← 返回 2026-05-13

多流大语言模型:通过并行的思维、输入和输出流解除语言模型的串行阻塞 Multi-Stream LLMs: Unblocking Language Models with Parallel Streams of Thoughts, Inputs and Outputs

Guinan Su, Yanwu Yang, Xueyan Li, Jonas Geiping 📅 2026-05-12 👍 17 2026-07-13 08:36
LLM架构 可监控性 安全性 并行生成 指令微调 智能体

用多流并行格式重塑LLM推理,解除单流chat的串行阻塞

前置知识

Transformer 解码器与自回归生成

标准 decoder-only Transformer 通过因果掩码(Causal Mask)保证每个 token 只能 attend 到自身及之前的位置,生成时按 token 串行采样,复杂度 $O(T)$。本文将这一单序列框架扩展为 H 条并行的流,共享同一组参数与一次前向传播。

多流格式的根基是把单一自回归序列视为多流的特例,理解因果掩码的扩展(跨流也保持 $\tau<t$)是看懂方法的关键。

RoPE 旋转位置编码

RoPE 通过对 query/key 施加与位置相关的旋转矩阵 $R(t)$,把相对位置信息编码到内积中,从而支持长度外推。本文为每条流维护独立位置计数器,并叠加可学习的流嵌入 $e^s_h$,避免不同流在同一时间步上的位置冲突。

若不加 per-stream 位置计数,多流在同一时刻的位置会冲突,破坏 RoPE 假设的单调顺序。

指令微调(Instruction Tuning)

在预训练模型上用 (system, user, assistant) 三元组对话数据微调,让模型遵循聊天模板。本文把指令微调的目标从单流 message 格式换成多流表格格式,证明这一替换在训练成本上不高于标准指令微调。

整篇论文的核心论点是'换一个 instruction-tuning 格式'就能换来效率/安全/可监控性三方面提升,所以必须先理解标准指令微调是什么。

FlashAttention 与因果快速路径

FlashAttention 通过 tiling 在 HBM/SRAM 间高效搬运数据块,并把因果掩码对应的'下三角'区域作为快速路径跳过计算。本文设计的交错打包(interleaved packing)把多流 token 重新排列,使整体注意力图近似下三角结构,从而复用这一快速路径。

交错打包看似只是 token 重排,实则决定了多流能否在标准 GPU kernel 上高效运行。

链式思维(Chain-of-Thought, CoT)

CoT 让模型在给出最终答案前显式生成中间推理步骤,常被视为单一思考流。本文把 CoT 视为多流体系的一个特例(一个 Thinking 流),并指出 CoT 在'功能性推理'压力下可能压抑模型对元层面(监控、自我意识)的考量,而独立流可'sub-vocalize'这些考量。

可监控性章节的主要动机是:单流 CoT 不能完整表达模型内部状态,多流则把内部考量放到独立流供监控器读取。

Prompt Injection 与指令层级

Prompt Injection 指恶意 user 内容试图覆盖 system 指令或诱导模型泄露机密;指令层级(Instruction Hierarchy)主张系统指令应优先于用户指令。本文将 stream 隔离作为架构级实现指令层级的方式:用户输入只能写入 User 流,不能写入 System 流,因此无法覆盖 system 行为。

安全性章节的所有 ASR 收益都基于这一架构级隔离机制,无需任何对抗训练。

研究动机

现代 LLM 智能体(包括 Claude Code 这类编码代理)都建立在 chat 模型的 message-based 单流格式之上:模型必须先等用户输入完毕才能思考,必须先思考完毕才能调用工具,必须等工具返回才能响应。这种单流阻塞带来三个具体痛点:(1) 长输入场景下用户必须等模型'消化'完毕才能交互,类似同步对话在自然语言中司空见惯(如 Sacks 等 1974 描述的 turn-taking with overlap),但在 chat 格式中无法实现,例如 rock-paper-scissors 游戏中用户提前喊'rock'时模型无法同步响应;(2) 思考、读取、行动必须严格串行,长任务里模型经常陷入'等工具返回'的空闲窗口,延迟主要由等待决定而非真正的思考时间;(3) 即便加入 chain-of-thought 与 subagent 工具流,所有这些角色仍然被硬塞进同一序列,靠格式 token 区分,先天的串行性导致现代智能体普遍依赖脆弱的脚手架(如手动 head/tail 分块、外部 tick 唤醒、subagent 委派探索)来缓解,但这些方案都是硬编码且容易失效。论文特别指出:'watching a coding agent churn through a long task, only to realize mid-way that the intended direction needed revision with no opportunity for intervention' 是这种范式的典型痛点。

本文的目标是提出一种原理性而非补丁式的架构变更:放弃 message-based 单流格式,instruction-tuning 出支持多条并行计算流的 LLM。具体来说,把每个角色(user、system、model、thinking、tool、search、document 等)分配到独立流,每次前向传播同时在多个输入流上读取并在多个输出流上生成,跨流满足严格因果约束——输出流在某时刻只能 attend 到所有流在该时刻之前的 token。论文给自己设定的三个具体目标是:(1) 证明这种格式的微调可行性,且训练成本不高于标准指令微调;(2) 在效率(TNFT、生成 token 数、端到端延迟)、安全性(prompt injection ASR)、可监控性(内部流能否被外部 monitor 读取)三个维度上展示可量化的收益;(3) 验证即使在相对小的模型(1.7B–27B)与少量合成数据上,这些收益仍然显著。

与已有工作不同的是,已有工作从不同方向触及并行思想但都未形成统一的多流格式:(1) 并行推理方法(如 Multiverse、wait-k policy、speech-to-speech 模型 Moshi)虽然探索了部分并行,要么完全孤立的并行分支无法相互观察(如 MapReduce 范式),要么基于固定读-写策略(wait-k)而非模型学习到的并行;(2) Audio 模型(如 Moshi)虽然并行多流,但通过把多流嵌入求和到单序列处理,没有保留显式流身份用于安全和可监控性;(3) Tree-of-Thought、parallel CoT 等方法只把推理分支并行,思考之外的流(用户、工具、文档)依然串行。本文的独特切入点是引入'显式多流 + 跨流因果 + 流感知位置编码 + 交错打包'作为统一格式,并在效率/安全/可监控性三方面同时获益,无需对抗训练或额外 RL 阶段。

核心方法

论文的整体思路是从直觉到形式再到工程:先用三个具体场景(同时说话、用户打断、并行工具调用)展示多流能解决哪些真实痛点(§2),然后形式化定义 Multi-Stream Parallel Generation 的概率分解(公式 1),最后描述数据构造(§3.2)、训练(§3.3)、推理(§3.4)的工程实现。核心表示是一张二维表格:每行是一次前向传播,每列是一个角色(流),格子填 token 或空位 `-`。训练目标是所有流上的标准交叉熵,推理时所有流同步解码一次前向产生一个 token 行,整体延迟由最长流决定,理论 $H\times$ 加速。整条技术路线可概括为'格式替换 + 因果扩展 + 工程优化':用表格格式替换 message 格式,用跨流因果掩码扩展下三角掩码,用交错打包和 idle-token mask 保证工程效率。

与已有方法的本质区别在于三点:(1) 跨流因果约束——不同于 Multiverse 完全孤立的并行分支(公式 1 显式要求 stream $h$ 能 attend 所有其他流 $h'\neq h$ 在时间步 $<t$ 的 token),本文允许流间相互观察过去时刻但仍保持严格因果;(2) 显式流分离作为架构特征——不像 Moshi 把多流嵌入求和到单序列,本文用 stream-aware RoPE(每流独立位置计数 + 可学习流嵌入 $e^s_h$)加上流式因果掩码 $\mathcal{M}_{(h,t),(h',\tau)} = \mathbb{1}[\tau<t]$(公式 2)保证流身份在注意力中可区分,正是这一区分让安全性和可监控性成为架构层面的副产物;(3) 交错打包(interleaved packing)——通过按时间步重新排列多流 token 形成近下三角注意力布局(保留相同注意力连通性),复用 FlashAttention 因果快速路径;并引入 'idle token 概念'——空位在解码时不分配 KV 缓存,零内存开销,理论上 $H\times$ 加速。

方法步骤详情

1) **多流形式化**:定义 H 条流 $\{y^{(1)},\dots,y^{(H)}\}$ 的联合概率分解为 $p_\theta(y^{(1)},\dots,y^{(H)}) = \prod_{h=1}^{H}\prod_{t=1}^{T_h} p_\theta(y^{(h)}_t \mid y^{(h)}_{<t}, \{y^{(h')}_{<t}\}_{h'\neq h})$(公式 1),满足 (a) 流内因果(每个 token attend 自身过去)与 (b) 跨流因果(流 $h$ 在时刻 $t$ 只能 attend 所有其他流 $<t$ 时刻的 token)。2) **数据构造**:通过 (a) wait-k 策略让前沿 LLM 把现有对话改写为多流——assistant 在只看到 k 个源 token 后即开始回复(用 'let me start helping' 等桥接短语)并允许用户持续输入,k 在样本间变化;(b) 直接让前沿 LLM 生成 stream-table 格式数据,要求按行写入以避免非因果引用;(c) LLM 判官做因果验证(确保每个 assistant chunk 不包含可由未来 user token 推出的信息);(d) 单流层面(流畅性、冗余度、完整性)和跨流层面(角色完成度)做质量过滤。3) **位置编码扩展**:query/key 为 $q^{(i)}_{h,t} = R(t)W^{(i)}_q x_{h,t}$,$x_{h,t} = \text{Embed}(y^{(h)}_t) + e^s_h$,其中 $R(t)$ 是 RoPE 旋转矩阵,每流独立位置计数 0,1,2,...,$e^s_h$ 是可学习流嵌入;论文对比了 2D-RoPE、position offset、angular rotation、NoPE 等替代方案,最终选择 per-stream RoPE + learnable stream embedding。4) **流因果掩码**:$\mathcal{M}_{(h,t),(h',\tau)} = \mathbb{1}[\tau<t]$(公式 2),同一流内是标准下三角,跨流时只要 $\tau<t$ 即允许 attend,扩展了标准下三角掩码。5) **交错打包**:把 H 个流按时间步交错拼接(位置 0 是流 0 的 token 0、位置 1 是流 1 的 token 0、...),使整体注意力图近似下三角(与 sequential packing 的不连续块状注意力相比),复用 FlashAttention 因果快速路径;论文还探索了 stream-contrastive 损失,对受益于跨流上下文的 token 上采样,缓解流间 loss 不平衡。6) **训练**:用标准交叉熵 $\mathcal{L} = \sum_{h=1}^H \sum_{t\in T_h} -\frac{1}{|T_h|}\log p_\theta(y^{(h)}_t \mid x)$(公式 3)。7) **同步多流解码**:每个 step 一次前向传播产生所有流的下一个 token,空位完全 mask 且不分配 KV 缓存,整体延迟由最长流决定。

技术新颖性

技术新颖性在于把多流作为统一的指令微调格式而非推理技巧或后处理 hack:(1) 相比 wait-k 等固定读-写策略,多流允许模型自主学习何时读、写、思考;(2) 相比 Multiverse 等并行推理,多流允许跨流观察而不只是孤立分支后合并;(3) 相比 Moshi 等语音模型,多流作用于离散文本 token 并保留显式流身份用于安全性和可监控性收益。交错打包策略特别巧妙——通过位置重新排序,在保持完全相同注意力连通性的前提下,让注意力图呈近下三角结构,复用 FlashAttention 因果快速路径,理论上 $H\times$ 加速而计算量几乎不变。idle token 的处理让多流在工程上零额外内存开销(每个流的位置计数独立意味着 KV 缓存与 H 无关)。最具洞察力的贡献是论证'流分离'本身是一种免费的安全机制与可监控性机制——无需对抗训练或额外 RL 阶段,仅靠架构变更就在 StruQ-ID ASR 上取得 33+ 点的下降,在 Qwen3-8B 上把 Concern sub-vocalization 从 0.07 提到 0.42。这种'一个格式变更换来三个独立维度的收益'是论文最大的方法论贡献。

Multi-stream token packing and attention layouts (sequential / interleaved / interleaved inference)
Figure 3: Multi-stream token packing and attention layouts (sequential / interleaved / interleaved inference)

实验结果

论文在三个独立维度做了定量实验,每个维度都有完整 baseline 与可比性验证。(1) **效率(§4)**:用 Qwen3-1.7B/Qwen3-4B(thinking 模式)在 GSM8K、MATH500、LogicNLI、SQuAD 上对比 Base、Vanilla(单流 SFT)、Stream(多流 SFT)三种设置。所有任务中多流模型的 TNFT(首个目标 token 前的 token 数)降至 0,意味着模型在用户输入未完成时就能开始生成;同时生成 token 数大幅下降(典型 -35% 到 -50%),端到端延迟同步下降。典型结果:Qwen3-4B 在 MATH500 上 Acc 从 60.80% 升到 64.00%(+3.2pp),Tokens 从 1363.95 降至 742.26(-46%),Delay 从 45.82 降至 26.51(-42%);GSM8K 上 Acc 几乎持平(89.36→88.85),但 Tokens -35%、Delay -28%。在 LogicNLI 上引入第三个审计流('Auditing While Solving While Reading'),Qwen3-1.7B 准确率从 Vanilla 61.55% 提升到 65.65%(+4.1pp),MSL(最长流长度)相比 Vanilla + Reflection 减半,延迟下降超过 40%。(2) **安全性(§5)**:用 Qwen2.5-7B/Qwen3-4B base 模型在 TensorTrust、Gandalf、Purple、RuLES(direct ASR)、StruQ-ID/StruQ-OOD(indirect ASR)、NESSiE(S&H)、Prompt-L/Inst-L(指令跟随)八个 benchmark 上对比 Vanilla vs Stream。仅靠架构变更、无任何对抗训练:Qwen2.5-7B 在 StruQ-ID 上 ASR 从 76.00 降到 42.23(-33.77 绝对点),NESSiE 的 S&H 从 8.21 升到 28.21(+20 点);Qwen3-4B 在 StruQ-ID 上 ASR 从 80.69 降到 41.91(-38.78 绝对点),Inst-L 从 51.79 升到 60.19。Gandalf(攻击者可迭代)ASR 仍高,说明流隔离对持续多轮对抗不奏效。(3) **可监控性(§6)**:用 Qwen3-8B/Qwen3.5-27B 微调出 10 流模型(1 输入 + 1 输出 + 8 内部思考流),3,864 条合成 10 流对话训练。在 AF eval-aware(模型是否意识到被监控)、AF sub-vocalization(这种意识是否仅出现在内部流)、Monitor accuracy(外部 monitor 从内部流分类隐藏行为)、Concern sub-vocalization(内部流是否提出可见回答中缺席的客观关切)四个指标上:Qwen3-8B 的 Concern subvoc 从 0.07 升到 0.42(95% CI [0.30, 0.56]),AF eval-aware 从 0.37 升到 0.84;Qwen3.5-27B 的 Concern subvoc 从 0.06 升到 0.44,Monitor accuracy 从 0.26 升到 0.44。表明内部流不是装饰性的——外部读者既能用它分类模型行为,又能恢复可见回答中隐藏的关切。

Comparison of different model variants across benchmarks (Qwen3-1.7B/4B × GSM8K/MATH500/LogicNLI/SQuAD)
Table 1: Comparison of different model variants across benchmarks (Qwen3-1.7B/4B × GSM8K/MATH500/LogicNLI/SQuAD)
LogicNLI results across methods and model scales (Adding Auditing Stream)
Table 2: LogicNLI results across methods and model scales (Adding Auditing Stream)
The Stream model achieves better direct and indirect ASR / S&H / Instruction Following
Table 3: The Stream model achieves better direct and indirect ASR / S&H / Instruction Following
Monitorability of base models vs stream models (Qwen3-8B / Qwen3.5-27B)
Table 4: Monitorability of base models vs stream models (Qwen3-8B / Qwen3.5-27B)
Efficiency comparison (Vanilla LLM vs Multi-stream LLM from efficiency perspective)
Figure 4: Efficiency comparison (Vanilla LLM vs Multi-stream LLM from efficiency perspective)
Security comparison (Vanilla LLM vs Multi-stream LLM from security perspective)
Figure 5: Security comparison (Vanilla LLM vs Multi-stream LLM from security perspective)
查看结构化数据
任务指标本文基线提升
GSM8K 数学推理 (Qwen3-4B) Acc / TNFT / Tokens / Delay 88.85 / 0 / 421.47 / 14.53 Vanilla 89.36 / 93.30 / 649.28 / 20.17 TNFT 降至 0;Tokens -35%;Delay -28%;Acc 几乎持平(-0.5pp)
MATH500 数学推理 (Qwen3-4B) Acc / TNFT / Tokens / Delay 64.00 / 0 / 742.26 / 26.51 Vanilla 60.80 / 103.16 / 1363.95 / 45.82 Acc +3.2pp;TNFT 降至 0;Tokens -46%;Delay -42%
LogicNLI 逻辑推理 (Qwen3-4B, Auditing While Solving) Acc / Delay / MSL 65.55 / 78.86 / 2454.89 Vanilla + Reflection 65.15 / 132.85 / 4251.33 Acc +0.4pp;MSL -42%;Delay -41%
StruQ-ID 间接 prompt injection (Qwen2.5-7B) Attack Success Rate ↓ 42.23±0.4 Vanilla 76.00±0.5 -33.77 绝对点下降(约 -44% 相对下降)
NESSiE 安全-帮助综合分 (Qwen2.5-7B) S&H ↑ 28.21±4.18 Vanilla 8.21±2.99 +20 绝对点(+244% 相对提升)
TensorTrust direct prompt injection (Qwen3-4B) Attack Success Rate ↓ 47.07±1.4 Vanilla 74.55±0.9 -27.48 绝对点下降
Qwen3-8B 可监控性 Concern Sub-vocalization Concern subvoc ↑ 0.42 [95% CI 0.30, 0.56] Qwen3-8B base 0.07 [0.00, 0.14] 绝对提升 +0.35(提升约 6 倍)
Qwen3.5-27B 可监控性 Monitor Accuracy Mon. acc ↑ 0.44 [0.30, 0.58] Qwen3.5-27B base 0.26 [0.14, 0.38] 绝对提升 +0.18(相对提升 +69%)

局限与改进

作者明确承认的局限:(1) 实验规模相对小(1.7B–27B),相比现代完整 instruct data 规模和 post-training 阶段(RLHF、DPO 等)微不足道,论文定性预测在大规模上收益会更显著但未经验证;(2) 部分应用不需要并行流——纯文本处理、有限交互管道、传统 chat 即时消息场景保持 message-based 即可;(3) 某些本质串行的任务(如证明书写)并行化收益有限;(4) 目前只研究了 dense attention patterns 跨流,没有探索条纹、偏移、单向交互、部分隔离等变种(论文明确列出这些为未来工作)。我自己的额外观察:(1) 交错打包把同时间步的 token 视为'synchronized states'而非未来预测目标,引入了跨流同位置泄漏,论文称为 'benign' 但严格来说违反了跨流因果约束,对严格的安全/隐私敏感场景可能不充分;(2) 审计流和 8 个思考流的具体 role 划分('Auditor'、'Solver')依赖手工预设,如何让模型自主协商流角色未充分讨论;(3) 可监控性提升主要在'sub-vocalize'层面,但内部流是否会反过来泄露训练数据/用户隐私给监控器,论文没有评估;(4) Gandalf 上 ASR 仍达 95.71%–96.19%,说明流隔离对持续多轮对抗(攻击者可以在多个用户轮次中渐进注入)不奏效;(5) 27B 实验使用了 Qwen3.5 + Gated-DeltaNet 层,per-stream 处理需要特殊工程,普通 dense 模型不一定能直接复用相同结论。

独立分析的弱点

独立分析的方法弱点与改进方向:(1) **数据构造依赖前沿闭源 LLM 生成器**:wait-k 改写和 stream-table 合成都依赖当前最强的闭源模型(论文未具体指明生成器),这限制了在小模型上扩展训练数据的成本,且模型质量上限受制于生成器;改进方向是开发流感知的 RL 或 self-play 方法,让模型在多流交互中自主探索最优跨流时机,避免 human-in-the-loop 生成器瓶颈。(2) **流角色由人工事先定义**:论文中 'Solver stream' / 'Auditor stream' 是手工分配的角色,10 流可监控性实验也是预设 8 个思考流(每个有指定职责),这等于把角色工程提前到训练前;改进方向是设计流角色协商机制,让模型通过元提示或学习自动决定哪些流合并/拆分/激活。(3) **交错打包的因果近似未严格消除**:同时间步的跨流 token 被近似为不互相依赖,虽然文中称为'良性泄漏',但严格来说违反了'跨流因果'的因果性,对严格的安全/隐私敏感场景(如金融、医疗)可能不够;改进方向是开发真正跨流因果的 FlexAttention kernel 或 block-sparse attention,把同位置泄漏显式 mask 掉。(4) **推理时流数和角色固定**:训练好的模型在推理时无法动态增加或合并流(虽然论文 Figure 2 描绘了未来的 stream 角色),缺乏灵活性,例如当任务进入新阶段需要新工具时无法自适应激活对应流;改进方向是设计支持流数动态调整的架构(如可学习的流路由器)。(5) **安全性在 Gandalf 上失效**:Gandalf 允许攻击者多轮迭代注入,ASR 仍达 95.71%–96.19%,说明单靠流隔离不足以防御迭代式攻击;改进方向是结合显式权限校验层(如数字签名)或对 system 流做额外对抗训练。(6) **可监控性双刃剑**:内部流为监控器提供了丰富的内部状态,但也可能泄露用户隐私或训练数据;论文没有评估这种反向风险,改进方向是研究 'monitorable but privacy-preserving' 的流设计(如对内部流做差分隐私或选择性披露)。

未来方向

作者明确提出的未来方向:(1) **更大规模训练**——用完整的现代指令数据集和多阶段 post-training(RLHF/DPO)训练多流模型;(2) **变种注意力模式**——条纹(striped)、偏移(offset)、单向交互、部分流隔离以支持细粒度权限控制,例如 system 流对 user 流单向可见以加强隔离。基于成果可延伸的方向:(3) **多模态扩展**——结合 vision/audio 流(论文 Figure 2 已提及),把多流作为统一多模态生成格式,例如 video token 流、speech 流、text 流在同一个 forward pass 内交互;(4) **流级别 RL**——把每条流视为独立 agent 联合优化,奖励信号同时考虑流间协调和最终输出质量,而非仅在输出流上做 RL;(5) **流级别可解释性**——内部流作为对用户/审计员透明的'心智白板',可以可视化每个流在每个时间步的内容,建立模型行为的可解释性机制;(6) **应用于编码 agent**——结合 subagent 流、tool 流、user 流、test runner 流做长任务,验证论文 Figure 4 的'coding agent 提前纠偏'场景;(7) **安全+隐私权衡**——研究内部流是否会无意中泄露敏感信息给监控器,提出 'redactable internal streams' 概念;(8) **跨语言/跨文化流**——把不同语言作为独立流,验证多流格式在多语言对话中的潜在优势;(9) **流式预训练**——论文只做了指令微调阶段的多流改造,如果能在预训练阶段就采用多流格式,可能涌现出更深层的并行推理能力。

复现评估

论文公开了代码、模型和 demo 链接(首页 § Code Ö Models õ Data 图标),整体可复现性较高。具体复现评估:(1) **数据**:wait-k 改写和 stream-table 生成依赖前沿 LLM(未指明具体生成器,附录描述了 prompt 策略),3,864 条 10 流对话用于 Stream-27B 训练,安全实验用 Alpaca 的多流重建,规模相对小但 prompt 公开。(2) **模型与训练**:实验规模 1.7B–27B,基于 Qwen2.5-7B、Qwen3-1.7B/4B/8B/Qwen3.5-27B,均从 base 模型 SFT 3 epochs(安全性实验),无 RLHF/对抗训练,超参数在附录;Stream-27B 因为 Qwen-3.5 包含 Gated-DeltaNet 层需要 per-stream 特殊处理(论文提到在 §B.7)。(3) **算力需求**:27B 模型 + Gated-DeltaNet + 10 流需要多卡 H100/A100 集群;1.7B/4B 效率实验在单卡 A100 即可,复现成本较低。(4) **复现难度**:中等偏低——核心创新在格式而非规模,主要工程挑战在 (a) 交错打包 attention 实现细节(需要保证近下三角结构);(b) Qwen-3.5 Gated-DeltaNet 层的 per-stream 适配;(c) idle token 的 KV 缓存处理(必须确保不分配缓存)。建议按规模梯度复现:先用 Qwen3-1.7B 验证效率实验(最简单,4 卡小时级即可),再扩展到安全性(多 benchmark + 直接 ASR 需要攻击者-受害者交互),最后才是 Qwen3.5-27B 的可监控性实验(最复杂,需要 10 流 + Gated-DeltaNet + LLM monitor 评分)。主要风险点是 (a) 生成器闭源导致数据合成无法完全复现;(b) 安全 benchmark 的 ASR 评估依赖攻击模板的具体实现,可能有 ±2–5 ASR 点的差异。