TEAR: Temporal-aware Automated Red-teaming for Text-to-Video Models

本論文は、既存の静的な評価手法では捉えきれない動画生成モデルの時間的ダイナミクスに起因する安全リスクを特定するため、時間的意識を備えた自動レッドチームングフレームワーク「TEAR」を提案し、オープンソースおよび商用のテキストから動画へのモデルにおいて 80% 以上の攻撃成功率を達成したことを示しています。

要約

この論文は、「テキストから動画を作る AI（Text-to-Video）」のセキュリティに潜む、新しいタイプの弱点を発見し、それを暴くための仕組み「TEAR」を紹介するものです。

難しい専門用語を使わず、日常の例え話を使って説明しましょう。

🎬 物語の要約：「安全な言葉」で「危険な映画」を作るトリック

まず、現在の AI 動画生成技術について考えてみてください。
「男が水を飲む」という安全な言葉を入力すると、AI は高品質な動画を作れます。しかし、この論文は**「言葉自体は安全でも、時間の流れ（テンポ）を巧妙に操作すれば、危険な動画を作れてしまう」**という新しい弱点を見つけました。

🕵️‍♂️ 従来の問題点：静止画の「防犯カメラ」では見逃される

これまでの AI 動画のセキュリティチェックは、「静止画（写真）」や「テキスト」のチェックが中心でした。

• 例え話： 銀行の警備員が「凶器を持っている人」だけを探しているようなものです。
• 問題点： もし犯人が「最初は安全な手」で始まり、「2 秒後にナイフを抜く」「さらに 3 秒後に人を刺す」というように、時間の経過とともに危険な行動に変化させる動画を作った場合、警備員（既存のチェックシステム）は「最初の瞬間は安全だったから OK」と判断してしまい、「動画全体としての危険性」を見逃してしまいます。

🛠️ 解決策「TEAR」：時間の流れを操る「悪魔の弁護士」

この論文が提案する「TEAR」は、まさにその**「時間の流れを操る」**ことに特化した自動テストシステムです。

1. 最初のステップ（台本作り）：
   TEAR は、AI に「安全な言葉」で危険なシナリオを教えます。

   • 例え話： 「殺人事件」を直接言うのは NG です。そこで TEAR は、**「まず、男が水を飲む。2 秒後、体が後ろに倒れる。さらに 3 秒後、地面に落ちて跳ねる」**というように、一見すると何でもない出来事を「時間の順序」でつなげる台本を作ります。
   • これなら、テキストのチェックを通り抜けます（「水を飲む」のは安全だから）。

2. 2 番目のステップ（リハーサルと修正）：
   作った台本を AI 動画生成器に渡して、実際に動画を作ってもらいます。

   • もし「危険な動画」が作られなかったり、テキストのチェックで引っかかったりしたら、TEAR は**「リファイン（改善）モデル」**という別の AI に相談します。
   • 例え話： 監督（TEAR）が「このセリフは少し危険すぎるから、もっと自然な言い回しに変えて」と指示し、俳優（生成 AI）が何度もリハーサルを繰り返して、**「言葉は完全に安全なのに、映像は完全に犯罪」**という状態を目指して調整します。

3. 最終目標：
   「言葉は 100% 安全（通関をパス）」なのに、「動画は 100% 危険（フィルタを突破）」という**「タイムリーな攻撃」**を成功させることです。

📊 結果：驚異的な成功率

この「TEAR」を使って実験したところ、以下の結果が出ました。

• 攻撃成功率 80% 以上： 既存の最高の方法（57% 程度）を大きく上回りました。
• どんな AI でも効く： Google や中国の大手企業が作った最新の動画 AI でも、この「時間のトリック」は通用しました。
• フィルターの無力さ： 現在の「危険な動画フィルター」は、**「動画がどう動いているか（時間の流れ）」**までチェックできておらず、このトリックには無力であることが証明されました。

💡 結論：なぜこれが重要なのか？

この研究は、**「AI の安全性は、単に『何』を作っているかだけでなく、『どのように時間的に展開するか』も重要だ」**と警鐘を鳴らしています。

• 開発者へのメッセージ： 「言葉のチェック」だけでなく、「動画の流れ全体」をチェックする新しいセキュリティが必要だ。
• 一般の人へのメッセージ： AI が作る動画は、一見安全に見えても、時間の流れを操作すれば危険な内容になる可能性がある。だから、開発者はこの「時間の隙間」を埋める必要がある。

一言で言うと：
「TEAR」は、**「安全な言葉の羅列で、危険な映画を完成させる」**という、AI の新しい弱点を暴き出し、開発者がそれを修正するための強力なツールです。これにより、より安全な AI 動画が作られる未来につながります。

技術概要

以下は、提示された論文「TEAR: Temporal-aware Automated Red-teaming for Text-to-Video Models」の技術的な要約です。

1. 背景と問題定義

背景:
テキストから動画（Text-to-Video: T2V）を生成するモデル（例：Veo, Hailuo, Wan など）は、高品質で時間的な一貫性を持つ動的なコンテンツを生成する能力を持っていますが、その多様性ゆえに重大な安全性の課題を内在しています。

既存手法の限界:
従来のセーフティ評価やレッドチームング（攻撃的テスト）手法は、主に静的な画像生成やテキスト生成に焦点を当てており、動画生成特有の**「時間的ダイナミクス（時間の経過に伴う変化）」**を捉えきれていません。

• 時間的集約攻撃（Temporal-aggregation attack）: 個々のプロンプトは安全に見えるが、それらを時間順に並べ替えることで、全体として有害な動画（例：自殺、暴力行為など）を生成させる攻撃が可能ですが、既存の手法はこの時間的な文脈を考慮した攻撃を検出・生成できません。
• 既存手法はフレームを独立した画像として扱う傾向があり、時間的ダイナミクスから生じるリスクを過小評価しています。

課題:
T2V モデルの時間的な脆弱性を体系的に発見し、テキスト的には安全だが、動画生成時にはポリシー違反となるプロンプトを自動生成する手法の欠如。

2. 提案手法：TEAR (Temporal-aware Automated Red-teaming)

著者らは、T2V モデルの時間的脆弱性を特定するための自動化されたレッドチームングフレームワーク「TEAR」を提案しました。このフレームワークは、テキスト的に無害なプロンプトを工夫し、時間的なダイナミクスを利用してポリシー違反の動画を生成させることを目的としています。

主要な構成要素とプロセス:

1. 時間的意識テストジェネレータ（Temporal-aware Test Generator）:

   • 2段階の最適化アプローチ:
     • ステージ 1: 初期ジェネレータの訓練: 事前に構築された「メタ有害データセット」を用いて、LLM（Large Language Model）をファインチューニングします。ここで重要なのは、有害な意図を「時間的分解（Temporal Deconstruction）」し、時系列に並んだ個別の安全な事象記述として再構成するルールベースのデータセットを作成することです（例：「毒を飲む」を「液体を飲む」→「2 秒後、倒れる」→「嘔吐する」といった一連の安全な記述に分解）。
     • ステージ 2: 時間的意識オンライン選好学習（Temporal-aware Online Preference Learning）: 生成されたプロンプトと、それによって生成された動画の両方からフィードバックを得て、プロンプトをさらに最適化します。
       • 報酬関数:
         • R_pmt (プロンプト空間): テキストの安全性（ハイトスピーチ検出器など）と、ルールベースのサンプルとの構造的な類似性を最大化。
         • R_con (時間空間): 生成された動画が、元の有害な意図（メタ有害セマンティクス）と時間的に整合しているか、また動画内のフレーム間の一貫性を評価する報酬。
       • 最適化: PPO（Proximal Policy Optimization）を用いて、これらの報酬を最大化するように方策モデルを学習します。

2. リファインモデル（Refine Model）:

   • 生成されたプロンプトと動画、およびテキスト/動画の安全性判定システムからのフィードバック（スコア、説明、改善案）を受け取り、マルチモーダル大規模言語モデル（MLLM）を用いてプロンプトを反復的に修正します。
   • これにより、プロンプトの「隠蔽性（ステルス性）」と「攻撃効果」を両立させ、より複雑で微妙な脆弱性を引き出すことができます。

3. 主要な貢献

1. 初の T2V 向け自動化レッドチームングフレームワーク: 静的な画像やテキストではなく、「時間的ダイナミクス」に特化した脆弱性を体系的に発見する初の手法を提案。
2. 包括的な評価: 2 つのオープンソースモデル（Wan2.2, Hunyuan-Video）と 3 つの商用モデル（Veo-3.1, Hailuo-2.3, Ray-2）を含む 5 つの主要 T2V モデルに対して評価を実施。
3. 商用 API の安全性欠陥の暴露: 現在の商用 T2V サービスにおけるフィルタリングの限界を明らかにし、テキスト的には安全なプロンプトでも、時間的な操作によって有害な動画が生成されてしまう重大なセキュリティギャップを指摘。

4. 実験結果

• 攻撃成功率（ASR）の大幅な向上:
  • 既存の最善の手法（FLIRT など）が約 57% の ASR を達成したのに対し、TEAR は80% 以上（Hunyuan-Video で 82.3%、Wan 2.2 で 80.5%）の攻撃成功率を達成しました。
  • 商用モデル（Veo, Hailuo, Ray）に対しても同様に高い成功率（多くのカテゴリで 85% 以上）を記録し、フィルタリングをほぼ 100% の確率で回避（Pass Rate）しながら有害動画を生成することに成功しました。
• 転移性（Transferability）:
  • 特定のモデルで最適化されたプロンプトは、他の未知の T2V モデルに対しても高い転移性（平均 76.4% の ASR）を示しました。これは、異なる T2V モデルが時間的な脆弱性という共通の弱点を持っていることを示唆しています。
• シードフリー生成:
  • 初期の有害なプロンプト（シード）に依存せず、自律的にプロンプトを生成する場合でも、76%〜79% の高い ASR を維持しました。
• 反復改良の効果:
  • リファインモデルによる反復改良を行うことで、ASR とフィルタ回避率がさらに向上することが確認されました。

5. 意義と結論

TEAR は、T2V モデルの安全性評価において、**「時間的な文脈」**がどのようにして新たなリスクを生み出すかを初めて実証的に示しました。

• 開発者への示唆: 単なるテキストフィルタリングや静的な画像チェックでは不十分であり、動画の時間的流れ全体を監視・評価する新しいセーフティメカニズムの必要性を浮き彫りにしました。
• 将来展望: このフレームワークは、T2V モデルの開発者が公開前に潜在的な脆弱性を発見し、より安全で人間と価値観が整合した生成モデルを構築するためのスケーラブルなツールとして機能します。

要約すれば、この論文は「テキストは安全だが、時間の経過とともに有害になる動画生成」を自動で発見する新しい攻撃手法と評価基準を確立し、現在の T2V モデルのセキュリティが時間的ダイナミクスに対して脆弱であることを明らかにした画期的な研究です。