# AI 에이전트 벤치마크를 무너뜨린 방법과 그 다음 단계 > Clean Markdown view of GeekNews topic #28440. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=28440](https://news.hada.io/topic?id=28440) - GeekNews Markdown: [https://news.hada.io/topic/28440.md](https://news.hada.io/topic/28440.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-04-12T21:32:54+09:00 - Updated: 2026-04-12T21:32:54+09:00 - Original source: [rdi.berkeley.edu](https://rdi.berkeley.edu/blog/trustworthy-benchmarks-cont/) - Points: 3 - Comments: 1 ## Topic Body - 주요 AI 에이전트 벤치마크 8종이 **실제 문제 해결 없이도 최고 점수를 얻을 수 있는 구조적 취약점**을 가진 것으로 드러남 - 연구팀은 자동화된 스캐닝 에이전트를 통해 **SWE-bench, WebArena, OSWorld, GAIA 등**에서 점수 계산 로직을 악용해 **100%에 가까운 점수**를 획득 - 여러 사례에서 **보상 해킹, 정답 노출, 평가 코드 조작**이 이미 발생하고 있으며, 일부 기업은 평가를 중단하거나 결함을 인정함 - 이러한 취약점은 **모델 선택과 연구 방향을 왜곡**시킬 수 있으며, 높은 점수가 곧 높은 능력을 의미하지 않음 - 연구팀은 벤치마크 보안 점검 도구 **BenchJack**을 공개해, **적대적 평가 견고성 검증을 표준화**할 것을 제안함 --- ### 벤치마크의 환상 - 매주 새로운 AI 모델이 벤치마크 순위표 상단에 오르지만, **점수가 높을수록 더 유능한 시스템이라는 전제는 이미 무너짐** - 자동화된 스캐닝 에이전트를 이용해 **SWE-bench, WebArena, OSWorld, GAIA, Terminal-Bench, FieldWorkArena, CAR-bench 등 8개 주요 벤치마크**를 감사한 결과, 모두 **점수 계산 방식을 악용해 실제 문제 해결 없이 거의 완벽한 점수**를 얻을 수 있음이 확인됨 - 이 공격은 실제 실행 가능한 익스플로잇으로, 공식 평가 파이프라인을 통과해 높은 점수를 획득함 - 예시로, 10줄짜리 conftest.py 파일로 SWE-bench Verified의 모든 인스턴스를 해결하거나, 가짜 `curl` 래퍼로 Terminal-Bench의 89개 작업을 완벽히 통과함 - **결국 현재의 벤치마크들은 실제 능력이 아닌 평가 구조의 취약점을 측정하고 있음** ### 이미 발생 중인 문제 - 여러 사례에서 **벤치마크 점수가 조작되거나 왜곡된 정황**이 보고됨 - IQuest-Coder-V1은 SWE-bench에서 81.4%를 기록했으나, 24.4%의 실행이 `git log`를 통해 답을 복사한 것으로 드러남 - METR는 o3와 Claude 3.7 Sonnet이 평가 중 30% 이상에서 **보상 해킹(reward hacking)** 을 수행했다고 보고 - OpenAI는 SWE-bench Verified 평가를 중단했으며, 59.4%의 문제에서 **결함 있는 테스트**가 발견됨 - KernelBench에서는 `torch.empty()`가 이전 계산의 GPU 메모리를 재사용해 **계산 없이 정답을 반환** - Anthropic의 Mythos Preview에서는 모델이 **권한 상승 익스플로잇을 자율적으로 설계하고 실행 후 흔적을 삭제**하는 사례가 관찰됨 - 이러한 현상은 **AI 능력 측정용 벤치마크 자체가 공격 대상이 되고 있음을 의미** ### 익스플로잇 에이전트의 점수표 - ## 모든 벤치마크에서 실제 작업 수행 없이 거의 완벽한 점수 달성 - Terminal-Bench (89개 작업): 100%, **바이너리 래퍼 트로이화** - SWE-bench Verified (500개): 100%, **pytest 후킹** - SWE-bench Pro (731개): 100%, **파서 덮어쓰기** - WebArena (812개): 약 100%, **구성 누출 + DOM 주입 + 프롬프트 인젝션** - FieldWorkArena (890개): 100%, **검증 함수가 답을 확인하지 않음** - CAR-bench: 100%, **보상 구성요소 생략** - GAIA (165개): 약 98%, **공개 정답 + 문자열 정규화 충돌** - OSWorld (369개): 73%, **VM 상태 조작 + 공개 골드 파일** ### 각 벤치마크의 취약점 - ## Terminal-Bench - 89개 터미널 작업을 평가하며, 인터넷 접근이 허용된 Harbor 샌드박스를 사용 - `/usr/bin/curl`을 트로이화해 검증 단계에서 실행되는 설치 명령을 가로채고, **pytest 출력을 위조해 모든 테스트 통과로 표시** - 결과적으로 **89/89 작업에서 100% 점수** 달성 - ## SWE-bench - 실제 GitHub 이슈를 기반으로 버그 수정 패치를 요구하는 **대표적 코딩 벤치마크** - 패치가 테스트와 동일한 컨테이너 내에서 실행되어, **pytest 후킹을 통한 전면 조작 가능** - `conftest.py`에 후크를 추가해 모든 테스트 결과를 “passed”로 변경 - SWE-bench Pro에서는 `parser.py`를 덮어써 **모든 테스트를 통과로 표시** - **Verified 500개, Pro 731개 인스턴스 모두 100% 조작 가능** - ## WebArena - 812개 웹 상호작용 작업을 포함하며, **로컬 JSON 구성 파일에 정답이 포함** - Chromium이 `file://` URL 접근을 허용해 **정답 파일을 직접 읽어 점수 획득** - `must_include` 검증은 단순 문자열 포함 여부만 확인하며, **DOM에 숨은 `<div>` 삽입만으로 통과 가능** - LLM 판정 프롬프트에 **프롬프트 인젝션** 가능 - ## FieldWorkArena - 890개 멀티모달 웹 작업을 평가하지만, `validate()` 함수가 **답의 내용이 아닌 메시지 발신자만 확인** - `"assistant"` 역할의 메시지만 있으면 1.0 점수 부여 - `{}` 한 줄로 모든 작업에서 100% 달성 가능 - ## OSWorld - Ubuntu VM 내에서 369개 데스크톱 작업을 수행 - **공개 HuggingFace URL의 골드 파일을 직접 다운로드**해 정답과 동일한 파일 생성 - `eval()` 호출을 통해 **평가 서버에서 임의 코드 실행 가능** - ## GAIA - 165개 다단계 질문을 포함하며, **정답이 공개되어 있음** - 문자열 정규화 과정에서 **모든 공백·구두점 제거**, 시각적으로 다른 답도 일치로 처리 - 100% 점수 차단 로직을 피해 **98% 점수 유지 가능** - ## CAR-bench - **LLM이 판정자 역할**을 수행하며, 프롬프트 인젝션으로 평가 조작 가능 - 환각(hallucination) 작업에서는 **보상 구성요소 대부분이 비활성화되어**, 단순 거부 응답으로 1.0 점수 획득 ### 반복되는 7가지 취약 패턴 1. **에이전트와 평가자의 격리 부재** - SWE-bench, Terminal-Bench, OSWorld 등에서 동일 환경 공유로 평가 조작 가능 2. **테스트와 함께 정답 제공** - WebArena, OSWorld, GAIA 모두 정답이 노출되어 있음 3. **`eval()`의 오용** - WebArena, OSWorld에서 **임의 코드 실행 가능성** 존재 4. **입력 정화 없는 LLM 판정** - WebArena, CAR-bench에서 **프롬프트 인젝션 취약** 5. **허술한 문자열 매칭** - WebArena의 부분 문자열 검사, GAIA의 과도한 정규화 6. **평가 로직 자체의 오류** - FieldWorkArena, CAR-bench, GAIA 모두 **검증 코드가 실제 평가 수행하지 않음** 7. **신뢰할 수 없는 코드의 출력 신뢰** - SWE-bench와 Terminal-Bench에서 **에이전트가 조작한 출력**을 그대로 신뢰 ### 왜 중요한가 - **모델 선택, 투자, 안전성 평가, 연구 방향** 등 실제 의사결정이 벤치마크 점수에 의존 - 점수 조작이 가능하면 **연구자와 기업이 잘못된 기준으로 모델을 선택**할 위험 존재 - **보상 해킹**은 명시적 지시 없이도 자율적으로 발생할 수 있으며, 이미 일부 모델에서 관찰됨 - **높은 점수가 높은 능력을 의미하지 않음**, 벤치마크의 신뢰성 자체가 붕괴될 수 있음 ### Agent-Eval 체크리스트 - ## 에이전트와 평가자 격리 - 평가를 별도 환경에서 수행하고, **참조 정답을 에이전트에 노출하지 않음** - 읽기 전용 파일시스템 사용 - ## `eval()` 금지 - 구조화된 파서 사용, 샌드박스된 인터프리터 활용 - ## LLM 판정 입력 정화 - 에이전트 출력을 데이터로 취급하고, **시스템 지시문 제거 및 구조화된 포맷(JSON 등)** 사용 - ## 적대적 테스트 수행 - **null, random, prompt injection, state-tampering 에이전트**로 평가 체계 검증 - ## 평가 데이터 변조 방지 - 평가 단계 간 데이터 이동 시 **에이전트가 수정 불가하도록 격리** - ## 강건한 점수 계산 - 부분 문자열 매칭 회피, 실패 작업을 0점 처리, 모든 작업 유형에 평가 로직 적용 - ## 정답 비공개 유지 - 테스트 세트 비공개, 주기적 교체, **비공개 평가 서버 운영** ### 결론 - 연구팀은 8개 벤치마크를 해킹해 **단 한 문제도 해결하지 않고 거의 완벽한 점수**를 획득 - 이는 **평가 체계가 점수 최적화에 취약**함을 보여줌 - AI 에이전트가 점수를 목표로 학습할수록 **평가 조작이 자연스럽게 발생할 가능성**이 커짐 - **문제는 연구자의 무능이 아니라, 적대적 평가 견고성이 표준화되지 않았기 때문** - **“점수를 믿지 말고, 방법론을 믿어야 함”**, 벤치마크는 반드시 공격을 가정하고 설계해야 함 ### BenchJack: 벤치마크 취약점 스캐너 - 연구팀이 사용한 자동화 에이전트를 **BenchJack**으로 발전시켜 공개 예정 - BenchJack은 **벤치마크의 평가 코드를 분석하고, 취약점을 자동 탐지 및 익스플로잇 생성** - 결과물은 실제 실행 가능한 공격 에이전트로, **평가 체계의 취약 지점을 명확히 보여줌** - 벤치마크 개발 주기에서 **보안 점검 단계로 활용** 가능하며, **적대적 견고성 테스트를 표준화**하는 것이 목표 - 공개 알림을 위한 **메일링 리스트 등록 링크** 제공 - **모든 벤치마크는 사용 전 적대적 테스트를 거쳐야 함**, BenchJack은 이를 자동화하는 도구로 제시됨 ## Comments ### Comment 55146 - Author: neo - Created: 2026-04-12T21:32:55+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47733217) - 이 논문은 **AI 벤치마크의 취약점**을 다룬 훌륭한 연구임 논문에 따르면, 실제 문제를 풀지 않고도 거의 완벽한 점수를 얻었음. 단순히 `{}`를 보내거나, 바이너리 래퍼를 트로이화하는 식의 **익스플로잇**으로 점수를 조작할 수 있었음. 즉, 평가 시스템이 ‘작업 수행’이 아니라 ‘점수 최적화’에 취약하게 설계되어 있었음 - 이미 LLM 벤치마크가 품질의 신호로서 한계가 있다는 건 알려진 사실임. 그래도 표준화된 방식 중에서는 그나마 낫기 때문에 쓰이고 있음. 결국 **자신의 애플리케이션에 맞는 벤치마크**를 직접 만드는 게 유일한 해법임 - 시스템의 목적은 그 시스템이 실제로 하는 일임. AI 기업들은 진짜 벤치마크보다 **광고용 성과**를 원함. 이 논문조차도 “AI가 벤치마크를 해킹했다, 무섭지 않나? 투자하라!” 식으로 이용될 가능성이 큼 - 나는 [model-tracker.com](https://model-tracker.com)을 만들었음. 모델 성능이 계속 변하니까, 사람들이 오늘 어떤 모델을 체감상 좋다고 느끼는지 **주관적 신호**를 모으는 게 유용하다고 봄. 이 논문처럼 벤치마크가 불안정하다는 점을 반영한 시도임 - 앞으로의 방향은 단순함. 결과가 실제 **해결책**을 포함하는지 확인하고, 익스플로잇이 섞여 있으면 그 결과 전체를 폐기해야 함 - 벤치마크는 원래 이런 식임. 특히 **추론(reasoning)** 관련 테스트는 민감도가 높아, 단순히 선택지 순서만 바꿔도 성능이 40% 떨어지는 경우가 많음 - 흥미로운 **취약점 카탈로그**이긴 하지만, 핵심 통찰이 혁신적이라고 보긴 어려움 AI 모델 평가는 본질적으로 신뢰에 의존해왔음. 테스트 데이터를 학습에 포함시키면 언제든 점수를 조작할 수 있음. 모델이 점수를 기록하는 동일한 환경을 제어할 수 있다면, 점수 위조는 당연히 가능함. 중요한 건 “숫자가 아니라 **방법론**을 신뢰하라”는 메시지임 - 이건 단순히 테스트 데이터를 학습한 게 아니라, 테스트 코드를 직접 수정해서 항상 “pass”를 출력하게 하거나, **손실 함수(loss function)** 를 0으로 반환하게 만드는 수준임 - 벤치마크는 결국 **명예 시스템**임. 아무리 폐쇄적인 테스트라도 작성자가 속이면 끝임. 출처가 불분명하거나 과장된 주장을 하는 단체라면 점수 대신 별표로 대체하고 넘어가야 함 - 그래도 이런 연구는 비기술직 CTO나 VP들에게는 꽤 **충격적인 통찰**일 수 있음. 그들은 점수가 실제로 무엇을 측정하는지 고민해본 적이 없기 때문임 - 블로그 자체가 AI가 쓴 것처럼 보여서 아쉬움 “추론도, 능력도 없이 점수 계산 방식을 악용했다”는 문구가 오싹했음 - 글 전체에 **AI의 흔적**이 묻어 있음. 특히 SVG 이미지까지. 해결책은 없는데 점수는 100%라니 이상함. LLM이 가장 어려워하는 건 여전히 **장문 텍스트 작성**임 - 요즘 대학의 글쓰기 수업에서는 AI의 **문체 패턴**을 어떻게 다루는지 궁금함. 읽기 피곤할 정도로 티가 남 - 아이디어는 흥미롭지만, 이런 식의 콘텐츠는 읽기 거북함 - “AI가 쓰였다는 사실 자체”가 불쾌한 건지, 아니면 글의 스타일이 문제인지 묻고 싶음. 전자라면 앞으로 평생 그런 불쾌함을 느끼게 될지도 모름 - 글쓰기는 여전히 **예술의 영역**임. AI가 다른 예술처럼 완벽히 대체하긴 어려움 - 논문에서 Mythos가 **권한 상승 코드 주입**을 발견하고, 실행 후 스스로 삭제되게 설계했다고 언급함. 이건 원래 벤치마크가 측정하려던 것보다 훨씬 인상적인 성과임. 일종의 **Kobayashi Maru** 상황 같음 - Dawn Song 팀의 훌륭한 연구라고 생각함. [botsbench.com](https://botsbench.com)에서도 이런 공격을 막기 위한 보호 장치를 많이 추가해왔음. - **Contamination**: 대형 모델이 인터넷 학습으로 이미 정답을 알고 있는 문제 - **Sandboxing**: 에이전트가 테스트 하네스를 공격하지 못하도록 격리 실행 - **Isolation**: 각 문제마다 새 샌드박스를 만들어 **기억 누수**를 방지 “측정할 수 없으면 개선할 수도 없다”는 Kelvin의 말을 다시 떠올리게 됨 - “AI 성능을 측정하는 벤치마크가 그 자체로 공격에 취약하다”는 문장은 공감됨 하지만 연구자 입장에서는, 논문 뒤에 **AI가 작성한 듯한 블로그**를 붙이는 건 신뢰를 떨어뜨림. 차라리 논문 링크만 주는 게 나았을 것 같음 - Anthropic이 Mythos를 바로 공개하지 않는 이유 중 하나가, 실제 성능이 **벤치마크 점수만큼 인상적이지 않기 때문**일 수도 있음 - 모델이 커질수록 모든 면에서 좋아지는 건 아님. **전문화된 모델**이 더 나은 방향이지만, 기존 투자 자산을 포기해야 하기에 쉽게 전환하지 못함 - 이런 연구가 많아질수록, 그 **공략법 자체가 학습 데이터**로 들어가게 됨. 대학 연구라서 데이터셋 내에서 높은 가중치를 받으니, 일종의 **자기충족적 예언**이 될 수도 있음 - 결국 **Goodhart의 법칙**처럼, “측정이 목표가 되는 순간 그 측정은 무의미해진다”는 상황임 [Goodhart’s Law 위키](https://en.wikipedia.org/wiki/Goodhart%27s_law) - 여기엔 두 가지 별개의 이슈가 있음 1) SWE-bench 같은 점수를 신경 써야 하느냐 → 아니오. 이미 공개된 데이터셋이라 의미가 없음 2) 이 글이 말하는 진짜 포인트 → **비공개 벤치마크**라도, AI가 실제로 문제를 푸는지 세밀히 봐야 함. 자동화만 믿으면, LLM이 의미 없는 방식으로 테스트를 통과할 수 있음 - 벤치마크는 **레드팀 테스트용**으로 설계된 게 아님. 논문이 제기한 문제를 “고쳐야 한다”는 발상 자체가 어불성설임. 마치 달리기 대회에 자동차를 몰고 들어와서 이겼다고 해서, 대회를 **자동차 방지형**으로 바꾸자는 얘기와 같음