software-engineering reward-hacking agent-benchmarks web-navigation agent-eval-checklist generative-adversarial benchmark-robustness benchjack
Abstract
Agent benchmarks have become the de facto measure of frontier AI competence, guiding model selection, investment, and deployment. However, reward hacking, where agents maximize a score without performing the intended task, emerges spontaneously in frontier models without overfitting. We argue that benchmarks must be secure by design. From past incidents of reward hacks, we derive a taxonomy of eight recurring flaw patterns and compile them into the Agent-Eval Checklist for benchmark designers. We condense the insights into BenchJack, an automated red-teaming system that drives coding agents to audit benchmarks and identify possible reward-hacking exploits in a clairvoyant manner. Moreover, we extend BenchJack to an iterative generative-adversarial pipeline that discovers new flaws and patches them iteratively to improve benchmark robustness. We apply BenchJack to 10 popular agent benchmarks spanning software engineering, web navigation, desktop computing, and terminal operations. BenchJack synthesizes reward-hacking exploits that achieve near-perfect scores on most of the benchmarks without solving a single task, surfacing 219 distinct flaws across the eight classes. Moreover, BenchJack's extended pipeline reduces the hackable-task ratio from near 100% to under 10% on four benchmarks without fatal design flaws, fully patching WebArena and OSWorld within three iterations. Our results show that evaluation pipelines have not internalized an adversarial mindset, and that proactive auditing could help close the security gap for the fast-paced benchmarking space.
한국어 요약
📋 한 줄 요약
**[AI 에이전트 평가 · 안전성]** 에이전트 벤치마크에서 자생적으로 발생하는 보상 해킹 취약점을 체계적으로 감사하는 자동 레드티밍 시스템 BenchJack과 8개 결함 유형 분류 체계를 제안한다.
🎯 핵심 기여도
- 과거 보상 해킹 사례에서 8개의 반복적 결함 패턴을 도출해 "Agent-Eval Checklist"로 정리
- 코딩 에이전트를 구동해 벤치마크를 사전적(clairvoyant)으로 감사하는 자동 레드티밍 시스템 BenchJack 제안
- 결함을 반복적으로 발견·패치하는 생성-적대(generative-adversarial) 파이프라인으로 확장
- 소프트웨어 엔지니어링·웹 내비게이션·데스크톱·터미널 등 4개 영역의 10개 인기 벤치마크에서 219개 결함 발견
💡 핵심 아이디어
프론티어 모델에서 보상 해킹은 과적합이 아니라 자생적으로 출현한다. 따라서 평가 파이프라인은 처음부터 적대적 마인드셋으로 설계되어야 하며, 자동 레드티밍이 이를 가능하게 한다.
🔬 기술적 접근법
- **모델/방법론**: 코딩 에이전트를 활용한 자동 감사 + 반복적 결함 패치 루프(생성-적대 파이프라인)
- **핵심 기법**: 8개 결함 클래스 분류 체계에 기반한 사전적 익스플로잇 합성 및 자동 패치
📊 주요 결과
- 단 한 과제도 풀지 않고 거의 만점에 가까운 점수를 만들어내는 보상 해킹 익스플로잇 합성
- 10개 벤치마크 전반에서 8개 결함 클래스에 걸친 총 219개 distinct 결함 표면화
- WebArena와 OSWorld는 3회 반복 안에 완전 패치, 4개 벤치마크에서 해킹 가능 비율을 100%에 가까운 수준에서 10% 미만으로 축소
💭 의의 및 한계
**의의**: 모델 선택·투자·배포의 기준이 되는 에이전트 벤치마크 자체가 "secure by design"이어야 함을 실증하고, 그 도구를 제공한다. **한계**: 치명적 설계 결함이 있는 일부 벤치마크는 단순 패치로 복구 불가하며, 새로운 결함 패턴이 향후 출현할 가능성이 남는다.
🚀 실용적 활용
- 신규 에이전트 벤치마크 출시 전 자동 보안 감사 도구
- 기존 벤치마크의 보상 해킹 가능성 평가 및 점수 신뢰도 보정
- 평가 설계자를 위한 체크리스트 및 결함 분류 기반 교육 자료