← 返回 2026-01-27

聪明的副作用:多模态大模型多图像推理中的安全风险 The Side Effects of Being Smart: Safety Risks in MLLMs' Multi-Image Reasoning

Renmiao Chen, Yida Lu, Shiyao Cui, Xuan Ouyang, Victor Shea-Jay Huang, Shumin Zhang, Chengwei Pan, Han Qiu, Minlie Huang 📅 2026-01-20 👍 5 2026-07-13 08:35
多图像推理 多模态安全 安全评估 对抗攻击 注意力熵

研究发现MLLM多图像推理能力越强,越容易受到多图像关系攻击,存在聪明的副作用现象。

前置知识

多模态大语言模型

多模态大语言模型是指能够同时处理文本、图像等多种模态输入的大型语言模型,如GPT-4V、LLaVA、InternVL等。它们通过视觉编码器将图像转换为特征表示,再与文本一起输入到语言模型中进行联合理解和推理。多模态大语言模型的核心挑战在于如何有效对齐视觉和语言的语义空间,实现跨模态的语义理解和复杂推理。

本文研究的核心对象是多模态大语言模型,理解其基本架构和工作原理对于理解多图像推理中的安全风险至关重要。

攻击成功率

攻击成功率是衡量模型安全性的关键指标,定义为在所有测试实例中成功诱导模型生成有害响应的百分比。在本文中,攻击成功率通过HarmBench-Llama-2-13b-cls分类器来自动判断模型输出是否含有有害内容。攻击成功率越高,说明模型越容易被诱导产生有害输出,安全性越差。

攻击成功率是本文的主要评估指标,用于量化不同多模态大语言模型在多图像推理任务中的安全风险,理解其定义和计算方式对解读实验结果很关键。

注意力熵

注意力熵是衡量Transformer模型中注意力分布集中程度的指标。给定一个注意力权重分布p,其熵定义为H等于负的pk乘以log pk的求和。当注意力集中在少数几个位置时,熵较低;当注意力均匀分散时,熵较高。在本文中,作者使用注意力熵来探测模型在生成过程中的认知状态,发现不安全生成的平均注意力熵低于安全生成。

注意力熵分析是本文的重要创新点,它提供了理解模型内部安全机制的窗口,有助于解释为什么更强的推理能力可能导致更高的安全风险。

认知负荷理论

认知负荷理论由Sweller提出,指出人类工作记忆容量有限,当任务过于复杂时,辅助目标更容易被忽略。类比到深度学习模型,当模型面临复杂的多图像推理任务时,可能会达到认知过载状态,导致安全约束被忽视。这个理论在本文中被用来解释为什么多图像推理会削弱模型的安全性。

认知负荷理论是本文解释实验现象的理论基础,它帮助理解为什么多图像推理会导致安全性能下降,为后续的防御策略提供了理论指导。

研究动机

现有的多模态大语言模型安全评估主要关注基于内容的安全性,即判断单个图像是否包含显式有害内容,如恶意文本或与不安全关键词相关的视觉元素。然而,这种评估方法忽略了基于推理的安全性,即危害只有通过模型的多步推理过程才会显现。随着多模态大语言模型多图像推理能力的快速提升,一个新的问题浮现:改进的能力是否会扩大攻击面并引入新的安全风险?作者观察到,在处理复杂的多图像任务时,模型可能会先理解任务,然后回答,而没有识别出其潜在的有害性质。例如,一个只优化了单图像输入的模型可能无法理解底层任务,从而提供通用响应,而能够正确推断用户意图的多图像模型却无法识别其潜在的有害性质,进而回答了问题。

本文的目标是本文的目标是系统地研究和表征多模态大语言模型在多图像推理中面临的安全风险。作者希望构建一个全面的基准测试来评估多图像推理安全性,揭示聪明的副作用现象,即更强的多图像推理能力可能导致更高的安全风险。具体目标包括:构建第一个专门用于评估多模态大语言模型多图像推理安全性的基准测试MIR-SafetyBench;在多个多模态大语言模型上进行广泛评估,量化这种安全风险;分析模型的内部机制,理解为什么更强的推理能力可能导致更高的攻击成功率;为未来的防御策略提供见解和方向。

与已有工作不同的是,本文的独特切入点在于首次系统地研究基于推理的多模态安全问题。与之前的工作相比,本文不是在图像中注入显式有害信号,而是通过精心设计的多图像关系来隐藏有害意图,只有在模型执行多步骤关系推理时才会显现。作者提出的聪明的副作用现象,即更强的多图像推理能力可能与更高的安全风险相关,在之前的工作中没有被系统地研究过。此外,本文通过注意力熵分析探索模型的内部状态,为理解多图像安全失败的机制提供了新的视角。

核心方法

本文采用了一个综合性的研究框架来研究多模态大语言模型的多图像推理安全风险。首先,作者提出了一个多图像关系分类法,系统地定义了可能隐藏有害意图的不同类型的多图像关系。然后,他们构建了MIR-SafetyBench基准测试,这是一个包含2676个实例的综合性数据集,涵盖了9种多图像关系类型和6个安全风险类别。接着,他们在19个代表性多模态大语言模型上进行了广泛评估,使用攻击成功率作为主要指标。最后,他们深入分析了模型的内部行为,通过注意力熵分析来理解多图像安全失败的潜在机制。整个研究框架从现象观察到基准构建,再到全面评估和机制分析,形成了一个完整的研究链条。

本文的核心创新点是发现了聪明的副作用现象,即多模态大语言模型的多图像推理能力越强,可能越容易受到多图像关系攻击。作者提出的多图像关系分类法是理解这一现象的关键,它系统地定义了如何通过复杂的图像关系来隐藏有害意图。另一个核心创新是注意力熵分析,它揭示了不安全生成在多图像场景中具有较低的注意力熵,表明模型可能过度关注任务求解而低估安全约束。这些发现为理解多模态大语言模型的安全风险提供了新的视角,并为未来的防御策略提供了重要的见解。

方法步骤详情

MIR-SafetyBench的构建采用了一个多阶段的迭代流程,将单个有害问题转换为多图像推理任务。步骤一:重写有害问题。Revisor使用DeepSeek-R1将直接有害问题转换为包含文本提示、图像描述和关键词的间接格式。步骤二:生成图像。Image Generator使用FLUX.1-dev根据描述生成图像,并组合文本渲染的关键词创建最终的复合图像。步骤三:测试攻击。Tester使用Qwen2.5-VL-7B-Instruct模拟模型响应,检查重写的提示是否保持了原始意图并能够诱导有害响应。步骤四:有害性判断。HarmBench-Llama-2-13b-cls分类器提供客观的有害标签。步骤五:评估和优化。Evaluator使用DeepSeek-R1执行整体质量评估,确保四个标准得到满足:响应真正有害、提示保持中立、实例符合目标关系类型、保持对原始意图的忠实性。如果任何条件未满足,Evaluator会生成修订反馈,指导Revisor进行优化迭代。这个过程持续最多五轮,直到实例通过所有检查。

技术新颖性

本文的技术新颖性体现在多个方面。首先,MIR-SafetyBench是第一个专门用于评估多模态大语言模型多图像推理安全性的基准测试,填补了这一领域的研究空白。其次,作者提出的多图像关系分类法系统地定义了9种不同的关系类型,为理解多图像推理中的安全风险提供了一个清晰的概念框架。第三,注意力熵分析揭示了不安全生成在多图像场景中的独特内部特征,为理解安全失败的机制提供了新的见解。第四,控制比较实验证明多图像关系结构是导致安全脆弱性的关键因素,而不是简单的图像数量增加。最后,四分类的安全响应分析揭示了模型安全响应的表面性,许多所谓的安全响应实际上源于误解、通用拒绝或回避,而不是真正的安全对齐。

Examples of the nine relations in our proposed taxonomy. Each case hides harmful intent within the complex relationships across multiple images and a textual prompt.
Figure 2: Examples of the nine relations in our proposed taxonomy. Each case hides harmful intent within the complex relationships across multiple images and a textual prompt.
Overview of our multi-stage pipeline for constructing the MIR-SafetyBench.
Figure 3: Overview of our multi-stage pipeline for constructing the MIR-SafetyBench.

实验结果

在19个多模态大语言模型上的广泛评估揭示了令人担忧的趋势:多图像关系攻击在所有评估模型中都广泛成功,平均攻击成功率达到87.63%。这表明现有的安全对齐策略可能不足以处理从多图像推理过程中产生的风险。其次,作者观察到了聪明的副作用现象:在一个广泛的模型范围内,更强的多图像推理能力往往与更高的攻击成功率相关。例如,Kimi-VL-A3B-Thinking的攻击成功率超过了Kimi-VL-A3B-Instruct,Skywork-R1V3-38B超过了InternVL-38B。然而,这种趋势在整个能力谱系上不是单调的,最先进的闭源模型结合了强大的推理能力和低攻击成功率,表明在能力边界操作的模型显示出推理强度与攻击成功率之间的正相关,而前沿模型能够更容易地导航这些任务,从而保持或恢复稳健性。最后,风险与任务的认知需求相关,需要更抽象、多步骤思考的类别始终表现出更高的脆弱性。

Overall Attack Success Rate of 19 MLLMs on MIR-SafetyBench, broken down by each of the nine relational types.
Table 1: Overall Attack Success Rate of 19 MLLMs on MIR-SafetyBench, broken down by each of the nine relational types.
Breakdown of safe response modes in percentage.
Table 2: Breakdown of safe response modes in percentage.
Single-Image vs Multi-Image ASR comparison.
Table 3: Single-Image vs Multi-Image ASR comparison.
Definitions and examples of the six risk categories in MIR-SafetyBench.
Table 4: Definitions and examples of the six risk categories in MIR-SafetyBench.
Average answer lengths in tokens for safe and unsafe responses.
Table 5: Average answer lengths in tokens for safe and unsafe responses.
Heatmaps of attention entropy gaps between safe and unsafe cases for chat and reasoning models in multi-image and single-image settings.
Figure 4: Heatmaps of attention entropy gaps between safe and unsafe cases for chat and reasoning models in multi-image and single-image settings.
Heatmaps of attention entropy gaps for MiniCPM-o-2.6 and Kimi-VL-A3B-Thinking-2506 models.
Figure 5: Heatmaps of attention entropy gaps for MiniCPM-o-2.6 and Kimi-VL-A3B-Thinking-2506 models.
查看结构化数据
任务指标本文基线提升
MIR-SafetyBench多图像推理安全 攻击成功率 87.63%,GLM-4.1V-9B-Thinking最高 无基线,首次提出此基准 首次系统性研究,无对比基线
单图像与多图像控制对比 攻击成功率提升 GLM-4.1V-9B-Thinking从60.3%提升到85.5% 单图像基线 提升25.2个百分点
逻辑分解关系类型 平均攻击成功率 87.53%,顶级模型表现 语义相关性关系 约提升27个百分点
正确拒绝率 安全响应中的正确拒绝比例 GPT-5.1达到87.13% 其他模型普遍低于20% 显著高于其他模型

局限与改进

本文存在几个局限性。首先,MIR-SafetyBench包含2676个合成多图像实例,覆盖了9种关系类型和6个预定义的风险类别,但这并不穷尽,它继承了源安全数据集以及我们的自动种子重写流程的偏差。其次,流程依赖于特定的自动代理和分类器,包括DeepSeek-R1用于重写和评估、Qwen2.5-VL-7B-Instruct作为测试器、FLUX.1-dev用于图像生成、HarmBench-Llama-2-13b-cls用于有害性判断。这些组件的不完美或偏差可能会在构建的实例和安全标签中引入系统性噪声,而作者的人工审查只是抽查样本,而不是详尽地验证数据集。第三,评估集中在固定的19个流行多模态大语言模型上,在单轮提示下,并使用基于分类器的攻击成功率作为主要安全指标,这并不能捕获交互式、多轮或工具增强的使用场景。最后,注意力熵分析只覆盖了四个代表性模型,并提供了关于推理负荷与安全失败之间联系的关联性而非因果证据。

独立分析的弱点

本文的弱点主要体现在以下几个方面:样本数量有限,2676个实例可能不足以全面覆盖所有可能的多图像关系和安全风险,尤其是对于罕见但高风险的场景。自动化的基准构建流程可能引入系统性偏差,例如DeepSeek-R1的重写风格、Qwen2.5-VL-7B-Instruct的测试偏好、FLUX.1-dev的图像生成特点等,这些可能会影响基准的多样性和代表性。评估场景相对简单,只考虑了单轮对话,没有涵盖多轮交互、工具使用等更现实的应用场景。内部机制分析有限,只分析了注意力熵,缺乏对其他内部表征和机制的深入探索。改进方向包括:扩大基准规模,增加更多样化的关系类型和风险类别;采用多种自动代理和分类器,减少系统性偏差;扩展到更复杂的评估场景,包括多轮对话和工具使用;进行更全面的内部机制分析,结合多种分析方法。

未来方向

未来的研究方向可以沿着多个方向发展。首先,作者提出的将基准特征描述转化为实际缓解措施是重要方向,这包括基于MIR-SafetyBench训练或适应模型,以及基于注意力熵发现设计具体的检测机制、安全监控器或训练时间正则化器。其次,扩展MIR-SafetyBench到更现实的用户交互,包括多轮对话、额外的模态和关系类型,以及对内部状态和现实世界安全影响的更丰富的测量。第三,深入研究注意力熵发现的机制,建立推理负荷与安全失败之间的因果关系,探索是否存在通用的内部安全信号。第四,开发针对多图像推理安全的防御策略,包括改进的安全对齐方法、多图像关系的检测和防御机制,以及基于内部状态的安全监控。最后,探索如何在不牺牲推理能力的前提下提高模型的安全性,解决聪明的副作用悖论。

复现评估

本文的复现性评估如下。作者已经公开了代码和数据,这是复现研究的良好起点。基准构建流程详细描述,包括所有使用的自动代理和分类器,但完全复现需要获取这些模型。实验环境使用NVIDIA A800显卡,显存为80GB,计算资源需求较高。19个评估模型中,闭源模型需要API访问,开源模型可以本地运行。注意力熵分析需要访问模型的内部注意力权重,这对于闭源模型不可行。整体来看,基准的复现性较好,但完全复现所有实验需要相当的计算资源和模型访问权限。难度评估为中等偏高,主要挑战在于获取所有评估模型和计算资源。