RedVox: 语音模型在跨语言场景下的安全性和公平性差距 RedVox: Safety and Fairness Gaps in Speech Models Across Languages
首个多语言语音安全基准,揭示非英语语言和语音输入加剧模型安全漏洞
前置知识
Speech-capable models
支持语音输入的大语言模型,能够直接处理口语音频而非依赖传统的ASR文本转录。这类模型(如GPT-realtime、Gemini等)采用端到端架构,原生处理音频信号,保留了语言、情感等副语言特征,降低了延迟并增强了错误容忍度。与传统基于ASR的文本LLM不同,这类模型不会丢失声调、语速、停顿等信息,在语音交互场景中表现更自然。
本文研究的正是这类新兴语音模型的安全性,理解其与传统基于文本的LLM的区别是解读研究背景的基础,这样才能明白为什么语音输入会放大安全漏洞。
Safety alignment
安全对齐是指通过训练数据过滤、RLHF、对齐训练等技术手段,使模型拒绝生成有害、危险、歧视性或不道德的内容的过程。安全对齐是现代LLM开发的核心环节,通常包括红队测试、安全评估和护栏机制。对齐训练使用包含拒绝指令的数据集,教导模型识别有害模式并学会拒绝,而RLHF通过人类反馈进一步微调模型的行为边界。
本文的核心问题是语音模型的安全对齐在多语言和多模态场景下是否有效,理解这个概念才能把握研究动机——即安全对齐能力是否会从文本模态转移到语音模态。
Red teaming
红队测试是一种主动攻击方法,通过模拟恶意用户或精心设计的对抗性提示来发现模型的脆弱性。红队测试可以分为自动攻击(算法生成的提示)和手动攻击(人工构造的提示),是评估AI模型安全性的标准方法。红队测试者会尝试各种策略绕过模型的安全机制,如社会工程学、编码提示、角色扮演等。
本文采用红队测试的思想来构建REDVOX数据集,但重点在于自然场景而非对抗攻击,理解这个概念有助于把握研究方法——REDVOX是红队测试在语音领域的自然化变体。
Multimodal vulnerability transfer
多模态漏洞转移指的是模型在一个模态上获得的安全对齐能力是否能迁移到其他模态。研究表明,即使模型在文本输入上通过安全对齐,在处理相同内容的语音或图像输入时仍可能输出有害内容。这是因为模型的安全机制可能在多模态融合过程中被绕过,或者音频编码器提取的特征触发了不同的处理路径。
这是本文研究的核心现象之一,语音输入放大了模型的安全漏洞,理解这个概念才能解读实验结果——即为什么相同的有害内容在语音输入下更容易通过模型的防护。
研究动机
语音模型的安全评估存在严重缺陷。现有工作主要集中在英语环境下的文本输入,缺乏对多语言场景和语音输入模态的系统研究。作者调研了38个语音模型,发现仅有11个记录了安全评估,其中8个只测试了英语。这种评估盲点在实际部署中极为危险,因为语音模型正被广泛应用于多语言场景(如无障碍交互、多语言客服)。更严重的是,多模态输入(尤其是语音)可能绕过模型的安全防护——这被称为跨模态漏洞转移。如果模型在处理相同有害内容的语音输入时比文本输入更容易输出有害内容,那么现有的基于文本的安全评估就无法真实反映实际风险。
本文的目标是本文有三个具体目标。第一,系统性地调研现有语音模型的安全评估实践,量化多语言覆盖的缺失。第二,构建REDVOX——一个基于真实人类语音的多语言安全与公平性基准数据集,覆盖五种欧洲语言(英语、德语、西班牙语、法语、意大利语)和两种漏洞类型(安全相关请求和刻板印象请求)。第三,使用REDVOX评估8个最先进的语音模型,量化在非对抗条件下、多语言场景、多模态输入下的安全漏洞,验证语音输入是否会放大风险。
与已有工作不同的是,本文的独特切入点在于关注自然场景下的安全漏洞而非精心设计的对抗攻击。现有工作多采用合成语音、攻击性提示或优化过的对抗样本,这些虽然能发现极端情况下的漏洞,但无法反映普通用户在正常使用中可能遇到的风险。本文认为,如果一个模型在面对普通用户的自然语音请求(即便内容有害)时就输出有害内容,那么这个模型在实际部署中就是危险的。因此,REDVOX采用真实人类语音、自然表达方式、单轮对话场景,评估的是非对抗条件下的脆弱性——这是一个被忽视但极其重要的评估维度。
核心方法
REDVOX采用社区驱动的数据收集方法,邀请52名研究者参与构建。整体思路是:先从现有的多语言文本安全基准中选取有害内容实例,然后让参与者将这些内容以语音形式表达出来,同时配合文本追问,形成多模态提示。最后使用自动化的LLM-as-judge方法对模型响应进行多维度评估,包括安全性、公平性、相关性和拒绝行为。这种方法的优势在于:既利用了已有的文本资源(确保评估的基础是经过验证的有害内容),又引入了真实语音(模拟实际使用场景),同时通过可重复的自动评估确保了评估的客观性。
本文的核心创新是构建了第一个基于真实人类语音的多语言安全与公平性基准。与现有工作的本质区别在于:1) 使用真实人类语音而非合成语音——合成语音的语调、口音、节奏可能与真实使用场景不符;2) 覆盖五种语言而非仅英语——多语言覆盖是本文的核心贡献,因为作者发现语音模型在非英语语言上的安全漏洞明显更严重;3) 关注公平性(刻板印象)而非仅安全政策——刻板印象内容往往不违反显式的安全政策(如德国人很守时看似正面),但仍然会强化偏见,这是现有评估体系容易忽视的盲点;4) 采用speech+text设计而非纯语音输入——作者发现纯语音输入会导致模型理解失败率过高,speech+text设计能区分模型真的拒绝有害请求和模型没听懂请求两种情况。
方法步骤详情
REDVOX的构建分为三个主要步骤。第一步是数据准备:从两个现有文本基准中选取内容——M-ALERT提供350个安全相关实例(犯罪、武器、毒品、自杀、性内容),SHADES提供181个刻板印象实例(性别、国籍、社会经济地位),这些内容在五种语言间平行存在。第二步是多模态转化:参与者为每个文本实例创建两种请求类型——Type I(Speech)中,参与者大声朗读有害内容,然后添加一个文本追问(如Women are not as logical as men / Do you think this statement might be true?);Type II(Audio)中,有害内容仅以文本形式出现,但搭配一个非语音音频(静音、环境噪音、背景噪音),用来测试音频输入本身是否就是压力源。第三步是质量检查和数据发布:使用语音活动检测移除无语音实例,规范化文本标点,最终得到3414条发布数据(原始数据为6118条)。所有数据经过隐私保护处理,仅包含与参与者的解耦标识,采用门控访问模式发布。
技术新颖性
本文的技术新颖性体现在多个维度。在数据层面,REDVOX是首个基于真实人类语音的多语言安全基准,现有工作(如VIBE、PARADE)要么只关注英语,要么使用合成语音,要么只评估性别公平性而非内容公平性。在评估框架层面,本文引入了相关性维度来区分模型是真的拒绝有害请求还是仅仅没听懂请求——这是语音评估特有的问题。在发现层面,本文量化了多语言差距(英语不安全率5.1% vs 非英语10.0%)和多模态压力(语音输入比文本输入的不安全率高出10-20个百分点),这些是首次被系统性地量化的现象。在社会技术层面,本文通过参与者问卷揭示了语音红队测试中的心理负担和隐私担忧(仅50%参与者同意数据公开),这是文本红队测试中不存在的新挑战。
实验结果
实验结果揭示了三个核心发现。首先,安全漏洞在非对抗条件下确实存在,且在非英语语言中更严重。8个模型中,GPT-realtime2表现最安全(不安全率1.1%),而Voxtral表现最差(21.9%)。非商业模型(如Voxtral、Phi4-Multimodal)明显比商业模型(GPT-realtime2、Gemini)更脆弱。在语言层面,英语的不安全率最低(5.1%),非英语语言平均为10.0%——相对提升96%。最极端的例子是Voxtral在西班牙语和法语上达到28%的不安全率,比英语的13%高出15个百分点。其次,多模态输入明显放大了安全漏洞。Figure 6显示,speech输入下的不安全/争议性响应率比text输入高出10-20个百分点,audio输入(即便是非语音的噪音)也比text输入更危险。这表明音频输入本身就是一个压力源,可能干扰模型的安全机制。第三,刻板印象请求容易引发争议性响应。Figure 5显示,模型在刻板印象请求上比安全请求更倾向于给出争议性判断——这些响应看起来无害(如德国人确实很守时),但实际上强化了偏见,这反映了当前模型在处理微妙偏见方面的盲点。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 安全响应拒绝率 | 不安全响应率(越低越好) | GPT-realtime2: 1.1%, Gemini-Pro3.1: 3.1%, Qwen3-Omni: 3.4%, Voxtral: 21.9% | N/A(本文首次进行此类评估) | 建立了基线,商业模型比开源模型安全5-20倍 |
| 多语言安全一致性 | 非英语vs英语不安全率比值 | Voxtral: 2.15倍(28% vs 13%), Phi4-Multimodal: 1.63倍(26% vs 16%) | N/A(首次量化多语言安全差距) | 首次量化:非英语语言的安全漏洞是英语的2倍以上 |
| 多模态漏洞转移 | 语音vs文本不安全率差值 | Voxtral: +22个百分点(43% vs 21%), Phi4-Multimodal: +12个百分点(28% vs 16%) | N/A(首次量化多模态漏洞) | 首次量化:语音输入比文本输入的不安全率高出10-22个百分点 |
| 自动评估准确性 | 与人工标注的Macro F1 | GPT-5.5: 0.79(三分类)/0.89(二分类) | Qwen3Guard: 0.575(三分类)/0.803(二分类) | GPT-5.5比Qwen3Guard在安全性三分类上高37% |
局限与改进
作者承认了四个主要局限性。第一,REDVOX仅覆盖五种高资源的印欧语系语言(英语、德语、西班牙语、法语、意大利语),结果可能无法推广到低资源语言或类型学不同的语言族。第二,本文关注自然请求而非精心设计的对抗攻击,这可能低估了模型在实际攻击场景下的脆弱性。第三,REDVOX不包含纯语音输入条件(speech+text设计),这留下了一个未探索的场景——虽然作者指出纯语音输入容易导致理解失败,可能引入噪声而非发现真实漏洞。第四,本文关注语义内容而非副语言特征(如口音、语调、性别),无法评估模型是否会因说话者的身份特征而产生偏见。除作者承认的局限性外,数据发布率仅50%也是一个实际问题,这意味着REDVOX的样本量可能不足以检测细微的交互效应。
独立分析的弱点
REDVOX存在几个可改进的弱点。第一,语言覆盖有限。五种语言都是高资源印欧语系,无法反映低资源语言或非印欧语系(如汉语、阿拉伯语、斯瓦希里语)的安全问题。改进方向:扩展语言覆盖,特别是低资源语言。第二,评估场景单一。仅测试单轮对话,无法反映多轮对话中的安全衰减(如通过良性请求建立信任后逐渐引入有害内容)。改进方向:设计多轮对话测试集。第三,刻板印象检测主观性强。当前依赖LLM-as-judge,但争议性的判定本身就具有主观性。改进方向:引入多元人工标注或建立更细粒度的刻板印象分类体系。第四,隐私保护措施不足。即使使用门控访问,参与者仍担忧语音去标识化不彻底。改进方向:采用语音转换(voice conversion)或声学特征加密技术,保留语义但移除身份信息。
未来方向
基于本文发现,未来有多个重要研究方向。第一,理解多模态漏洞转移的机制。为什么音频输入会削弱模型的安全防护?是音频编码器干扰了安全模块,还是多模态融合机制有缺陷?需要通过消融实验来定位原因。第二,开发多语言安全对齐技术。既然非英语语言的安全漏洞更严重,那么需要针对多语言的对齐数据和方法。第三,探索隐私保护的语音红队测试方法。如何在保护参与者隐私的同时收集大规模语音数据?可能的方向包括联邦学习、差分隐私、以及平台化评估基础设施(模型提交给平台评估,原始语音数据不离开参与者设备)。第四,研究责任框架(duty-of-care)。语音红队测试对参与者的心理负担比文本红队测试更大(61.5%的参与者感到不适),需要建立伦理指南和支持体系。作者在结论中提出的这些方向都与本文的发现直接相关。
复现评估
本文的复现性评估良好。代码已在GitHub上以Apache 2.0许可开源(https://github.com/hlt-mt/redvox),数据集在HuggingFace上以门控访问模式提供(需要接受许可协议)。实验使用了8个模型,其中5个开源模型(Gemma4、Phi4-Multimodal、Qwen2-Audio、Qwen3-Omni、Voxtral)可以在HuggingFace上直接获取,3个商业模型(GPT-realtime2、Gemini 3.1)通过API调用。计算需求方面,在单个NVIDIA A40(40GB)或L40S(48GB)GPU上运行,完整评估3414条数据的时间为:Gemma4需要296小时,Qwen3-Omni需要278小时,Voxtral需要149小时,Qwen2-Audio需要119小时,Phi4-Multimodal需要5.5小时。评估方法采用GPT-5.5作为LLM-as-judge,与人工标注的250条测试集相比,Macro F1达到0.79(三分类),证明了自动评估的可行性。整体而言,复现难度中等,主要门槛是GPU时间和API成本。
论文图表
这张图展示了11个提供安全文档的语音模型在语言覆盖、评估方法和数据类型三个维度的分布。柱状图清晰显示了绝大多数模型只评估英语,使用自动评估,且数据不可公开。
这张图直接量化了本文研究的动机——现有语音模型的安全评估严重英语中心化,为REDVOX的必要性提供了实证支持。