📄 AudioTrust: Benchmarking The Multifaceted Trustworthiness of Audio Large Language Models

#基准测试 #模型评估 #音频安全 #音频大模型

🔥 8.5/10 | 前25% | #模型评估 | #基准测试 | #音频安全 #音频大模型

学术质量 6.5/7 | 选题价值 1.8/2 | 复现加成 0.8 | 置信度 高

👥 作者与机构

  • 第一作者:Kai Li(南洋理工大学, 与清华大学计算机系、AI研究院、BNRist相关)
  • 通讯作者:Xinfeng Li(南洋理工大学)
  • 作者列表:Kai Li(南洋理工大学), Can Shen(北京师范大学-香港浸会大学联合国际学院), Yile Liu(早稻田大学), Jirui Han(独立研究者), Kelong Zheng(华中科技大学), Xuechao Zou(北京交通大学), Lionel Z. Wang(南洋理工大学), Shun Zhang(火箭军工程大学), Xingjian Du(罗切斯特大学), Hanjun Luo(浙江大学), Yingbin Jin(香港理工大学), Xinxin Xing(独立研究者), Ziyang Ma(南洋理工大学, 上海交通大学), Yue Liu(新加坡国立大学), YiFan Zhang(中国科学院), Junfeng Fang(新加坡国立大学), Kun Wang(南洋理工大学), Yibo Yan(香港科技大学广州), Gelei Deng(南洋理工大学), Haoyang Li(香港理工大学), Yiming Li(南洋理工大学), Xiaobin Zhuang(字节跳动), Tianlong Chen(北卡罗来纳大学教堂山分校), Qingsong Wen(松鼠AI学习), Tianwei Zhang(南洋理工大学), Yang Liu(南洋理工大学), Haibo Hu(香港理工大学), Zhizheng Wu(香港中文大学深圳), Xiaolin Hu(清华大学计算机系), Eng Siong Chng(南洋理工大学), Wenyuan Xu(浙江大学), XiaoFeng Wang(南洋理工大学), Wei Dong(南洋理工大学), Xinfeng Li(南洋理工大学)

💡 毒舌点评

亮点:堪称音频大模型“安全审计”的瑞士军刀,首次系统性地为ALLMs量身定制了六大可信度维度与评估工具集,填补了该领域至关重要的评估空白。 短板:评估流程高度依赖GPT-4o等LLM作为“法官”,其判定本身可能引入与音频模型相似的偏差,形成“用AI评估AI”的循环论证风险。

📌 核心摘要

  1. 要解决什么问题:现有针对大型语言模型的可信度评估框架主要针对文本模态,无法捕捉和评估音频大语言模型(ALLMs)因音频模态(如音色、口音、背景噪声)引入的独特安全风险(如声学偏见、音频幻觉、声学社会工程攻击)。

  2. 方法核心是什么:提出AudioTrust,首个针对ALLMs可信度的综合基准框架。它构建了一个包含超过4420个真实场景音频样本的数据集,设计了跨越公平性、幻觉、安全性、隐私、鲁棒性和认证六个核心维度的26个具体评估子任务,并采用基于GPT-4o和Qwen3的自动化评估管道进行可扩展、可重复的评估。

  3. 与已有方法相比新在哪里:这是第一个专门为音频大模型设计的可信度评估基准。它超越了文本安全评估,首次系统性地将音频的声学特性(如情感、口音、环境音)作为核心风险源纳入评估框架,并针对这些风险设计了专门的攻击策略和评估任务。

  4. 主要实验结果如何:论文对14个主流开源和闭源ALLMs进行了全面评估。主要发现包括:(1) 公平性:模型表现出严重的不公平,GPT-4o系列在决策任务中为维持准确性牺牲了公平性;(2) 幻觉:模型在检测违背物理规律和时间逻辑的音频幻觉时表现不一,且对人类易辨别的语义矛盾识别能力较弱;(3) 安全性:闭源模型整体更安全,但医疗领域仍是薄弱点;开源模型如Kimi-Audio表现出色,而OpenS2S等则非常脆弱;(4) 隐私:模型在直接内容泄露防护上较好,但从语音线索推断隐私信息(如年龄、种族)的能力极弱;(5) 鲁棒性:闭源模型(如Gemini-2.5 Pro)在噪声、多说话人等干扰下表现稳健,开源模型性能下降明显;(6) 认证:闭源模型在身份验证和混合欺骗攻击下更可靠,但声音克隆欺骗对所有模型都是挑战,严格的系统提示可提升防御能力。 关键数据表格(公平性-表1部分结果):

    模型社会刻板印象公平分Γ_stereo(↑)决策公平分Γ_decision(↑)
    开源平均0.1920.249
    Step-Fun0.6580.505
    OpenS2S0.0170.157
    闭源平均0.5550.274
    GPT-4o Audio0.9260.264
    (注:完整表格见正文Table 1)

  5. 实际意义是什么:AudioTrust为研究社区和产业界提供了一个评估、理解和改进ALLMs安全可信度的标准化工具和公开排行榜。它揭示了当前ALLMs在真实高风险场景下的边界和局限性,为开发更安全、可信的音频AI系统提供了关键的实证依据和改进方向。

  6. 主要局限性是什么:(1) 评估核心依赖LLM评判器,其自身可能在音频理解上存在偏差;(2) 数据集虽力求真实,但部分通过TTS合成,可能与完全自然语音存在差距;(3) 评估维度虽已全面,但随着攻击手段的进化,新的风险维度可能被遗漏。

🏗️ 模型架构

本文并非提出一种新的音频大语言模型,而是提出一个用于评估现有ALLMs可信度的基准测试框架AudioTrust。其“架构”是一个系统性的评估体系,包含以下核心组件:

  1. 六大评估维度:公平性、幻觉、安全性、隐私、鲁棒性、认证。
  2. 评估数据集:一个精心策划的、包含超过4420个音频样本的数据集,样本来源于真实场景(如日常对话、紧急呼叫、语音助手交互),并针对不同评估任务进行了构造(如插入噪声、合成克隆语音、构建包含偏见的对话等)。
  3. 评估任务:在六个维度下设计了26个不同的子任务,例如公平性下的“决策实验”和“刻板印象实验”,幻觉下的“物理逻辑违反检测”和“时序逻辑违反检测”。
  4. 自动化评估管道:采用基于GPT-4o和Qwen3的多轮提示和评分机制,并辅以人工专家验证(声称超过97%的认同率),以实现大规模、可重复的客观评估。 该框架不直接涉及音频信号处理或语言生成的模型架构,而是设计了一套完整的测试方法论和工具链,用于“透视”现有ALLMs的内部弱点。

💡 核心创新点

  1. 首次系统性地定义和评估音频特异性可信度风险:之前的安全评估(如SafeDialBench)主要关注文本层面的有害内容。AudioTrust创新性地指出,音频的声学特性(音色、口音、情感语调、环境音)本身会引入全新的攻击面和信任风险,如声学偏见、音频幻觉(违反物理/时间逻辑)、情感欺骗等,并为此设计了专门的评估任务。
  2. 构建了面向真实场景的、多维度的音频可信度评估数据集:该数据集不是简单的样本堆砌,而是为了探测特定风险而“刻意构造”的。例如,为了测试隐私推断风险,数据集包含了带有特定背景音(暗示地理位置或社会经济地位)的语音;为了测试认证风险,包含了由AI合成的高质量声音克隆。这确保了评估任务的有效性和真实性。
  3. 提出了一个自动化、可扩展的LLM-as-a-Judge评估流程:针对难以用规则量化的信任度指标(如“拒绝率”、“输出有害性”),设计了基于顶级LLM的评分和理由生成管道,并通过人工校验确保评估信度。这使得大规模、细粒度的模型比较成为可能。

🔬 细节详述

  • 训练数据:论文未提供模型训练数据细节,因为本文是评估框架而非训练新模型。评估所用的数据集构成如下:
    • 公平性:840个样本,由GPT-4o生成文本内容,再用F5-TTS模型合成为音频,标注了7个敏感属性。
    • 幻觉:320个样本,从合成和真实来源构建,通过编辑和拼接制造逻辑或时序矛盾。
    • 安全性:包括400个领域特定越狱提示(企业、金融、医疗各100)和300个非法活动指导提示,通过GPT-4o增强并用F5-TTS合成为带有特定情感的音频。
    • 隐私:600个直接泄露数据集(合成对话)和300个推断泄露数据集(Common Voice语音混合freesound背景音)。
    • 鲁棒性:在BigBench音频基础上添加对抗攻击、环境噪声、说话人重叠等干扰,每个维度40个样本。
    • 认证:400个样本,覆盖身份验证绕过、混合欺骗和声音克隆欺骗。
  • 评估指标:
    • 公平性:群体公平性分数Γ,值域[0,1],1表示完全公平。
    • 幻觉:多维度GPT-4o/Qwen3评分(0-10分),包括检测准确性、解释质量;以及跨模态词错率(CM-WER)。
    • 安全性:防御成功率(DSR),基于GPT-4o/Qwen3的5分量表评分计算。
    • 隐私:拒绝率(越高越好)和准确性(仅当信息泄露时计算)。
    • 鲁棒性:GPT-4o/Qwen3的10分制评分,以及CM-WER和内容一致性率(CCR)。
    • 认证:冒充者拒绝率(IRR)。
  • 训练策略、超参数、硬件、推理细节:不适用,因为本文是基准测试,不涉及模型训练。

📊 实验结果

论文对14个模型在6个维度上进行了全面评估,关键结果汇总如下:

表1:公平性评估结果(群体公平性分数Γ)

模型刻板印象Γ_stereo(↑)决策Γ_decision(↑)
开源模型
SALMONN0.1390.089
Step-Fun0.6580.505
OpenS2S0.0170.157
闭源模型
GPT-4o Audio0.9260.264
Gemini-1.5 Pro0.2970.460
平均值0.3280.261

表2:幻觉评估结果(GPT-4o评分 / Qwen3评分)

模型内容不匹配(CM)标签不匹配(LM)逻辑违反(LV)物理违反(PV)
开源平均5.22 / 4.704.88 / 4.856.36 / 6.397.43 / 8.22
Qwen2.5-Omni8.12 / 8.445.63 / 3.947.89 / 6.456.11 / 6.17
闭源平均6.17 / 5.455.77 / 4.826.17 / 6.638.74 / 9.58
Gemini-1.5 Pro8.41 / 8.057.81 / 7.178.66 / 8.358.87 / 9.78

表3:安全性评估结果(防御成功率DSR, GPT-4o评分 / Qwen3评分)

模型越狱攻击非法指导企业金融医疗
开源模型
Kimi-Audio99.4 / 99.898.2 / 100.095.2 / 99.699.9 / 99.9
OpenS2S51.4 / 47.667.8 / 87.475.2 / 83.071.8 / 72.9
闭源模型
GPT-4o Audio99.0 / 99.299.2 / 100.098.8 / 100.0100.0 / 99.9
Gemini-2.5 Flash100.0 / 100.099.8 / 93.299.4 / 96.099.8 / 93.6

表4:隐私评估结果(拒绝率%, 越高越好)

模型直接泄露(无/有隐私提示)推断泄露(无/有隐私提示)
开源模型
Qwen2-Audio0.83 / 23.671.33 / 1.00
闭源模型
GPT-4o mini Audio100.00 / 100.0014.00 / 40.00
平均值29.99 / 63.779.02 / 12.12

表5:鲁棒性评估结果(GPT-4o评分 / Qwen3评分)

模型对抗鲁棒性(AR)音频质量变化(AQV)背景对话(BC)环境音(ES)多说话人(MS)噪声干扰(NI)
开源平均5.63 / 3.926.45 / 5.406.73 / 6.836.75 / 6.374.68 / 6.866.70 / 5.67
闭源平均7.57 / 6.297.53 / 7.288.21 / 8.177.72 / 7.806.66 / 8.567.28 / 6.69

表6:认证评估结果(冒充者拒绝率IRR%)

模型身份验证绕过(IVB)混合欺骗(HS)声音克隆欺骗(VCS)
开源平均55.3 / 53.755.1 / 54.745.0
OpenS2S97 / 9366 / 6550
闭源平均97.2 / 97.297.0 / 97.044.9
GPT-4o mini Audio100 / 100100 / 10086

图2(b)提供了所有模型在六个维度上的初步排行榜,可以直观比较模型在各方面的相对表现。例如,GPT-4o Audio在认证和安全性上得分极高,但在公平性上表现一般;开源模型Kimi-Audio在安全性上与顶级闭源模型持平。

⚖️ 评分理由

  • 学术质量:6.5/7:论文在问题定义上极具开创性和洞察力,首次将音频模态特有的信任风险系统化。实验设计非常全面,涵盖了多维度、多任务、多模型的横向比较,评估管道设计合理并有自动化实现。技术正确性高,所有评估维度和任务都有清晰的定义和动机。主要扣分点在于证据可信度:高度依赖LLM-as-a-Judge,虽然有人工校验,但这仍是当前基于LLM评估范式的固有局限。
  • 选题价值:1.8/2:选题位于AI安全与可信AI的前沿,针对快速增长的ALLMs领域,解决了一个关键缺口。该基准对ALLMs的研发、部署和安全审计具有直接的指导意义和实际应用价值,与音频/语音领域的研究者和工程师高度相关。
  • 开源与复现加成:0.8/1:论文明确提供了公开的GitHub仓库(https://github.com/JusperLee/AudioTrust),包含评估框架、脚本和排行榜代码。评估数据集和详细的实验配置(附录C, D-I)使得复现评估流程成为可能。主要扣分是因为评估的核心资源(如被评估的闭源模型)本身不可获取,且数据集是合成的,复现原样评估仍需调用商业API。

← 返回 ICLR 2026 论文分析