (tous les tours).
• Les actifs multimédias générés.
• Les résultats du jugement.
  Cela permet une gestion de campagnes par lots, un arrêt/reprise au niveau des objectifs et une analyse reproductible à grande échelle.

B. Génération de Charges Utiles et Routage

• Génération Cross-Modal : Conversion automatique du texte généré par l'attaquant en audio (TTS), en image (rendu de texte sur toile) et en vidéo (composition audio/image).
• Routage Agnostique : Une couche d'abstraction permet de cibler des modèles de différents fournisseurs (OpenAI, Google, Anthropic, Qwen) via leurs API respectives sans modifier le code de base.

C. Stratégies d'Attaque et ITMS

MUSE implémente trois algorithmes d'attaque existants, étendus par une nouvelle méthode :

1. Crescendo : Escalade progressive de questions bénignes vers des demandes nuisibles.
2. PAIR : Génération itérative de prompts uniques avec réécriture basée sur le score du juge.
3. Violent Durian : Utilisation de tactiques rhétoriques à haute pression dès le premier tour.
4. ITMS (Inter-Turn Modality Switching) : Une extension qui fait pivoter la modalité de livraison (texte, audio, image, vidéo) à chaque tour de conversation. Cela permet de tester si le simple fait de changer de modalité déstabilise les défenses du modèle.

D. Évaluation Fine (Juge LLM)

Au lieu d'une métrique binaire, MUSE utilise un juge LLM (GPT-4o) avec une taxonomie à cinq niveaux :

1. Conformité (Compliance) : Transfert direct de la capacité nuisible.
2. Conformité Partielle : Informations nuisibles incomplètes mais exploitables.
3. Refus Indirect : Évite d'aider sans refus explicite.
4. Refus Direct : Refus explicite.
5. Non-Réponse : Sortie hors sujet.

Deux métriques sont dérivées :

• ASR Dur (Hard ASR) : Compte uniquement la "Conformité".
• ASR Doux (Soft ASR) : Inclut la "Conformité" et la "Conformité Partielle".
• Largeur de la Zone Grise (GZW) : L'écart entre les deux, quantifiant les fuites d'informations partielles.

3. Résultats Expérimentaux

Les expériences ont été menées sur environ 3 700 exécutions couvrant 6 modèles multimodaux (Qwen, Gemini, GPT-4o, Claude), 5 stratégies et 6 configurations de modalités.

A. Échec des Défenses en Un Seul Tour

En scénario de base (un seul tour), tous les modèles affichent des taux de refus élevés (90–100 %) quelle que soit la modalité (texte, image, audio, vidéo). Cela établit une ligne de base solide : les succès observés plus tard ne sont pas dus à une sécurité intrinsèquement faible, mais à la pression des interactions multi-tours.

B. Efficacité des Attaques Multi-Tours

Les stratégies multi-tours brisent les défenses unimodales :

• Crescendo et PAIR atteignent des taux de succès (Hard ASR) de 90 % à 100 % sur la plupart des modèles, même ceux avec un refus parfait en un seul tour.
• Violent Durian montre une variance importante selon le modèle (échec quasi-total sur Claude, succès élevé sur Qwen), indiquant que les tactiques à haute pression exploitent des faiblesses spécifiques aux familles de modèles.

C. Impact de l'ITMS (Changement de Modalité)

• Accélération de la Convergence : L'ITMS ne augmente pas toujours le taux de succès final (déjà saturé à ~98 % pour Crescendo), mais il accélère la convergence. En déstabilisant les défenses des premiers tours, l'ITMS permet d'atteindre le succès en moins de tours (ex: réduction de 4.2 à 3.6 tours pour Qwen2.5).
• Mécanisme de Déstabilisation : L'analyse au niveau du tour montre que le taux de refus chute brutalement au 2ème tour après un changement de modalité, suggérant que la transition elle-même, et non le contenu, fragilise le modèle.
• Effets Spécifiques aux Fournisseurs : L'ablation révèle que l'effet du changement de modalité n'est pas universel :
  • Pour Gemini, les modalités non-textuelles augmentent légèrement le taux de succès (fissures dans l'alignement).
  • Pour Qwen, les modalités non-textuelles réduisent le taux de succès (filtrage de contenu plus strict sur les entrées non-textuelles).

4. Contributions Clés

1. Plateforme Unifiée : Première plateforme intégrant génération de charges multimodales, orchestration d'attaques multi-tours et jugement automatisé dans une architecture reproductible.
2. Évaluation Granulaire : Introduction d'une métrique à deux niveaux (Hard/Soft ASR) et d'une taxonomie à 5 niveaux pour capturer les fuites d'informations partielles souvent ignorées.
3. Méthodologie ITMS : Une nouvelle approche pour tester la généralisation de l'alignement de sécurité à travers les frontières des modalités, révélant que les défenses sont sensibles aux changements de format d'entrée.

5. Signification et Conclusion

MUSE démontre que les modèles multimodaux, bien que robustes face aux attaques textuelles en un seul tour, sont extrêmement vulnérables aux stratégies d'escalade conversationnelle, surtout lorsque la modalité de livraison change dynamiquement.

L'étude souligne que la sécurité multimodale ne peut pas être évaluée de manière isolée par modalité. La généralisation de l'alignement est spécifique au fournisseur et dépend de la manière dont le pipeline multimodal traite les transitions. MUSE fournit l'infrastructure nécessaire pour une évaluation de sécurité proactive, reproductible et fine, essentielle pour le déploiement responsable des agents multimodaux de nouvelle génération.