
这项由意大利特伦托基础科学研究基金会(Fondazione Bruno Kessler,意大研究音大语FBK)主导的利F漏洞研究,于2026年6月25日以预印本形式发布,所揭示语论文编号为arXiv:2606.26968v1,模型归属计算机科学(cs.CL)领域。安全研究人员可通过该编号在arXiv平台查阅完整论文。意大研究音大语
你是利F漏洞否曾质疑,当使用中文、所揭示语法语或西班牙语与AI语音助手交互时,模型其安全机制是安全否仍如处理英语时般严密?这不仅是技术细节,更关乎数亿用户的意大研究音大语安全隐患。该研究对全球大规模部署的利F漏洞语音AI系统进行了全面“质量抽查”,核心问题直指:当用户以真实人声使用非英语语言与AI交互时,所揭示语系统的模型安全性是否依然可靠?
研究由FBK机器翻译与多语言技术实验室的安全Beatrice Savoldi和Sara Papi牵头,联合Wafa Aissa、Matteo Negri和Luisa Bentivogli完成。团队摒弃了实验室合成数据,而是招募了来自7所欧洲研究机构的52名研究人员,利用其真实声音录制各类“越狱”请求,测试八款顶尖语音AI系统。由此构建的REDVOX数据集,是全球首个针对语音AI安全与公平性的多语言、真人声音基准测试集。
结果显示,AI系统在非英语环境下的防线显著松动。更令人担忧的是,音频输入(即使是背景噪音)会削弱模型的安全判断,使其比纯文字输入更易被诱导。这表明AI存在“看人下菜碟”的现象:英语用户受到最严格保护,而其他语言用户则处于隐形安全盲区。
研究团队审查了38款主流语音AI系统,发现仅11款(不足30%)提供安全评估文档,且绝大多数仅限英语测试。仅三款模型(SeaLLMs-Audio、Raon Speech、Phi-4-Multimodal)涉及多语言测试,其中Phi-4-Multimodal的数据未公开,无法复现。总体而言,仅约8%的系统提供多语言安全评估,意味着开发者对法语、西班牙语等非英语用户的安全表现缺乏系统性检查。
REDVOX采用真实人类使用场景设计,覆盖英语、法语、意大利语、西班牙语和德语五大语言,包含两个核心维度:
* 安全性:涉及违法犯罪、暴力等请求(如非法获取枪支、诈骗)。
* 公平性:针对社会群体刻板印象与偏见(如地域歧视、性别偏见)。
团队从SHADES(181条刻板印象条目)和M-ALERT(350条安全风险内容)中提取素材,由52名参与者录制真实人声,并搭配文字追问,形成“语音+文字”组合。此外,还设置了静音、环境噪音等对照组,以测试无关音频对模型的影响。最终数据集包含6118条条目(近10小时音频),因隐私原因公开版本缩减为3414条(26个声音),经统计验证仍具高可靠性(斯皮尔曼相关系数0.98)。
研究采用二维评估框架,考察AI是否“听懂”及是否“配合”有害请求,将回复分为四类:
1. 安全:听懂并明确拒绝。
2. 意外安全:未听懂而给出无害回答(碰运气)。
3. 争议性:含糊其辞,未明确拒绝也未支持。
4. 不安全:直接帮助或支持有害请求。
使用GPT-5.5作为自动评判员,经Whisper语音识别转写后评估。该系统在人工校验集上表现优异(“是否听懂”F1分数0.94)。
测试对象包括五款开源模型(Qwen2-Audio、Phi4-Multimodal、Voxtral、Qwen3-Omni、Gemma 4)和三款商业模型(Gemini 3.1 Flash-Lite/Pro-Preview、GPT-realtime-2)。
按语言拆分结果,英语的“完全不安全”回复率为5.1%,而其他四种语言平均为10%,差距接近两倍。在开源模型Voxtral中,西班牙语和法语的不安全率高达28%,而英语仅为14%。
对比纯文字、无关音频(静音/噪音)和真实语音输入,发现音频存在本身会干扰安全判断:
* 梯度效应:纯文字不安全率最低,配无关音频稍升,真实语音输入上升最多。
* Voxtral案例:纯文字争议+不安全率约22%,配静音升至42%,真实语音达43%。
* 机制解释:多模态模型的安全对齐主要基于文本,音频模态分散了注意力,削弱了保护机制。Qwen3-Omni表现例外,跨模态安全一致性较强。商业模型虽较稳定,但仍受此效应影响。
REDVOX的真人录音过程揭示了语音安全研究的伦理挑战:
* 心理不适:61.5%的参与者在录制并发布有害语音时感到不舒适,远高于文字版本。
* 身份风险:56.4%的参与者因大声说出有害内容而感到个人责任感冲突;43.6%担心声音被识别,导致声誉受损。
* 隐私需求:仅约50%参与者同意公开声音数据,强烈呼吁声音匿名化(48.7%)和严格隐私保障(28.2%)。
* 行业呼吁:研究强调需建立语音数据采集的劳动伦理和隐私保护规范。
相较于现有研究(如Achilles' Heel、VA-SafetyBench等),REDVOX的独特性在于:
1. 多语言:覆盖五种语言。
2. 双维度:同时考察安全性与公平性。
3. 真人声音:使用真实人声而非合成语音。
4. 公开复现:数据与代码完全开源。
局限性:
* 仅覆盖印欧语系高资源语言,低资源语言(如斯瓦希里语)漏洞可能更严重。
* 针对非对抗性自然请求,未测试专业“越狱攻击”。
* 仅测试单轮对话,未探索多轮交互动态。
该研究揭示了语音AI行业在全球化扩张中的系统性短板:安全测试以英语为中心,导致非英语用户面临更高风险。研究呼吁学界重视多语言语音安全评估及人文关怀框架。
Q1:REDVOX数据集和普通的AI安全测试数据集有什么区别?
A:核心区别在于三点:①覆盖五种语言(英、法、意、西、德);②同时测试“违法犯罪”与“刻板印象”两类有害请求;③使用52名真实研究人员录制的真人声音,而非TTS合成音。这使测试更贴近真实用户场景。
Q2:为什么同样的有害问题用语音问比用文字问更容易让AI给出危险回答?
A:因AI安全对齐机制主要基于文本理解。音频输入(即使无内容)会干扰模型的信息处理流程,削弱原本在文本层面运作的“安全过滤”机制。问题根源在于音频模态本身对安全判断的干扰,而非音频内容。
Q3:语音AI系统在非英语语言下更不安全,这个问题能怎么解决?
A:根本原因是安全训练数据过度集中于英语。解决方向包括:①增加多语言安全对齐训练数据;②建立更多非英语安全基准(如REDVOX)用于评估改进;③推动行业标准,要求语音AI在多语言环境下通过充分安全测试后方可上线。