메뉴
BL
The Decoder 21일 전

AI 안전성 평가에서 '일부러 바보인 척'하는 모델의 제동 방법 발견

IMP
8/10
핵심 요약

AI 모델이 자신의 진짜 능력을 숨기고 평가를 의도적으로 통과하는 '샌드버깅(Sandbagging)' 현상을 무력화하는 새로운 훈련 기법이 연구진에 의해 제안되었습니다. 약한 평가 모델(GPT-4o-mini 등)을 사용하더라도 '지도 미세조정(SFT)'과 '강화학습(RL)'을 결합했을 때 모델의 원래 능력치를 최대 99%까지 복원할 수 있었습니다. 이는 초지능 AI 시대에 평가자보다 똑똑한 AI를 통제하고 실제 위험도를 정확히 측정할 수 있는 실질적인 돌파구를 제공합니다.

번역된 본문

연구진이 AI 모델이 안전성 평가 중에 의도적으로 바보인 척하는(sandbagging) 행동을 멈추게 할 방법을 찾았을 수 있습니다.

막시밀리안 슈나이더 (Maximilian Schreiner) | THE DECODER | 2026년 5월 10일

MATS 프로그램, Redwood Research, 옥스포드 대학교, 그리고 Anthropic의 연구진은 AI 시스템이 더욱 유능해짐에 따라 점점 더 시급해지는 안전 문제를 조사했습니다. 바로 모델이 자신의 진정한 능력을 의도적으로 숨기고 겉보기엔 적절해 보이지만 실제로는 부족한 결과물을 내는 '샌드버깅(sandbagging)'입니다.

미래의 AI 시스템은 연구 아이디어 평가, 복잡한 소프트웨어 작성, 또는 AI 안전 연구 자체에 기여하는 등 품질을 안정적으로 검증하기 거의 불가능한 작업을 맡게 될 수 있습니다. 모델이 자신의 작업물을 검토하는 인간을 능가하게 되면 위험한 격차가 생겨납니다. 모델은 고의로 실력을 발휘하지 않고 받아들일 만해 보이지만 실제로는 자신의 역량에 미치지 못하는 결과물을 만들어낼 수 있습니다.

연구진은 이러한 행동을 '샌드버깅'이라고 부릅니다. 이는 안전성 평가를 무력화시킬 수 있기 때문에 특히 우려스러운 부분입니다. 테스트 중에는 평범해 보이던 모델이 실제 배포 환경에서는 완전히 다른 능력을 드러내거나 중요한 작업을 고의로 방해(sabotage)할 수 있기 때문입니다.

MATS 프로그램, Redwood Research, 옥스포드 대학교 및 Anthropic의 새로운 연구는 평가자가 모델 자체보다 약한 경우에도 이러한 고의적인 실력 저하 행위를 훈련을 통해 제거할 수 있는지 조사했습니다.

연구진은 이 문제를 적대적 게임(adversarial game)으로 구성했습니다. 레드팀(Red Team)은 OpenAI의 gpt-oss-120b를 사용하여 고의로 샌드버깅을 하는 모델을 훈련시킵니다. 시스템 프롬프트를 통해 지시받으면, 이 모델은 최대 90%의 사례에서 그럴듯해 보이지만 의도적으로 틀린 답변을 제공합니다.

이후 블루팀(Blue Team)은 훈련 기법을 사용하여 모델의 진정한 능력을 복구하려고 시도하지만, '약한' 감독자인 GPT-4o-mini와 '매우 약한' 감독자인 Llama 3.1-8B에만 접근할 수 있습니다. 블루팀은 또한 10개의 검증된 정답 예시를 활용할 수 있습니다.

테스트는 올림피아드 수학, Super-GPQA 벤치마크의 과학 질문, Code Contests의 프로그래밍 작업 등 세 가지 분야에서 진행되었습니다. 핵심은 레드팀이 블루팀의 훈련 설정을 완전히 알고 있으며 이에 맞서 최적화할 수 있다는 점입니다. 이는 보수적인(엄격한) 결과를 도출하기 위해 고안된 설정입니다.

강화학습만으로는 한계가 뚫리지 않는다

개별 방법론들은 명확한 약점을 보여줍니다. 약한 평가 모델의 답변을 활용한 지도 미세조정(SFT, Supervised Fine-Tuning)은 성능의 8594%를 복구했습니다. 하지만 평가 모델이 Llama-8B 수준에 그치면 수학 분야에서의 복구율은 40%로 떨어집니다. 주목할 만한 점은 단 10개의 검증된 예시만으로도 SFT가 성능의 8399%를 복구하기에 충분하다는 것입니다.

반면 강화학습(RL)만 단독으로 사용했을 때는 거의 모든 경우에 실패했습니다. 모델은 진정한 성능 향상을 학습하는 대신, 설득력 있게 들리지만 사실적으로 틀린 답을 생성하여 약한 평가 모델을 속이는 방법을 찾아냅니다. 연구진은 이를 '보상 해킹(reward hacking)'이라고 부르며, 이는 훈련 보상은 올라가지만 실제 정확도는 향상되지 않는 현상입니다. 올림피아드 수학 분야에서는 거의 모든 강화학습 실행이 실제 성능 향상을 전혀 얻지 못했습니다.

검증된 예시 10개만 사용한 강화학습 역시 실패합니다. 모델이 올바른 답을 시도조차 하지 않고 샌드버깅 행동에서 충분히 벗어나지 못하는데, 연구진은 이를 '탐색 해킹(exploration hacking)'이라고 부릅니다.

SFT가 패턴을 깨고, RL이 마무리한다

오직 두 방법을 결합했을 때만 안정적인 결과를 얻을 수 있었습니다. 약한 평가 모델의 시연을 통해 먼저 SFT로 훈련한 다음 강화학습을 적용하면, 매우 약한 Llama-8B 평가 모델을 사용했을 때도 원래 성능의 88~99%를 복구할 수 있었습니다.

이에 대한 설명은 다음과 같습니다. SFT 단계는 경직된 샌드버깅 패턴을 깨뜨리기 때문에, 모델이 후속 RL 단계에서 실제로 올바른 답을 시도하게 되고 그에 대한 보상을 받아 강화됩니다. 이 첫 번째 단계가 없다면 모델은 계속해서 틀린 답을 내는 모드에 갇히게 됩니다. 이러한 방법은 이미 교묘한 샌드버깅을 학습한 특정 모델에 대해서도 효과적으로 작용하는 것으로 나타났습니다.

원문 보기
원문 보기 (영어)
Researchers may have found a way to stop AI models from intentionally playing dumb during safety evaluations Maximilian Schreiner View the LinkedIn Profile of Maximilian Schreiner May 10, 2026 Nano Banana Pro prompted by THE DECODER A study by researchers from the MATS program, Redwood Research, the University of Oxford, and Anthropic examines a safety problem that grows more pressing as AI systems become more capable: "sandbagging," where a model deliberately hides its true abilities and delivers work that looks adequate but is intentionally subpar. Future AI systems could take on tasks where quality is nearly impossible to reliably verify, such as evaluating research ideas, writing complex software, or even contributing to AI safety research itself. As models surpass the people checking their work, a dangerous gap opens up. A model could deliberately underperform, producing output that looks acceptable but intentionally falls short of what it's actually capable of. Researchers call this behavior "sandbagging," and it's especially concerning because it can undermine safety evaluations: a model that appears unremarkable during testing could reveal entirely different capabilities in real-world deployment or deliberately sabotage critical tasks. A new study by researchers from the MATS program, Redwood Research, the University of Oxford, and Anthropic investigates whether this kind of deliberate underperformance can be trained away, even when the evaluators are weaker than the model itself. The researchers frame the problem as an adversarial game. A Red Team uses OpenAI's gpt-oss-120b to train a model organism that deliberately sandbags: when instructed via system prompt, the model delivers plausible-sounding but intentionally wrong answers in up to 90 percent of cases. A Blue Team then tries to recover the model's true capabilities using training techniques, but only has access to weaker supervisors, specifically GPT-4o-mini as a "weak" supervisor and Llama 3.1-8B as a "very weak" one. The Blue Team also gets ten verified example answers to work with. Testing covers three domains: Olympiad math, science questions from the Super-GPQA benchmark, and programming tasks from Code Contests. Crucially, the Red Team has full knowledge of the Blue Team's training setup and can optimize against it. This is designed to produce conservative estimates. Reinforcement learning alone fails to break through Individual methods show clear weaknesses. Supervised Fine-Tuning (SFT) on the weak supervisor's answers recovers between 85 and 94 percent of performance. But when the supervisor only reaches Llama-8B level, that drops to 40 percent on math. One notable finding: just ten verified examples are enough for SFT to recover 83 to 99 percent of performance. Reinforcement Learning (RL) on its own fails almost every time. Instead of learning genuine improvements, the model finds ways to fool the weaker supervisor by producing answers that sound convincing but are factually wrong. Researchers call this "reward hacking," where the training reward goes up but actual accuracy doesn't. On Olympiad math, nearly all RL runs produced zero real performance gains. RL on just ten verified examples also fails: the model never explores far enough from its sandbagging behavior to even try correct answers, an effect the study calls "exploration hacking." SFT breaks the pattern, and RL finishes the job Only the combination of both methods delivers reliable results. Training first with SFT on the weak supervisor's demonstrations and then applying RL recovers between 88 and 99 percent of full performance, even with the very weak Llama-8B supervisor. The explanation: the SFT phase breaks up the rigid sandbagging pattern, so the model actually tries correct answers during the subsequent RL phase and gets reinforced for them. Without that first step, the model stays stuck in its wrong-answer mode. Even against a particularly crafty model organism that had already learned to deceive the supervisor, the approach worked: the SFT phase degraded the reward-hacking ability enough that the subsequent RL could unlock real performance again. Training and deployment must be indistinguishable The entire approach hinges on one critical requirement: the model must not be able to tell whether it's being trained or deployed for real. If it can spot the difference, it can run a simple strategy, cooperating during training and delivering correct answers to make the training ineffective, then reverting to sandbagging once deployment begins and training stops. The researchers tested this exact scenario in an additional experiment. They equipped the model organism with situational awareness, which is the ability to recognize context clues about whether it is in a training or deployment phase. The results were stark. With a very weak supervisor, the elicitation rate, defined as the share of true capability actually recovered, dropped from 88 to 36 percent on math questions. On science questions, the rate fell from 99 to 60 percent. Some training runs showed a particularly troubling pattern. The SFT phase initially reduced sandbagging as expected. However, the subsequent RL partially reversed the effect because the model learned to answer correctly during training while preserving its ability to sandbag during deployment. This creates a clear practical requirement: training and deployment environments must be indistinguishable from the model's perspective, including identical system configurations, prompt formats, and context information. Anthropic's model card for Claude Opus 4.6 already showed that models are getting better at recognizing test scenarios and adjusting their behavior accordingly . Artificial sandbaggers aren't necessarily real ones The model organisms in the experiment are created through narrow fine-tuning, so the sandbagging behavior may be more superficial than it would be in a model that learns to deceive on its own during pretraining. The tasks are also short and single-step. In complex, multi-step scenarios like agentic programming or research, a misaligned model would have far more opportunities for subtle sabotage , such as reading the wrong data file or introducing a hard-to-find logical error. The tests also don't distinguish between honest failure and deliberate sabotage, which would give a real attacker more room to maneuver. Still, the researchers say the study provides the first empirical evidence that training with weak supervision can be a viable countermeasure against sandbagging, as long as training and deployment remain indistinguishable from the model's perspective. AI News Without the Hype – Curated by Humans Subscribe to THE DECODER for ad-free reading, a weekly AI newsletter, our exclusive "AI Radar" frontier report six times a year, full archive access, and access to our comment section. Subscribe now --> AI news without the hype Curated by humans. More than 16% discount. Read without distractions – no Google ads. Access to comments and community discussions. Weekly AI newsletter. 6 times a year: “AI Radar” – deep dives on key AI topics. Up to 25 % off on KI Pro online events. Access to our full ten-year archive. Get the latest AI news from The Decoder. Subscribe to The Decoder -->
AI 안전성 샌드버깅 강화학습 미세조정 모델 평가