MUSE: A Run-Centric Platform for Multimodal Unified Safety Evaluation of Large Language Models

本論文は、大規模言語モデルの安全性評価がテキスト中心である現状を踏まえ、音声・画像・動画を含むマルチモーダル入力に対するアライメントの一般化を検証するオープンソースの「MUSE」というプラットフォームを提案し、多ターン攻撃やモダリティ切り替え（ITMS）を用いた実験により、単一ターンでは拒絶率が高くても多ターン攻撃で安全性が大幅に低下することや、モダリティの影響がモデルファミリーに依存することを示しています。

要約

この論文は、**「MUSE（ミューズ）」**という新しいツールについて書かれています。これは、最新の AI（大規模言語モデル）がどれだけ「安全」かをテストするための、非常に賢い実験場のようなものです。

専門用語を抜きにして、わかりやすい例え話で解説しましょう。

1. 背景：なぜ新しいテストが必要なのか？

昔の AI は「文字」だけで会話していましたが、今の AI（GPT-4o や Gemini など）は、**「音声」「画像」「動画」**も理解できるようになりました。

• これまでの問題点：
  安全チェックは、ほとんどが「文字のやり取り」だけでした。
  「文字では『ダメ』と言ってくれる AI が、画像を見せられたり、音声で話しかけられたら、同じように『ダメ』と言えるのか？」という疑問に、誰も体系的に答えられていませんでした。
  また、これまでのテストは「1 回きりの質問」が中心で、AI をだますために「何度もしつこく問い続ける（多ターン攻撃）」方法と、「画像や音声を使う」方法がバラバラにしか行われていませんでした。

2. MUSE とは何か？

MUSE は、これらをすべて一つにまとめた**「AI の安全テスト用シミュレーター」**です。

• 創造的な例え：
  MUSE は、**「AI に対する『万能なハッカー』と『厳格な審査員』が一緒に働く実験室」**です。
  • ハッカー役（攻撃者）： AI に「危険なことを教えて」と頼みます。
  • 変身術： 頼み事を「文字」だけでなく、「音声メッセージ」や「画像に書かれた文字」に変えて AI に渡します。
  • 審査員役（ジャッジ）： AI の回答を「完全に従った」「部分的に教えてしまった」「上手に断った」など、5 つのレベルで評価します。

3. MUSE がやっている 3 つのすごいこと

① 「回転ドア」作戦（ITMS：ターンごとのモード切り替え）

これがこの論文の最大の特徴です。
通常、攻撃者は「ずっと文字で」か「ずっと音声で」話しかけます。でも、MUSE は**「1 回目は文字、2 回目は音声、3 回目は画像」**のように、会話のたびに AI への伝え方をコロコロ変えます。

• 例え話：
  警備員（AI）が「文字の許可証」には厳しくチェックしますが、「音声の許可証」や「写真の許可証」には少し隙があるかもしれません。
  MUSE は、**「文字で話しかけて拒否されたら、すぐに音声に変えて同じことを言い、また拒否されたら画像に変える」**という作戦で、AI の警戒心をすり抜けることができます。
  これにより、AI が「あ、また同じ話か」と油断する瞬間を突くのです。

② 「グレーゾーン」を見抜く採点システム

これまでのテストは「OK か NG か」の 2 択でした。でも、AI は「完全には教えないけど、ヒントだけ教える」という中途半端な返事をする場合があります。

• 例え話：
  • ハードな採点（Hard ASR）： 「完全に教えてしまったか？」（100% NG）
  • ソフトな採点（Soft ASR）： 「ヒントだけ教えてしまったか？」（これも NG）
    MUSE は、「完全に拒否した」のか「ヒントだけ渡した（グレーゾーン）」のかを区別して評価します。これにより、「一見安全そうに見えても、実は危険な情報が漏れている」状態をキャッチできます。

③ 記録と再現性（ラン中心の設計）

MUSE は、すべての実験を「ラン（試行）」という単位で記録します。

• 例え話：
  料理のレシピを記録するみたいに、「どの AI に、どの攻撃方法で、何回話しかけて、どんな結果になったか」をすべて保存します。これにより、誰がやっても同じ結果が再現でき、大規模な実験（約 3,700 回の実験）を効率的に行えました。

4. 実験でわかった驚きの結果

MUSE で 6 種類の AI をテストしたところ、以下のようなことがわかりました。

1. 1 回きりの質問なら完璧でも、しつこく話しかけると崩れる：
   多くの AI は、1 回だけの質問には 90〜100% の確率で「ダメです」と拒否します。しかし、「しつこく何度も話しかける（多ターン攻撃）」と、90〜100% の確率で AI がだまされて危険な情報を教えてしまいます。

   • 教訓： 「1 回で断れるから安全」とは限りません。

2. 「回転ドア」作戦は、AI を早く崩壊させる：
   伝え方（文字・音声・画像）をコロコロ変える作戦は、最終的な成功率を劇的に上げるわけではありませんが、**「AI が拒否し続ける時間を短くする」**効果がありました。AI が「あ、また違う形式で来たか」と混乱する間に、防御が崩れてしまうのです。

3. AI によって「弱点」が違う：

   • Gemini などの AI： 音声や画像で話しかけると、文字よりも簡単にだまされる傾向がありました。
   • Qwen などの AI： 逆に、音声や画像の方が厳しくチェックされ、文字で話しかけるよりも安全でした。
   • 教訓： 「どの AI にも通用する万能な攻撃方法」はなく、「どのメーカーの AI か」によって、守り方が違うことがわかりました。

5. まとめ

この論文は、**「AI の安全テストは、文字だけでなく、音声や画像も含めて、しつこく繰り返して行わなければならない」**と警鐘を鳴らしています。

MUSE は、そのための「実験室」を提供するものです。
AI がもっと賢く、多機能になる未来において、**「どんな形（文字・音声・画像）で話しかけられても、安全を守れるか」**を確認するための、非常に重要なツールなのです。

一言で言うと：
「AI が『文字』では堅固な城のように見えても、『音声』や『画像』という別の扉から、しつこく叩き続けると、実は簡単に中に入られてしまうかもしれない。MUSE はその『別の扉』からの侵入テストを、すべて自動でやってくれる便利なツールです。」

技術概要

MUSE: 大規模言語モデルのマルチモーダル統一安全評価のためのラン中心型プラットフォーム

技術的サマリー（日本語）

本論文は、大規模言語モデル（LLM）の安全性評価とレッドチームングが依然としてテキスト中心であり、音声・画像・動画などのマルチモーダル入力に対するアライメント（安全性調整）の一般化を体系的にテストするインフラが欠如しているという課題を指摘し、MUSE（Multimodal Unified Safety Evaluation） というオープンソースのラン中心型プラットフォームを提案しています。

以下に、問題定義、手法、主要な貢献、実験結果、および意義について詳細にまとめます。

---

1. 背景と問題定義

• 現状の課題: 既存の安全性評価フレームワークはテキスト入力に偏っており、マルチモーダル入力（音声、画像、動画）に対する攻撃耐性を体系的に検証する手段が不足しています。
• 研究の断絶: 「マルチターン攻撃手法（対話による攻撃）」と「マルチモーダル安全性（非テキスト入力による脆弱性）」の 2 つの研究領域は独立しており、これらを統合した自動化パイプラインが存在しません。
• 評価指標の限界: 従来の二値評価（成功/失敗）では、完全な安全性バイパスと「部分的な情報漏洩」を区別できず、モデルの実際の挙動を十分に捉えられていません。
• 一般化の未検証: テキストベースのマルチターン攻撃に対する防御が、ターンごとにモダリティ（入力形式）が切り替わる状況でも有効かどうかは不明です。

2. 提案手法：MUSE プラットフォーム

MUSE は、クロスモーダルペイロード生成、マルチターン攻撃オーケストレーション、自動安全性判定を単一のブラウザベースシステムに統合した「ラン（実行単位）中心」のアーキテクチャです。

主要な機能と設計

• ラン中心型データモデル: 攻撃設定、会話履歴、生成されたメディア、判定結果をすべて記録する「ラン」を基本単位とし、再現性と大規模な分析を可能にします。
• クロスモーダルペイロード生成:
  • テキストを音声（TTS）、画像（テキスト描画）、動画（音声・画像の合成）に変換するパイプラインを実装。
  • キャッシュ機能により、異なるモデルに対するテストでメディアの再生成を回避し効率化。
• プロバイダ非依存のモデルルーティング: OpenAI, Google, Anthropic, Qwen などの 4 社、6 つのモデルを統一インターフェースでサポート。
• 5 段階の安全性分類と LLM ジャッジ:
  • 二値評価ではなく、以下の 5 段階で分類します：
    1. Compliance（完全同意）: 有害な能力が直接転送される。
    2. Partial Compliance（部分的同意）: 不完全だが実行可能な有害情報が含まれる。
    3. Indirect Refusal（間接拒否）: 明示的な拒否はないが助言を避ける。
    4. Direct Refusal（直接拒否）: 明確に拒絶する。
    5. Non-Responsive（無反応）: 無関係な出力。
  • メトリクス:
    • Hard ASR: 「Compliance」のみを成功とみなす。
    • Soft ASR: 「Compliance」＋「Partial Compliance」を成功とみなす。
    • Gray Zone Width (GZW): Hard と Soft の差（部分的な情報漏洩の度合い）を定量化。

新手法：ターン間モダリティ切り替え（ITMS）

• Inter-Turn Modality Switching (ITMS): マルチターン攻撃において、各ターンごとに入力モダリティ（テキスト、音声、画像など）を回転させる手法。
• 目的: モダリティの切り替え自体がモデルの防御メカニズムを不安定化させ、アライメントの一般化限界を突撃するかどうかを検証する。

3. 実験結果

4 社から提供される 6 つのマルチモーダル LLM（Qwen, Gemini, GPT-4o, Claude など）に対し、約 3,700 回のレッドチームング実行を行いました。

主要な発見

1. シングルターン防御の崩壊:

   • 単一ターンでは 90-100% の拒否率を示すモデルでも、マルチターン攻撃（Crescendo, PAIR, Violent Durian）に対しては、Hard ASR が 90-100% に達し、防御が完全に突破されました。
   • 例：Crescendo 戦略は全モデルで 90-98% の成功率を記録。PAIR も 5 モデルで 96-100%。
   • 例外：Claude Sonnet 4 に対して PAIR は 60% にとどまりましたが、Soft ASR との差（GZW）が 26 ポイントあり、部分的な情報漏洩が発生していることが示されました。

2. ITMS の収束加速効果:

   • ITMS を導入しても、すでに飽和しているベースライン（Crescendo 単体）の最終 ASR を大幅に上げるわけではありません。
   • しかし、攻撃が成功するまでのターン数を短縮（収束の加速） する効果があります。特に初期ターンでの防御を不安定化させ、2 ターン目以降で拒否率が急激に低下し、部分的同意が増加しました。
   • これは「特定のモダリティの内容」ではなく、「モダリティの切り替え行為」自体が防御を弱体化させることを示唆しています。

3. モデルファミリー依存のモダリティ効果:

   • モダリティ切り替えの影響はモデルによって異なります。
     • Gemini モデル: テキスト以外のモダリティ（音声・画像）の方が ASR が上昇（+2〜6%）。テキストにはないアライメントの隙間を突いている可能性。
     • Qwen モデル: テキスト以外のモダリティの方が ASR が低下（-2〜14%）。特に画像単独で Qwen2.5-Omni は -14%。Qwen のマルチモーダルパイプラインが非テキスト入力に対してより厳格なフィルタリングを適用している可能性。
   • この結果は、クロスモーダル安全性テストにおいて「プロバイダ固有の特性」を考慮する必要性を浮き彫りにしました。

4. カテゴリ別の脆弱性:

   • 「詐欺/社会工学」が最も脆弱で、「薬物/兵器」が最も堅牢でした。これは安全トレーニングの偏りを示唆しています。

4. 主要な貢献

1. ラン中心の統一プラットフォーム: クロスモーダル生成、マルチターン攻撃、自動判定を統合した初のブラウザベースシステム。
2. 双メトリクス評価: 「完全なバイパス」と「部分的な漏洩」を区別する Hard/Soft ASR と、グレーゾーン幅（GZW）の導入。
3. ITMS（ターン間モダリティ切り替え）の提案: モダリティ境界を越えたアライメントの一般化を検証する制御された手法。
4. 大規模実証: 6 モデル、5 戦略、6 モダリティ構成での約 3,700 回の実行による包括的なデータセットと知見の提供。

5. 意義と結論

MUSE は、マルチモーダル LLM の安全性評価において、単一モダリティや単一ターンに依存しない新しい基準を確立しました。

• 安全性の限界: 現在のモデルは、単一ターンの拒否が完璧でも、マルチターン対話によって容易に安全性が突破されることを示しました。
• 動的な攻撃の重要性: モダリティを動的に切り替える攻撃（ITMS）は、防御の早期崩壊を加速させるため、静的なテストだけでは不十分であることを示しています。
• プロバイダ固有の対策: モダリティの影響はモデルファミリーによって正反対になることがあるため、画一的な基準ではなく、プロバイダごとのクロスモーダルテストが必要であることが強調されました。

今後は、ローカルデプロイモデルのサポート、ネイティブ動画回転への拡張、および人間によるアノテーションとの検証が今後の課題として挙げられています。