音频安全

📄 A Feature-Optimized Audio Watermarking Algorithm with Adaptive Embedding Strength #音频安全 #深度学习 #鲁棒性 #信号处理 ✅ 7.5/10 | 前25% | #音频安全 | #深度学习 | #鲁棒性 #信号处理 学术质量 6.0/7 | 选题价值 1.5/2 | 复现加成 0.0 | 置信度 中 👥 作者与机构 第一作者：Weili Zhou（厦门大学信息学院、管理学院） 通讯作者：Shuangyuan Yang（厦门大学信息学院） 作者列表：Weili Zhou（厦门大学信息学院、管理学院，共同第一作者）、Jiabei Zhou（厦门大学信息学院，共同第一作者）、Shuangyuan Yang（厦门大学信息学院，通讯作者） 💡 毒舌点评 亮点在于将Transformer的特征提取能力与NSGA-II多目标优化框架巧妙结合，为“嵌入强度”这一传统难题提供了自适应解决方案，在实验数据上实现了容量、不可感知性与鲁棒性的较好平衡。短板是论文理论分析稍显薄弱，未能深入阐释Transformer编码器为何及如何在水印任务中优于传统模块，且优化策略（NSGA-II）的离线性质对实时性场景的适用性讨论不足。 📌 核心摘要 本文针对现有音频水印方法在嵌入容量、不可感知性和鲁棒性之间难以平衡，且跨音频类型泛化能力有限的问题，提出了一种名为AESAW的音频水印算法。该方法的核心是：1）利用Transformer编码器层来优化水印的特征表示，提升其与音频信号的融合质量；2）引入NSGA-II多目标优化算法，以信噪比（SNR）和误码率（BER）为目标，自适应地调整嵌入强度。实验在FMA音乐和VCTK语音数据集上进行，结果表明AESAW在保持较高嵌入容量（86 bps）的同时，实现了出色的不可感知性（音乐SNR 31.2 dB，语音SNR 26.7 dB）和强大的鲁棒性（在重采样、裁剪、重量化等攻击下BER接近0%）。与传统方法（SVD-DWT, SIFT-DWT）和现有深度学习方法（DeAR, AudioSeal）相比，AESAW在性能上具有明显优势。其实际意义在于为音频版权保护提供了一种更可靠的技术方案。主要局限性在于NSGA-II的优化过程是离线的，论文未详细探讨其对不同类型音频的实时嵌入适应性以及在实际部署中的计算开销。 实验结果关键数据对比表： 方法 数据集 容量 SNR (dB) 无攻击BER(%) AWGN BER(%) 重采样BER(%) 重量化BER(%) 回声BER(%) 幅度缩放BER(%) SVD-DWT 音乐 102 bps 25.3 0 1.79 0.10 1.01 1.46 0.10 SIFT-DWT 音乐 102 bps 28.1 0 0.29 0.07 0 0 1.00 DeAR 音乐 9 bps 23.2 0 0 0 0 4.20 0 AudioSeal 音乐 16 bps 22.67 2.00 3.50 1.81 1.81 4.25 2.06 AESAW 音乐 86 bps 31.2 0 0.14 0 0 0.01 0 SVD-DWT 语音 102 bps 25.3 0 0.16 0 0 1.92 0 SIFT-DWT 语音 102 bps 31.2 0 0.20 0.16 0.03 - 4.30 DeAR 语音 9 bps 20.5 0 0 0 0 11.6 0 AudioSeal 语音 16 bps 27.96 0 16.25 0 7.50 0 0 AESAW 语音 86 bps 26.7 0 0.03 0 0 0.22 0 🏗️ 模型架构 AESAW的整体框架由三个核心模块构成：水印嵌入器、攻击层和水印提取器。 AESAW总体框架 ...

📄 Audio-Text Jailbreak Attack on Large Audio-Language Models: Towards Generality and Stealthiness #音频安全 #对抗样本 #多模态模型 #跨模态 ✅ 7.0/10 | 前25% | #音频安全 | #对抗样本 | #多模态模型 #跨模态 学术质量 5.5/7 | 选题价值 1.0/2 | 复现加成 0.5 | 置信度 高 👥 作者与机构 第一作者：Yuhong Li（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院） 通讯作者：Jianhua Wang（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院，邮箱：wangjianhua02@tyut.edu.cn） 作者列表：Yuhong Li（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院）、Jiabao Zhang（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院）、Yan Chen（太原工业大学计算机科学与技术学院）、Zhihui Zhao（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院）、Jianhua Wang（太原工业大学工业互联网安全山西省重点实验室 & 计算机科学与技术学院） 💡 毒舌点评 亮点在于首次开辟了“音频+文本”联合优化的多模态越狱攻击赛道，并在实验上取得了90%以上的攻击成功率，有力证明了当前LALM在多模态融合下的脆弱性，为安全研究提供了新方向。短板是论文对“隐身性”的论证略显单薄，仅通过提升成功率来间接证明，并未深入评估攻击音频在人类听觉或音频检测系统中的隐蔽程度，削弱了“Stealthiness”这一主张的力度。 📌 核心摘要 问题：现有的针对大型音频语言模型（LALM）的越狱攻击多局限于单模态（纯文本或纯音频），且通用性和隐蔽性不足。 方法核心：提出“音频-文本越狱攻击”（Audio-Text Jailbreak），首次联合优化微小的对抗音频扰动和恶意的文本后缀，共同诱导模型生成有害回应。同时设计了环境噪声添加和语速调整等隐身策略。 与已有方法相比新在哪里：a) 首次实现音频和文本模态的深度融合攻击；b) 设计的单个对抗音频/文本后缀可泛化应用于不同用户指令；c) 引入针对性的音频层隐身策略。 主要实验结果：在Qwen2-Audio和Qwen2.5-Omni两个模型上，攻击成功率（ASR）分别达到91.00% 和 92.73%，显著优于GCG、VoiceJailbreak、SpeechGuard等基线方法。关键实验结果如下表所示： 方法 非法活动 仇恨言论 人身伤害 欺诈 色情 隐私侵犯 平均 Base (无攻击) 0 0 0 0 0 0 0 GCG (文本攻击) 0.67 0.72 0.73 0.79 0.80 0.75 0.74 VoiceJailbreak 0 0.40 0.20 0.20 0.30 0 0.21 SpeechGuard 0.20 0.40 0.40 0.20 0.30 0 0.25 Audio-Text JailBreak (本文) 0.95 0.90 0.90 0.88 0.90 0.90 0.91 模型 Noise Rate Rate + Noise Ours Qwen2-Audio 84.00 83.30 86.61 91.00 Qwen2.5-Omni 82.50 85.65 73.91 92.73 平均 83.25 84.48 80.26 91.86 实际意义：揭示了当前LALM在处理跨模态输入时存在的严重安全漏洞，为模型安全加固（如多模态对齐安全训练）提供了明确的攻击测试基准和方向。 主要局限性：通用性验证实验仅在一个条件（K=10）下进行，泛化能力论证不够充分；隐身策略的实际效果（如是否易于被人耳察觉或被音频检测器识别）未通过直接的用户研究或客观度量进行评估。 🏗️ 模型架构 本文并未提出一个新的端到端语音大模型架构，而是针对现有的LALM（如Qwen2-Audio, Qwen2.5-Omni）设计了一个攻击框架。其核心是音频-文本联合越狱攻击流程。 ...

📄 AURA: A Stegaformer-Based Scalable Deep Audio Watermark with Extreme Robustness #音频水印 #音频安全 #Conformer #条件模型 #鲁棒性 ✅ 7.5/10 | 前25% | #音频水印 | #条件生成 | #音频安全 #Conformer 学术质量 6.0/7 | 选题价值 1.5/2 | 复现加成 0 | 置信度 高 👥 作者与机构 第一作者：Linxi Li（University of Warwick， OfSpectrum, Inc.） 通讯作者：未说明 作者列表：Linxi Li（University of Warwick， OfSpectrum, Inc.）、Liwei Jin（OfSpectrum, Inc.）、Yechen Wang（OfSpectrum, Inc.）、Houmin Sun（Duke Kunshan University）、Zi Hu（Duke Kunshan University）、Carsten Maple（University of Warwick） 💡 毒舌点评 亮点： 论文直面了现有音频水印方法在应对“极端”攻击（如剧烈变速、高损压缩、录音回放）时崩溃的痛点，并用一套设计周密的实验（包括真实环境下的手机录音回放）令人信服地展示了AURA模型在这些极端场景下近乎完美的鲁棒性，其性能提升是数量级的。短板： 论文引以为傲的“首个缩放定律研究”，其核心结论（如“宽深”模型最优）缺乏足够的理论支撑和普适性验证，目前更像是一次基于小规模网格搜索的经验性观察。此外，人类评估仅用24人测试40个样本，其统计显著性和代表性存疑，难以为“水印不可感知”的结论提供强有力背书。 ...

📄 Bloodroot: When Watermarking Turns Poisonous for Stealthy Backdoor #音频安全 #水印 #鲁棒性 ✅ 7.5/10 | 前25% | #音频安全 | #水印 | #鲁棒性 学术质量 6.5/7 | 选题价值 2.0/2 | 复现加成 0.5 | 置信度 高 👥 作者与机构 第一作者：Kuan-Yu Chen（Kuan-Yu Chen^{1,2}，根据作者顺序判断） 通讯作者：Jeng-Lin Li^{2,⋆} 和 Jian-Jiun Ding^{1,⋆}（根据作者名后星号判断） 作者列表：Kuan-Yu Chen（台湾大学通讯工程研究所, Inventec公司AI研究中心）、Yi-Cheng Lin（台湾大学通讯工程研究所）、Jeng-Lin Li（Inventec公司AI研究中心）、Jian-Jiun Ding（台湾大学通讯工程研究所） 💡 毒舌点评 本文巧妙地将音频水印技术“黑化”为一种隐蔽后门，实现了“在眼皮子底下投毒”的效果，实验数据也显示其在感知质量和鲁棒性上确实优于传统土法炼钢的触发器。不过，这篇论文更像是把一个已知工具（水印）巧妙地应用到了一个已知场景（后门攻击），缺乏对水印本身可能被更复杂防御手段破解的深入探讨。 📌 核心摘要 要解决什么问题：现有音频后门攻击方法（如修改音高、插入超声波）在生成的有毒样本上会引入可被察觉的声音失真，且容易被常见的信号处理或模型剪枝防御手段所破坏。 方法核心是什么：提出Bloodroot框架，将原本用于版权保护的音频水印技术重新用作后门触发器。其核心是利用预训练的音频水印模型（AudioSeal）生成不可感知的扰动，并嵌入到少量（1%）训练数据中。进一步提出Bloodroot-FT，通过LoRA对水印生成器进行微调，以优化触发器的鲁棒性和隐蔽性之间的平衡。 与已有方法相比新在哪里：这是首个系统性地将音频水印作为后门触发器的研究。与传统的、针对性设计的声音模式（如超声波、环境音）相比，水印触发器天生具备更好的不可感知性和对常见信号处理的鲁棒性。 主要实验结果如何：在语音识别（SC-10/30）和说话人识别（VoxCeleb-125/全集）任务上，Bloodroot-FT相比现有最优基线，在感知质量（PESQ）上提升了约2分，STOI提升了约0.5。同时保持了超过95%的攻击成功率（ASR）和接近基线的模型准确率（BA）。关键抗防御实验结果如下表： 方法 ASR（无滤波） ASR（带低通滤波） PBSM 92.62% 9.52% Ultrasonic 97.26% 1.28% Bloodroot-FT 93.85% 53.49% 在模型剪枝防御下，Bloodroot系列也能保留约70%的ASR，而其他方法在剪枝率增加时ASR迅速下降。 实际意义是什么：一方面，它展示了如何利用水印技术实现更隐蔽、更鲁棒的数据所有权保护（正向应用）。另一方面，它警示了水印技术的“双刃剑”特性，可能被恶意利用进行更难检测的模型投毒攻击（反向风险），推动了AI安全领域对此类威胁的研究。 主要局限性是什么：研究主要集中在特定的语音任务和模型架构上；对于更复杂的防御（如对抗训练、水印检测算法）未做深入探讨；虽然声称是第一个系统性工作，但水印本身作为“触发器”的潜力挖掘可能还未到极致。 🏗️ 模型架构 论文没有提出一个全新的端到端网络架构，而是提出了一个攻击框架，核心是复用和微调一个现有的音频水印模型。 ...

📄 Co-Initialization of Control Filter and Secondary Path via Meta-Learning for Active Noise Control #音频安全 #元学习 #信号处理 #少样本学习 #自适应滤波 ✅ 7.5/10 | 前25% | #音频安全 | #元学习 | #信号处理 #少样本学习 学术质量 6.5/7 | 选题价值 2.0/2 | 复现加成 0.8 | 置信度 高 👥 作者与机构 第一作者：Ziyi Yang (Smart Nation TRANS Lab, School of Electrical and Electronic Engineering, Nanyang Technological University, Singapore) 通讯作者：Zhengding Luo (Smart Nation TRANS Lab, School of Electrical and Electronic Engineering, Nanyang Technological University, Singapore) 作者列表：Ziyi Yang (南洋理工大学)、Li Rao (南京大学声学研究所现代声学重点实验室)、Zhengding Luo (南洋理工大学, 通讯作者)、Dongyuan Shi (西北工业大学)、Qirui Huang (南洋理工大学)、Woon-Seng Gan (南洋理工大学) 💡 毒舌点评 这篇论文的亮点在于其巧妙的工程切入点：不改变工业界广泛使用的FxLMS算法本身，而是通过一个“离线学习、在线简单设置”的元学习初始化模块来提升其性能，这种“即插即用”的兼容性思维非常务实。但其短板也很明显：验证场景过于“温和”和“干净”——仅在预录的路径切换实验上演示效果，缺乏对真实世界中连续、渐变、非平稳声学环境变化的长期跟踪评估，使得结论的鲁棒性打了折扣。 ...

📄 Cross-Domain Contrastive Learning with Dynamic Threshold Calibration for Source Speaker Tracing #说话人验证 #对比学习 #音频安全 #跨领域 #领域适应 🔥 8.0/10 | 前25% | #说话人验证 | #对比学习 | #音频安全 #跨领域 学术质量 6.0/7 | 选题价值 1.5/2 | 复现加成 0.5 | 置信度 高 👥 作者与机构 第一作者：Yitian Ding（国际关系学院，北京，中国） 通讯作者：Yansen Zhou（国际关系学院，北京，中国）论文中标注为通讯作者 作者列表：Yitian Ding（国际关系学院）、Shengchen Li（西交利物浦大学，苏州，中国）、Yansen Zhou（国际关系学院） 💡 毒舌点评 论文的亮点在于将“跨域对齐”、“类内紧致”与“置信度校准”三个目标巧妙地融为一个统一的训练框架（ACC Loss），并配合评估时的动态阈值校准（Centered AS-Norm），形成了一套完整的解决方案，其设计思路和消融实验都做得相当清晰。但略显遗憾的是，论文声称方法“即插即用、数据高效”，却未能开源代码或提供可直接运行的完整复现材料，这限制了学术界对其进行快速验证和在此基础上改进的可能性。 📌 核心摘要 本文针对语音转换（VC）对自动说话人验证（ASV）构成的安全威胁，研究了“源说话人追踪（SST）”任务，即从转换后的语音中识别原始说话人。其核心问题是转换语音与原始语音之间存在领域偏移，且转换语音内部的说话人特征呈现多峰结构，导致特征分布不稳定和固定阈值失效。为此，论文提出了一种“跨域对比学习与动态阈值校准”的统一范式。在训练阶段，提出联合优化ACC损失函数，它结合了对齐损失（InfoNCE，用于跨域对齐）、紧致性损失（IS-CDR，用于减少类内方差）和置信度损失（质量回归，用于质量感知校准）。在评估阶段，采用Centered AS-Norm（全局中心化+自适应归一化）进行分布感知的动态评分校准。在SSTC 2024评测基准上，所提系统在16个测试集上的平均等错误率（EER）为16.509%，超越了挑战赛冠军系统（16.788%），并将官方基线（20.613%）降低了4.104个百分点。消融实验证明，所提出的训练损失和评估后处理机制对性能提升均有显著贡献。该方法的主要贡献在于提供了一个完整的训练-评估闭环，以增强SST任务的跨域泛化能力和分数可校准性。其局限性在于评估场景局限于单一基准，且未公开代码和模型。 🏗️ 模型架构 本文模型的整体框架如图2所示（注：由于未提供图片URL，此处仅基于文字描述）。该方法建立在一个深度嵌入学习框架上，核心是一个MFA-Conformer嵌入提取器（基于Conformer架构）。其完整流程如下： 输入：标准的对数梅尔滤波器组特征（80维），并进行均值归一化。 嵌入提取：MFA-Conformer编码器处理输入特征，输出三个部分： 说话人嵌入（e）：256维向量，用于最终的说话人验证。 投影向量（z）：128维向量，用于计算对比损失（InfoNCE）。 质量分数（q）：一个标量，用于质量回归损失，预测嵌入的可靠性。 训练阶段损失计算：编码器的输出用于计算联合的ACC损失（LInfoNCE + α LQuality + β LIS-CDR）。 评估阶段后处理：推理时，对说话人嵌入应用两阶段后处理： 全局中心化：e’ = e - μ_global，其中μ_global是当前评估集嵌入的均值。 AS-Norm（自适应归一化）：利用当前评估集（无标签）构建同分布样本集（cohort），对余弦相似度分数进行对称归一化，以动态校准分数和阈值。 输出：校准后的相似度分数，用于判断语音对是否来自同一源说话人。 该设计的关键在于，训练时通过投影头和对比损失显式地对齐和压缩来自不同域（转换语音与自然语音）的同类说话人嵌入，而评估时通过无监督的统计归一化来适应未知的VC方法导致的分布偏移。 💡 核心创新点 联合的ACC损失函数设计：将三个互补的目标（InfoNCE用于跨域对齐与类间分离、IS-CDR用于类内紧致与分布平滑、质量回归用于样本级置信度建模）统一在一个轻量级的损失函数中。这超越了之前仅使用转换语音进行监督或仅使用单一损失（如AAM-Softmax）的方法。 “对齐-紧致-校准”的闭环范式：不仅提出了新的训练目标，还将其与评估时的动态校准方法（Centered AS-Norm）紧密结合。训练使嵌入变得“可对齐”和“可校准”，评估则执行“对齐”和“校准”，形成一个协同增强的完整流程。 分布感知的动态阈值校准：在评估阶段，使用当前评估集自身的统计量（全局中心化和AS-Norm的均值/方差）来重新标定���数尺度和决策阈值，使其能适应未知的VC方法造成的域偏移，而非依赖固定的训练集阈值。 🔬 细节详述 训练数据：使用SSTC 2024挑战赛数据集。源说话人数据集：LibriSpeech（train-clean分割，1172名说话人）。转换后语音数据集：由8种不同VC方法生成的语音（Train-1到Train-8）。数据增强包括：MUSAN噪声（0-20dB SNR）、基于RIR的混响、随机裁剪（至7.5秒），每种增强以0.8的概率独立应用。 损失函数：联合损失LACC = LInfoNCE + 1.0 LQuality + 1×10^-2 LIS-CDR。其中，InfoNCE温度τ=0.07；IS-CDR计算每个mini-batch内同说话人所有样本（包括转换和自然语音）到其质心的平均平方距离。 训练策略：优化器AdamW（学习率1×10^-4，权重衰减1×10^-2）。训练采用5个epoch的warmup和余弦衰减调度器。梯度累积步数为4。总训练epoch数为40。每个mini-batch包含16名说话人，每人4句转换语音作为锚点（共64个锚点），并为每个锚点额外采样一句来自LibriSpeech的同一说话人的自然语音作为正样本。 关键超参数：嵌入维度256，投影头维度128。AS-Norm cohort大小通过消融实验确定为200。 训练硬件：单卡NVIDIA RTX 3090 (24GB)，完整训练约8小时。 推理细节：使用余弦相似度计算原始分数，然后应用对称的AS-Norm进行校准。评估集的统计量（全局均值、AS-Norm的cohort统计量）在当前分割集上即时计算，无需标签，确保评估协议无泄漏。 其他：随机种子固定为123456，使用PyTorch实现。 📊 实验结果 主要在SSTC 2024挑战赛数据集上评估，使用等错误率（EER）作为主要指标。实验结果如下： ...

📄 Disentangled Authenticity Representation for Partially Deepfake Audio Localization #音频深度伪造检测 #对比学习 #语音伪造检测 #音频安全 ✅ 6.5/10 | 前25% | #音频深度伪造检测 | #对比学习 | #语音伪造检测 #音频安全 学术质量 5.5/7 | 选题价值 1.5/2 | 复现加成 0.0 | 置信度 高 👥 作者与机构 第一作者：Siding Zeng（中国科学院自动化研究所多模态人工智能系统国家重点实验室、中国科学院大学人工智能学院） 通讯作者：论文中未明确标注通讯作者，依据学术惯例，可能为Siding Zeng或其他未列出作者。 作者列表：Siding Zeng（中国科学院自动化研究所多模态人工智能系统国家重点实验室、中国科学院大学人工智能学院）。论文中仅列出此一位作者，但机构信息显示有两个隶属单位。 💡 毒舌点评 论文的亮点在于其针对特定痛点（域偏移和边界模糊）设计了一套逻辑自洽、组件协同的解决方案，消融实验也扎实地证明了各模块的有效性。然而，其核心思想——将表示解耦为“目标”与“干扰”成分——在计算机视觉等领域已不新鲜，论文的创新更多体现在如何将这一通用思想“翻译”并适配到部分伪造音频定位这个具体任务上，属于扎实的工程优化而非理论或架构上的重大突破。 📌 核心摘要 问题：部分深度伪造音频（仅少数片段被篡改）的定位面临两大挑战：训练与测试数据间的域偏移，以及真实与伪造段之间细微的过渡边界。 方法核心：提出DisAR双分支框架，将每个音频帧的特征显式解耦为“真实性特征”（捕捉伪造痕迹）和“干扰因素特征”（编码说话人、内容、环境等信息）。通过门控融合模块重建原始特征以避免信息丢失，并利用局部时间对比损失增强对篡改边界的敏感性。 创新点：与已有方法相比，新在显式地将真实性信息与干扰因素分离，而非隐式地让模型自行学习；并通过融合重构和对比损失分别保障信息完整性和提升边界精度。 主要结果：在PartialSpoof数据集上，DisAR取得了95.75%的F1分数（EER 3.51%）；在ADD2023 Track 2（跨域测试）上，F1分数达到76.74%（EER 19.05%），均优于报告的基线。关键消融实验证明，移除正交损失、融合模块或对比损失均会导致性能显著下降（例如，无正交损失时F1降至68.48%）。 主要对比实验结果（表1）： 方法 PartialSpoof F1 (%) ADD2023 Track 2 F1 (%) AGO (ICASSP’24) 94.36 71.87 DisAR (本文) 95.75 76.74 跨域泛化结果（表3）：PartialSpoof -> ADD2023设置下，DisAR的F1分数为57.81%，远高于基线SPF（37.15%）和RSDM（34.09%）。 实际意义：提升了深度伪造音频检测在真实复杂场景（不同设备、环境、语言）下的可靠性和可解释性（通过解耦的特征）。 ...

📄 Emotional Damage: Investigating Safety Vulnerabilities of Large Audio-Language Models Under Speaker Emotional Variations #音频大模型 #音频安全 #对抗样本 #语音合成 ✅ 7.5/10 | 前25% | #音频安全 | #对抗样本 | #音频大模型 #语音合成 学术质量 5.5/7 | 选题价值 1.5/2 | 复现加成 0.3 | 置信度 高 👥 作者与机构 第一作者：Bo-Han Feng（台湾大学）、Chien-Feng Liu（台湾大学）、Yu-Hsuan Li Liang（台湾大学）（注：论文标明三位为共同第一作者） 通讯作者：Hung-yi Lee（台湾大学）（注：论文未明确标注通讯作者，Hung-yi Lee为资深作者，按惯例推断） 作者列表：Bo-Han Feng（台湾大学）、Chien-Feng Liu（台湾大学）、Yu-Hsuan Li Liang（台湾大学）、Chih-Kai Yang（台湾大学）、Szu-Wei Fu（NVIDIA）、Zhehuai Chen（NVIDIA）、Ke-Han Lu（台湾大学）、Sung-Feng Huang（NVIDIA）、Chao-Han Huck Yang（NVIDIA）、Yu-Chiang Frank Wang（NVIDIA）、Yun-Nung Chen（台湾大学）、Hung-yi Lee（台湾大学） 💡 毒舌点评 这篇论文的“问题嗅觉”非常灵敏，精准地抓住了大型音频语言模型在“情绪化表达”这一软肋上的安全漏洞，并用一套严谨的控制变量实验（同一指令、同一说话人、不同情绪与强度）给出了令人信服的实证证据，这是其最大亮点。然而，论文在揭示问题后戛然而止，未能进一步探索漏洞产生的原因（如数据偏差、模型架构缺陷）或提出任何防御/改进方案，使其研究深度略显不足，更像是一个扎实的“安全审计报告”，而非一个完整的“攻防研究”。此外，模型评估的全面性可以进一步加强。 📌 核心摘要 问题：大型音频语言模型（LALMs）的安全对齐在面对说话人情感（副语言信息）变化时，存在尚未被系统研究的脆弱性。 ...

📄 Erasing Your Voice Before it’s Heard: Training-Free Speaker Unlearning for Zero-Shot Text-to-Speech #语音合成 #说话人识别 #流匹配 #音频安全 ✅ 7.5/10 | 前25% | #语音合成 | #流匹配 | #说话人识别 #音频安全 学术质量 6.0/7 | 选题价值 1.8/2 | 复现加成 0.3 | 置信度 高 👥 作者与机构 第一作者：Myungjin Lee (梨花女子大学 AI与软件学院) 通讯作者：Jiyoung Lee (梨花女子大学 AI与软件学院) 作者列表：Myungjin Lee (梨花女子大学 AI与软件学院), Eunji Shin (梨花女子大学 AI与软件学院), Jiyoung Lee† (梨花女子大学 AI与软件学院) （* 标记为共同第一作者，† 标记为通讯作者） 💡 毒舌点评 这篇论文巧妙地将大语言模型中的“激活转向”思想移植到零样本TTS的安全场景，提供了一种“即插即忘”的优雅解决方案，免去了昂贵的重新训练，这是其最大的工程和实用价值。然而，方法的理论基石略显单薄——其核心假设“身份信息主要编码在FFN层”依赖于一篇同期引用的、尚未完全验证的分析，使得整个转向机制的普适性打上问号；此外，实验仅在F5-TTS上完成，对于其他TTS架构是否同样有效，仍是未知数。 📌 核心摘要 要解决的问题：零样本文本到语音（TTS）模型能高度逼真地模仿任意说话人的声音，这带来了严重的隐私和安全风险，可能导致未授权的语音生成。现有应对方案如水印（事后追溯）、语音匿名化（身份替换）和基于训练的遗忘（成本高、无法处理未见说话人）均存在不足。本文旨在提出一种高效、可扩展的“拒绝生成”机制。 方法核心：提出TruS，一个免训练的、在推理时进行干预的说话人遗忘框架。其核心思想是：在TTS模型内部，通过一组已知“保留”说话人的语料构建一个代表“正常”说话人身份的ID原型嵌入。当遇到请求“退出”（opt-out）的未知说话人时，计算其激活与ID原型的差异，得到一个身份特定的转向向量。在生成过程中，动态选择那些身份信号显著的层和时间步，将当前激活在转向向量方向上的投影分量减去，从而抑制该目标身份信息的输出，同时保留语言内容和韵律情感。 与已有方法相比新在哪里： 范式转变：从数据删除（重训练）转向推理时控制。 免训练与即插即用：无需任何重训练或微调，可直接应用于现有TTS模型，极大降低了部署成本和时间。 处理未见说话人：首次在零样本TTS遗忘任务中，能够有效处理训练集中未出现过的、来自外部的opt-out说话人请求，更具现实意义。 动态与自适应：通过动态阈值（基于层间相似度统计）自动选择干预点，比固定规则的转向（如EmoSteer）更精细，避免了对生成质量的过度破坏。 主要实验结果： 在已见opt-out说话人上，TruS（SIM-SO: 0.477）与需要重训练的TGU（SIM-SO: 0.510）相比，在身份抑制上更有效，同时WER（语言保真度）更好（3.25 vs 4.03），且训练时间成本为零。但SGU（SIM-SO: 0.106）抑制更强，但破坏了保留说话人的语音质量（SIM-R大幅下降）。 关键突破在于对未见opt-out说话人（LibriSpeech）的泛化能力：TruS将SIM-UO从基线的0.668显著降低至0.488，Spk-ZRF-UO从0.906提升至0.913，证明其可推广至未知身份。 在情感数据集（CREMA-D）上，TruS在抑制未见说话人身份（SIM-UO: 0.131 vs 0.217）的同时，情感相似度（SIM-Emo）几乎无损（0.723 vs 0.732），表明能较好地保留非身份属性。 消融研究表明，采用“μ+σ”阈值进行层选择能达到身份抑制与语音质量的最佳平衡；ID原型的保留说话人池大小N=30时综合性能最优。 实际意义：为零样本TTS技术提供了一种用户驱动的、细粒度的隐私保护工具，允许个人明确拒绝其声音被合成，且该工具易于集成到现有系统中，为生成式语音AI的负责任部署提供了一种可扩展的技术方案。 主要局限性： 方法严重依赖“说话人身份信息主要编码在FFN层”这一先验假设，该假设的普适性有待验证。 实验验证仅基于F5-TTS（一种基于DiT的流匹配模型）一种架构，其有效性是否能迁移到其他主流的零样本TTS模型（如自回归模型）尚不明确。 对“未见说话人”的处理需要一个“opt-out说话人”的单句参考语音，这要求opt-out用户提供一段自己的录音作为凭证，可能存在额外操作门槛。 🏗️ 模型架构 TruS并非一个独立训练的模型，而是一个插入到预训练TTS模型（如F5-TTS）推理过程中的干预模块。其整体工作流程如图2所示。 图2展示了TruS与TTS模型协同工作的流程： ...

📄 HVAC-EAR: Eavesdropping Human Speech Using HVAC Systems #音频安全 #时频分析 #端到端 #工业应用 #鲁棒性 🔥 8.5/10 | 前25% | #音频安全 | #时频分析 | #端到端 #工业应用 学术质量 6.2/7 | 选题价值 1.8/2 | 复现加成 0.3 | 置信度 高 👥 作者与机构 第一作者：Tarikul Islam Tamiti（George Mason University, 网络安全工程系） 通讯作者：未说明 作者列表：Tarikul Islam Tamiti（George Mason University, 网络安全工程系）、Biraj Joshi（George Mason University, 网络安全工程系）、Rida Hasan（George Mason University, 网络安全工程系）、Anomadarshi Barua（George Mason University, 网络安全工程系） 💡 毒舌点评 亮点：这是一篇视角独特的安全研究论文，揭示了HVAC系统这一庞大基础设施中潜在的、令人意想不到的语音窃听渠道，并给出了从低质量信号中恢复可理解语音的完整技术方案，具有很强的现实警示意义。短板：其威胁模型的通用性值得商榷，评估仅限于特定距离（0.5m训练，1.2m测试）、单一语言（英语）和受控环境，实际复杂场景（如多重噪声、多说话人）下的鲁棒性尚未验证，可能简化了现实世界的攻击难度。 📌 核心摘要 本文旨在揭示并解决利用暖通空调（HVAC）系统中的差压传感器（DPS）进行语音窃听的新型隐私威胁。核心方法是提出了HVAC-EAR，一个基于复数域U-Net的语音重建模型，它能将低采样率（0.5-2 kHz）、高噪声的DPS压力数据，重构为采样率高达8 kHz的可理解语音。与之前仅能进行关键词检测或依赖特定振动传感器的工作相比，HVAC-EAR的新颖之处在于：（1）设计了复杂统一注意力模块（CUAB），能够捕捉时频谱图上的全局音素依赖关系；（2）采用复数多分辨率短时傅里叶变换（STFT）损失，联合重建幅度和相位，有效抑制了HVAC系统的瞬态噪声。主要实验结果表明，在真实HVAC设施中，HVAC-EAR在0.5m距离下训练的模型，能在1.2m距离内重构出具有显著可懂度的语音（以STOI、PESQ、NISQA-MOS等指标衡量），性能优于NU-Wave、AERO等基线模型。例如，在0.5 kHz → 8 kHz上采样任务中，其SI-SDR为8.88 dB，显著高于原始压力数据的4.24 dB。这项工作的实际意义是首次实证了HVAC DPS可能被用作窃听工具，对医院、洁净室等敏感环境的语音隐私构成了新威胁。主要局限性是其评估距离有限（超过1.2m性能急剧下降），且仅在英语数据集上进行验证。 ...