本文提出一种特征对齐的语音水印方法，旨在提高水印对语音重建模型（如现有或未知的编解码器）的鲁棒性。传统音频水印在保真度与鲁棒性之间存在权衡：增加水印能量可提升鲁棒性，但会降低不可感知性。作者利用预训练语音编解码器生成伪语音水印，使其分布与原始语音特征对齐，从而允许嵌入更高能量的水印而不影响感知质量。具体地，将伪水印融合到输入音频的语谱图中，并通过VAD损失和感知损失引导水印仅嵌入在有声区域。实验表明，该方法在保持与现有技术相当不可感知性的同时，在已知和未知语音重建模型下均显著提升了鲁棒性。该研究适用于对抗深度伪造语音溯源、版权保护等场景。

本文针对深度伪造语音检测器的可解释性不足问题，提出了一种基于积分梯度（Integrated Gradients）和时间对齐自监督表示（如WavLM）的音频原生可解释性流水线。该方法能够定位检测器在时间维度上的决策证据，并语义化解释最重要的声学线索。作者将方法应用于三种基于WavLM的检测器（AASIST、CA-MHFA、SLS），并在ASVspoof 5数据集上进行分析。通过人工标注最高归因区域，发现各检测器依赖不同的线索：AASIST强调非语音/环境线索，CA-MHFA关注局部音素伪影，SLS依赖词边界和频谱完整性。进一步通过因果掩码验证，去除主要线索后检测性能显著下降，证实了归因分析的有效性。该研究为理解深度伪造语音检测器的内部机制提供了可解释性工具，有助于改进检测器的鲁棒性和可信度。

该论文对39个深度伪造语音数据集进行了系统性的数据集级审计，分析了可访问性、文档质量、人口统计与语言覆盖范围、数据集规模以及底层真实语音来源等关键属性。研究发现两个重要问题：首先，绝大多数数据集缺乏人口统计元数据（如年龄、种族、国籍等），仅有少数包含性别或语言标签，导致无法进行有意义的子组分析，公平性评估几乎不可行；其次，不同数据集之间底层真实语音语料库存在大量重叠，这种重叠会损害跨数据集评估的有效性，并可能导致泛化性能被夸大。研究揭示了当前深度伪造语音检测领域的系统性数据缺陷，强调了构建更透明、更平衡、更高质量数据集的重要性，并为未来研究方向提供了指导。适合语音安全、AI安全及公平性研究者阅读。

该论文针对自动说话人验证（ASV）中的欺骗检测问题，提出了一种参考增强训练（RAT）策略。作者首先设计了一种基于说话者参考录音的条件反欺骗架构，但在实验中发现该架构在推理时趋向于忽略参考信号，退化为无条件检测器。进一步分析表明，训练过程中引入参考通道会诱导模型学习到一种不变性表示，从而提高深度伪造检测的鲁棒性，即使在推理时参考缺失或失配的情况下也能提升性能。基于这一观察，作者提出了RAT方法：在训练阶段始终提供参考录音（即使与实际测试时的参考不同或为零向量），从而迫使模型利用参考信息学习更泛化的特征。在ASVspoof 5基准上的实验结果显示，单个检测器使用RAT后达到了2.57%的等错误率（EER）和0.074的最小检测代价函数（minDCF），超越了包括大型集成系统在内的现有最佳结果。论文的核心贡献在于揭示了参考信号在训练中的正则化作用，并提出了一种简单有效的训练策略，无需改变推理时的输入格式即可提升反欺骗性能。适合语音安全、生物特征识别领域的研究者和工程师阅读。

本文针对语音匿名化系统中个体说话人的再识别风险进行了大规模逐说话人分析。现有评估通常使用等错误率（EER）等平均指标，但这些指标可能掩盖不同个体之间再识别风险的巨大差异。作者采用基于可链接性（linkability）的度量，在最坏场景下对近5000名说话人进行评估，涵盖多种匿名化系统、攻击者架构和对话长度。研究发现，可链接性分数在说话人层面高度极化，但易于识别和难以识别的说话人集合在不同配置下差异显著。进一步分析表明，没有单一因素能够解释说话人的脆弱性，再识别风险源于攻击者、匿名化器和可用语音量之间的交互作用。这些结果挑战了“内在说话人级隐私风险”的概念，并强调评估协议必须明确基于攻击者和匿名化器进行条件设定。实验涉及多种匿名化方法（如语音转换、波形编辑）和攻击者模型（如基于x-vector的说话人识别系统），证实了隐私风险的复杂性和情境依赖性。本文的主要贡献在于：(1) 首次大规模逐说话人分析揭示隐私风险的个体差异和情境依赖性；(2) 证明平均指标不足以评估实际隐私保护效果；(3) 提出评估协议需按攻击者和匿名化器条件化的必要性。适合语音隐私研究人员、安全工程师及隐私保护技术开发者阅读。

本文针对自动语音识别（ASR）系统的对抗鲁棒性展开研究。现有对抗攻击直接在波形域添加噪声，存在两个主要局限：一是对黑盒ASR系统的迁移性差，二是易被专门防御波形扰动的机制缓解。为此，作者提出了一种基于代理模型的Clean-Referenced Feature-Vocoder Attack（CR-FVA），将对抗扰动空间从原始波形转移到自监督学习（SSL）表示空间。具体而言，攻击者首先在代理ASR模型（如Whisper-small）的SSL特征层上计算对抗梯度，并扰动更具泛化性的声学-音素表示，从而减少对代理模型特定波形梯度的依赖，提升跨系统迁移性；然后利用声码器（vocoder）将扰动后的SSL特征重构为类语音波形信号，使得最终对抗样本看起来更像自然语音，从而绕过基于波形边界的防御。实验表明，仅以公开的Whisper-small为代理模型，CR-FVA在多个黑盒ASR模型上实现了相对最佳基线平均+26.6%的词错误率（WER）提升；针对多种训练防御（如对抗训练、频谱压缩等），WER提升幅度达+36.2%。该研究揭示了当前ASR鲁棒性评估中的一个盲区：大多数防御仅关注波形域扰动，而基于更高层特征的攻击能轻易绕过。本文工作适合ASR安全研究者、对抗机器学习从业者以及语音系统防御工程师阅读，有助于理解现有防御的不足并设计更全面的鲁棒性评估方案。

随着AI生成音频的普及，水印技术被广泛用于检测滥用和保护知识产权。然而，攻击者可能试图移除这些水印，因此评估水印方案对移除攻击的鲁棒性至关重要。现有攻击方法往往不切实际：要么明显降低感知质量，要么需要访问水印方案的具体细节。本文提出DiffErase，一种黑盒水印移除攻击方法，它假设攻击者不了解目标水印方案，同时保持感知质量。DiffErase将带水印的音频扰动到中间扩散噪声水平，然后使用预训练的降噪模型重新生成，从而有效抑制水印信号。理论分析和大量实验表明，不可听的音频水印非常脆弱：在多个音频域中，DiffErase在保持感知质量的同时持续移除水印。这些发现突显了未来音频水印设计需要考虑基于扩散模型的威胁。代码和演示可在 https://differase.github.io/DiffErase/ 获取。

该论文针对网络语音流隐写分析（steganalysis）中现有方法对非同源数据分布适应性差的问题展开研究。作者通过Hessian分析发现，主流模型的损失景观被大量鞍点和尖锐局部极小值主导，导致模型对数据分布偏移高度敏感，从而严重限制了泛化能力。为此，论文提出了一种新的优化器——领域感知锐度最小化（Domain-Aware Sharpness Minimization, DASM）。DASM的核心机制包含两个方面：首先，它将领域监督对比学习与锐度感知优化相结合，在寻找平坦极小值的同时显式保持领域间的特征分离；其次，设计了一种自适应领域差距调制策略，通过感知各领域的实时特征可分性来动态校准优化损失权重。大量实验结果表明，DASM大幅超越了现有最先进方法，并展现出优异的泛化能力和鲁棒性。该研究为多域隐写分析提供了新的优化视角，适合网络语音安全检测领域的研究人员和工程师阅读。

本文提出了一种针对大型音频语言模型（LALMs）的新型越狱攻击范式，称为声学干扰攻击（AIA）。传统方法通常将音频作为恶意负载的载体，通过语义优化、声学参数控制或添加扰动来嵌入有害内容。而本文作者发现，LALM的安全对齐可以被特定的声学潜在语义（ALS）所破坏，这些ALS是音频生成模型先验中固有的副语言特征，而与音频的内容无关。AIA利用一组通用的、指令无关的干扰音频，这些音频内容良性但注入了特定的ALS，作为通用越狱触发器，使标准恶意文本查询能够绕过安全对齐，无需针对具体实例进行优化。实验在10个LALM和5个数据集上进行，AIA达到了最先进的攻击成功率。可解释性分析揭示了AIA导致的推理路径偏移，并识别了ALS中的固有有效模式，揭示了LALM跨模态对齐的根本脆弱性。该研究适合AI安全研究人员、LALM开发者及安全防御者阅读。

该论文针对现有语音毒性检测研究中普遍忽略副语言线索（如情感、语调、语速）的问题，提出了一套全新的解决方案。首先，作者构建了ToxiAlert-Bench，一个大规模音频数据集，包含超过30,000个音频片段，标注了7个主要毒性类别和20个细粒度毒性标签。该数据集独特之处在于标注了毒性来源——区分文本内容和副语言起源，从而支持全面的毒性语音分析。其次，论文提出了一种针对毒性语音检测的双头神经网络架构，配备多阶段训练策略。该架构包含两个任务特定分类头：一个用于识别敏感性来源（文本或副语言），另一个用于分类具体毒性类型。训练过程采用独立的头部训练后联合微调，以减少任务干扰。为缓解数据类别不平衡，引入了类别平衡采样和加权损失函数。实验结果表明，融合副语言特征显著提升了检测性能。该方法在多个评估指标上持续优于现有基线，与最强基线相比，Macro-F1分数相对提升21.1%，准确率相对提升13.0%，凸显了其增强的有效性和实际应用潜力。

本文针对音频语言模型（ALM）的越狱攻击展开研究。现有的越狱攻击通常在整个音频波形上密集地优化扰动，以诱使ALM生成不安全的内容。作者首先通过分析ALM中token对齐梯度的结构，发现梯度能量在音频token上高度不均匀，即只有少量token对应的音频区域主导了优化信号。基于这一观察，提出了Token-Aware梯度优化（TAGO）方法，该方法在每次迭代中仅保留与高梯度能量音频token对齐的波形梯度，而屏蔽其余梯度，从而实现稀疏越狱优化。在三个ALM（包括Qwen3-Omni）上的实验表明，TAGO在显著稀疏化（如token保留率0.25）时仍能保持较高的攻击成功率（例如Qwen3-Omni上ASR_l为86%，而完全保留token时为87%），证明了密集波形更新在很大程度上是冗余的。该工作揭示了token级别异质梯度结构，为未来ALM越狱和安全对齐研究提供了新方向，并建议防御者关注此类稀疏攻击的潜在威胁。

该论文针对键盘声学侧信道攻击（ASCA）中存在的数据集规模小、用户/键盘/环境多样性不足等问题，提出了一个全新的多维度数据集HEAR，涵盖53名参与者使用37种笔记本电脑键盘的录音，包括三种采集场景：外接麦克风、设备内置麦克风（无网络噪声）以及基于VoIP的流式传输。基于HEAR，论文建立了ASCA基准测试，评估了传统特征和预训练表征（包括单模态和多模态）。为解决跨键盘泛化问题，作者提出了DECKER框架，通过键盘签名归一化、域对抗解耦、跨键盘对比对齐和声学风格随机化四个阶段学习域不变嵌入，并利用基于LLM的后处理层进行句子级推理以增强识别。实验表明，DECKER在跨键盘和跨用户场景下显著提升了击键识别准确率，语言模型校正进一步带来增益。研究结果证实ASCA在多样化用户、设备和噪声环境中仍具有实际威胁。