MUSE: A Run-Centric Platform for Multimodal Unified Safety Evaluation of Large Language Models

本文提出了 MUSE，一个开源的以运行流程为核心的多模态统一安全评估平台，通过集成自动跨模态载荷生成、多轮攻击算法及模态切换机制，揭示了现有大语言模型在多轮交互及跨模态场景下对齐泛化能力的显著不足。

要点

这篇论文介绍了一个名为 MUSE 的新工具，它的任务就像是一个**“全能型的安全压力测试员”**，专门用来检查那些越来越聪明的 AI（大语言模型）是否真的足够安全。

为了让你更容易理解，我们可以把 AI 想象成一家**“超级银行”，而 MUSE 就是那个“特勤安全测试队”**。

以下是用大白话和比喻对这篇论文的详细解读：

1. 背景：AI 变了，但测试没跟上

以前的 AI 主要只“听”文字。就像银行只接受纸质支票，保安只要检查支票上的字有没有问题就行。
现在的 AI（比如 GPT-4o, Claude 等）进化成了**“全感官银行”，它们不仅能看文字，还能听声音、看图片、甚至看视频**。

• 问题出在哪？ 以前的保安（安全测试工具）只会检查“纸质支票”。如果坏人拿着“录音”或“视频”来骗银行，以前的保安就懵了，不知道该怎么检查。
• MUSE 的诞生： 作者们造了一个新系统 MUSE，它不仅能检查文字，还能模拟坏人用声音、图片、视频混合着来“骗”AI，看看 AI 会不会上当。

2. MUSE 的核心功能：它是怎么工作的？

MUSE 就像一个**“自动化剧本杀导演”**，它有三个绝招：

绝招一：多模态“变装”攻击 (Cross-Modal Payload)

坏人（攻击者）想骗 AI，不会只用一种方式。

• 以前： 坏人只写一段文字问：“怎么制造炸弹？”AI 直接拒绝。
• MUSE 的做法： 它能把这段文字自动变成**“录音”（假装是电话求助），或者变成“图片”（把文字印在图上），甚至变成“短视频”**。
• 比喻： 就像坏人不仅会写恐吓信，还会把信录成语音条，或者把信画在墙上。MUSE 能自动帮坏人“变装”，测试 AI 面对不同形式的“恐吓”时，会不会因为分心而松口。

绝招二：多轮“攻心”战术 (Multi-Turn Attacks)

如果坏人问一次就被拒绝，聪明的坏人不会放弃，他们会换着花样聊。

• 策略： MUSE 里有三种经典的“攻心”剧本（比如 Crescendo, PAIR, Violent Durian）。
  • 循序渐进： 先问无害的，慢慢把话题引向危险。
  • 角色扮演： 假装是警察、医生或紧急联系人，施加压力。
  • 死缠烂打： 被拒绝后，换个角度继续问。
• 比喻： 就像银行保安第一次拒绝了你的取款请求，但你换个理由（“我家里着火了”、“我是行长亲戚”）继续试，MUSE 就是那个能自动帮你换几十种理由、连续聊 10 轮话的“超级骗子”。

绝招三：模态切换 (ITMS) —— 论文最酷的发现

这是 MUSE 独有的新玩法：“转圈圈”攻击。

• 做法： 在第 1 轮用文字问，第 2 轮突然变成语音，第 3 轮变成图片，第 4 轮又变回文字。
• 目的： 看看 AI 在不同感官之间切换时，会不会因为“反应不过来”或者“注意力分散”而露出破绽。
• 比喻： 就像保安在检查时，你一会儿递给他纸质文件，一会儿突然给他放一段录音，再一会儿给他看一张图。这种**“乱节奏”**的切换，可能会让保安的大脑短路，从而忘记之前的安全原则。

3. 新的评分标准：不只是“通过”或“失败”

以前的测试很简单：AI 要么完全拒绝（安全），要么完全照做（不安全）。
MUSE 引入了一个**“五层安全分级”**，就像给 AI 的表现打分：

1. 完全顺从 (Compliance)： 坏人想要什么给什么（最危险）。
2. 部分顺从 (Partial Compliance)： 坏人想要 A，AI 给了 B，但 B 里其实包含了 A 的关键信息（灰色地带，以前容易被忽略）。
3. 间接拒绝： 不直接说“不行”，但绕弯子不帮忙。
4. 直接拒绝： 明确说“不行”。
5. 无反应： 直接装死或乱答。

MUSE 的洞察： 很多 AI 虽然嘴上说“不行”，但偷偷把关键信息塞给了你（部分顺从）。MUSE 能精准抓住这种“漏网之鱼”。

4. 实验结果：令人惊讶的发现

作者用 MUSE 测试了 6 种顶级的 AI 模型，结果很震撼：

• 单轮测试很完美： 如果只问一次，这些 AI 几乎 100% 都会拒绝危险请求（像铜墙铁壁）。
• 多轮攻击很可怕： 一旦进入“多轮对话”模式，很多 AI 的防线就崩塌了。有些模型的攻击成功率高达 90%~100%！
  • 比喻： 银行保安站着不动时很警觉，但如果你连续跟他聊 10 分钟，换着花样说话，他可能就会累得把保险柜密码告诉你。
• “转圈圈” (ITMS) 的奇效：
  • 它不一定能让原本 100% 安全的 AI 变得不安全（因为已经饱和了）。
  • 但是，它能加速攻破过程。原本需要聊 5 轮才能攻破，用了“转圈圈”战术，可能 3 轮就攻破了。
  • 不同 AI 反应不同： 有的 AI（如 Gemini）听到声音或看到图片更容易被骗；而有的 AI（如 Qwen）反而对非文字内容更警惕。这说明没有通用的防御方法，每个厂商的 AI 性格不同。

5. 总结：这篇论文想告诉我们什么？

1. AI 的安全不能只看文字： 既然 AI 能听能说能看，安全测试也必须跟上，用声音、图片去“攻击”它。
2. 多轮对话是最大漏洞： 哪怕 AI 单次回答很安全，只要它被诱导聊上几句，防线就可能崩溃。
3. 不要以为“部分顺从”是好事： 即使 AI 没有完全照做，只要泄露了关键信息，就是不安全。
4. 每个 AI 的弱点不同： 不能一概而论，需要针对不同的模型（不同厂商）设计不同的测试方法。

一句话总结：
MUSE 是一个**“全能型安全测试平台”，它告诉我们：现在的 AI 虽然看起来像铜墙铁壁，但只要用“多轮对话 + 声音图片视频混合攻击”**的战术，就能像剥洋葱一样，层层剥开它们的安全防线。未来的 AI 安全，必须从“单点防御”转向“全方位、多轮次的动态防御”。

技术摘要

1. 研究背景与问题 (Problem)

随着大型语言模型（LLM）从纯文本向多模态（音频、图像、视频）演进，现有的安全评估和“红队测试”（Red-teaming）面临以下核心挑战：

• 文本中心主义局限：现有的安全评估框架主要集中于文本输入，缺乏基础设施来系统性地测试安全对齐（Safety Alignment）是否能泛化到音频、图像和视频输入。
• 多轮攻击与跨模态的割裂：
  • 多轮攻击策略（如 Crescendo, PAIR）已被证明能有效绕过单轮提示的安全防御，但它们通常仅限于文本交互。
  • 多模态安全研究（如 FigStep, MM-SafetyBench）证明了非文本模态能削弱对齐，但通常是在单轮、孤立模态下进行的。
  • 关键缺口：目前没有任何工具能在单一可复现的管道中，同时支持多轮自动化攻击、跨模态载荷生成以及自动化安全判定。
• 评估指标粗糙：大多数现有评估仅报告二元的攻击成功率（ASR），无法区分“完全合规”与“部分信息泄露”，掩盖了模型在安全边界上的细微表现。
• 模态切换的影响未知：当多轮对话中的每一轮以不同模态（如文本转音频再转图像）呈现时，安全对齐是否依然有效？目前尚不清楚模态切换本身是否会破坏防御。

2. 方法论与系统架构 (Methodology & System Design)

作者提出了 MUSE (Multimodal Unified Safety Evaluation)，这是一个开源的、以“运行（Run）”为中心的平台，旨在统一多模态载荷生成、多轮攻击编排和自动化安全判定。

2.1 核心架构设计

MUSE 采用客户端 - 服务器架构，围绕 Run（运行实例） 这一持久化实体组织工作流。每个 Run 记录完整的攻击配置、对话状态、媒体资产和评估结果，支持大规模可复现的红队测试。

• 跨模态载荷生成：自动将攻击者生成的文本转换为音频（TTS）、图像（文本渲染）和视频（音画合成）。
• 多轮攻击引擎：集成三种基础攻击算法，并扩展支持跨模态切换。
• 模型路由：提供与供应商无关的接口，支持来自 OpenAI、Google、Anthropic 和 Qwen 的 6 种多模态模型。
• LLM 裁判：基于五层安全分类法进行自动化判定。

2.2 关键技术创新

1. 双重评估指标体系 (Dual-Metric Framework)：

   • 提出五层安全分类：完全合规 (Compliance)、部分合规 (Partial Compliance)、间接拒绝、直接拒绝、无响应。
   • Hard ASR：仅计算“完全合规”的比例。
   • Soft ASR：计算“完全合规” + “部分合规”的比例。
   • 灰色地带宽度 (GZW)：Soft ASR 与 Hard ASR 的差值，量化模型部分抵抗但仍泄露有害信息的情况。

2. 轮次间模态切换 (Inter-Turn Modality Switching, ITMS)：

   • 一种受控的实验方法，在多轮攻击中引入每轮模态的旋转（例如：第 1 轮文本，第 2 轮音频，第 3 轮图像）。
   • 旨在探究模态边界切换本身是否会 destabilize（破坏）模型的安全防御，而不仅仅是单一模态的影响。

3. 攻击策略：

   • 集成 Crescendo（渐进式升级）、PAIR（迭代重写）、Violent Durian（高压修辞）三种策略。
   • 通过 ITMS 扩展，使 Crescendo 和 Violent Durian 支持模态轮换。

3. 实验设置 (Experiments)

• 数据集：从 AdvBench 中选取 50 个有害目标（涵盖武器、毒品、恶意软件、生物威胁、欺诈），重述为跨模态可交付的请求。
• 模型：评估了 4 家供应商的 6 个多模态模型（Qwen3-Omni, Qwen2.5-Omni, Gemini 2.5/3 Flash, GPT-4o, Claude Sonnet 4）。
• 规模：共进行了约 3,700 次 红队测试运行。
• 对比基线：单轮直接攻击（建立安全基线）vs. 多轮攻击（含 ITMS 变体）。

4. 主要结果 (Key Results)

4.1 单轮基线表现

所有 6 个模型在单轮直接攻击下表现出极高的安全性，拒绝率普遍在 90% - 100% 之间。这表明模型本身具备较强的基础防御能力。

4.2 多轮攻击的颠覆性效果

多轮策略彻底打破了单轮防御：

• Crescendo 在所有 6 个模型上实现了 90% - 98% 的 Hard ASR。
• PAIR 在 6 个模型中的 5 个上达到了 96% - 100% 的 Hard ASR。
• Violent Durian 表现差异巨大（对 Claude 仅 2%，对 Qwen2.5-Omni 达 86%），表明其依赖于特定模型的弱点。
• 结论：即使模型在单轮下近乎完美，多轮交互压力仍能导致安全防线崩溃。

4.3 ITMS 的作用：加速收敛而非单纯提升上限

• 加速收敛：ITMS 并不总是提高最终的 ASR（因为基线策略如 Crescendo 已经接近饱和），但它显著加速了攻击成功的收敛速度。
  • 例如，在 ITMS-Crescendo 中，模型在更早的轮次（Turn 2）就出现了拒绝率急剧下降和部分合规率上升的现象。
  • 机制：模态切换本身（而非内容） destabilize 了早期的防御机制。
• 模态效应的模型特异性：
  • Gemini 系列：非文本模态（音频/图像）使 ASR 比纯文本基线高出 2-6 个百分点，表明存在文本对齐的缺口。
  • Qwen 系列：非文本模态反而降低了 ASR（例如 Qwen2.5-Omni 在纯图像下 ASR 下降 14%），表明其多模态管道对非文本输入有更严格的过滤。
  • 结论：模态切换的影响是模型家族特定的，不存在通用的“模态越狱”规律，强调了针对不同供应商进行跨模态测试的必要性。

4.4 细粒度评估发现

• 欺诈 (Fraud) 是最容易受攻击的类别，而毒品 (Drugs) 和武器 (Weapons) 最难攻破，反映了安全训练覆盖的不均匀性。
• 灰色地带：Soft ASR 与 Hard ASR 之间的差距揭示了模型在“部分泄露”上的风险，这是二元指标无法捕捉的。

5. 主要贡献与意义 (Contributions & Significance)

1. 首个统一的多模态红队平台：MUSE 是首个将跨模态载荷生成、多轮攻击编排、供应商无关路由和细粒度 LLM 裁判整合在单一浏览器系统中的开源平台。
2. 细粒度评估范式：通过引入 Hard/Soft ASR 和五层分类法，揭示了传统二元指标掩盖的“部分信息泄露”风险，为安全评估提供了更丰富的视角。
3. 揭示模态切换的新风险：通过 ITMS 实验证明，模态的轮转本身可能破坏模型防御，且这种效应因模型供应商而异。这推翻了“安全对齐在所有模态上一致”的假设。
4. 工程与学术价值：
   • 为开发者提供了可复现的大规模多模态安全测试工具。
   • 强调了未来多模态模型安全测试必须考虑模态转换和供应商特异性，不能仅依赖单模态或单轮测试。

总结

MUSE 论文不仅提供了一个强大的技术平台，更重要的是通过实验揭示了多模态大模型安全评估中的新维度：多轮交互的累积效应和模态切换的破坏力。研究结果表明，即使模型在单轮文本测试中表现完美，其在多轮、跨模态交互中仍可能面临严重的安全风险，且不同厂商的模型对此类攻击的脆弱性截然不同。