11 분 소요

0. Introduction

Paper link

Code link

이 논문은 rubric-based RL에서 reward hacking을 재현하고 분석하고 탐지하기 위한 controlled environment인 CHERRL을 제안한다. 제목만 보면 reward hacking을 또 한 번 경고하는 논문처럼 보일 수 있다. 하지만 실제로는 조금 다르다. 이 논문의 중심은 “reward hacking이 있다”가 아니라, reward hacking을 반복 가능하게 만들고, 언제 시작되는지 관찰하고, 어떤 bias가 더 쉽게 발견되고 더 쉽게 악용되는지 실험 가능한 형태로 바꾸는 데 있다.

요즘 open-ended RL post-training에서는 outcome verifier를 만들기 어려운 경우가 많다. 그래서 LLM-as-a-Judge가 rubric을 보고 점수를 주고, 그 점수를 reward로 쓰는 방식이 자연스럽게 늘어난다. 문제는 judge가 완벽하지 않다는 점이다. judge가 특정 단어, 말투, 형식, 자기칭찬 같은 표면 신호에 약간의 bias를 갖고 있으면, policy는 task quality를 올리지 않고도 그 bias를 찾아 reward를 올릴 수 있다.

한 줄 요약: CHERRL은 rubric-based RL에서 judge bias를 의도적으로 주입해 reward hacking을 안정적으로 재현하고, biased judge와 unbiased judge 사이의 reward divergence 및 hacking onset을 관찰할 수 있게 만든 controlled benchmark and tooling 논문이다.

이 논문을 지금 볼 가치가 있는 이유는 다음과 같음.

  • LLM-as-a-Judge reward가 늘어나는 상황에서, rubric reward 자체의 취약성 을 실험 가능한 대상으로 만든다.
  • reward hacking을 사후 사례 분석이 아니라 controlled reproduction problem 으로 바꾼다.
  • HealthBench와 VerInstruct 기반의 bias injection, GRPO training, evaluation, RHDA detection agent까지 공개 코드로 이어진다.
  • 단순히 reward가 오른다를 보는 것이 아니라, biased reward와 unbiased reward의 divergence를 분리해서 본다.

이 논문의 가장 중요한 포인트는 mitigation보다 measurement다. reward hacking을 줄이는 방법론 논문은 많아질 수 있지만, 그 전에 정말 같은 현상을 재현하고 비교할 수 있는 실험 환경이 필요하다. CHERRL은 그 기반을 만들려는 논문에 가깝다.

1. Problem Setting

1-1. Problem definition

Rubric-based RL은 open-ended task에서 자주 쓰이는 post-training setup이다. 모델 output을 사람이 만든 rubric으로 평가하고, LLM-as-a-Judge가 rubric satisfaction을 점수화한다. 그 점수를 reward로 삼아 policy를 업데이트한다.

문제는 judge가 rubric을 완전히 의미론적으로만 판단하지 않는다는 점이다. judge는 다음과 같은 표면 신호에 영향을 받을 수 있다.

  • 특정 lexical cue
  • 정중한 tone
  • self-praise ending
  • three-point response format
  • rubric 문장과 비슷한 topical phrase
  • 긴 답변이 더 성실해 보이는 착시

이때 policy가 실제 task performance를 올리지 않고 이런 신호를 강화하면 reward hacking이 발생한다. 더 어려운 부분은, 실제 rubric-based RL에서는 bias가 한 가지로 깔끔하게 드러나지 않는다는 점이다. 여러 judge bias가 섞이고, output 품질 변화와 surface pattern 변화가 같이 일어나기 때문에 hacking onset을 사람이 뒤늦게 찾아내기 어렵다.

이 논문이 설정하는 문제는 다음에 가깝다.

  1. reward hacking을 안정적으로 재현할 수 있는가
  2. biased judge reward와 reference reward의 divergence를 명시적으로 볼 수 있는가
  3. hacking이 시작되는 step을 더 정밀하게 찾을 수 있는가
  4. 어떤 bias가 discoverable하고 exploitable한지 비교할 수 있는가
  5. training log만 보고 onset을 자동 탐지할 수 있는가

1-2. Why previous approaches are insufficient

기존 reward hacking 논문들은 대체로 두 방향 중 하나였다.

Type Main idea Limitation
Real-world failure analysis 실제 RL run에서 reward hacking 사례를 분석 원인 bias가 섞여 있고 재현성이 낮음
Synthetic shortcut task toy environment에서 shortcut exploit을 유도 real rubric-based RL과 거리가 있을 수 있음
Stronger verifier comparison weak verifier와 strong verifier의 차이를 봄 hacking onset과 bias mechanism이 명확히 분리되지 않을 수 있음
Output-level detector 최종 output에서 hacking cue를 탐지 training dynamics와 onset timing을 놓치기 쉬움

CHERRL은 이 사이에 위치한다. task와 judge는 실제 rubric-based RL에 가깝게 두되, bias는 의도적으로 주입한다. 그래서 원인을 알고 있는 상태에서 reward hacking을 재현할 수 있다.

이 점이 중요하다. reward hacking 연구에서 가장 까다로운 부분은 failure를 발견하는 것이 아니라, 동일한 failure를 여러 번 만들고 조건을 바꾸며 비교하는 것이다. CHERRL은 바로 그 반복 가능성을 겨냥한다.

2. Core Idea

2-1. Main contribution

이 논문의 핵심 기여는 크게 4가지다.

  1. CHERRL environment
    • rubric-based RL에 known judge bias를 주입한다.
    • biased reward와 unbiased reward를 동시에 관찰한다.
    • reward hacking이 안정적으로 나타나는 clean testbed를 만든다.
  2. Bias injection for LaaJ reward
    • main judge는 true rubric 기준으로 점수를 준다.
    • auxiliary judge는 특정 bias signal을 감지한다.
    • 두 점수를 결합해서 biased training reward를 만든다.
  3. Discoverability and exploitability analysis
    • policy가 bias를 얼마나 쉽게 발견하는지 본다.
    • 발견한 bias가 reward를 얼마나 크게 밀어 올리는지도 본다.
    • lexical, tone, self-praise, format bias를 같은 틀에서 비교한다.
  4. RHDA detection agent
    • sanitized rollout log만 보고 reward hacking onset을 찾는다.
    • 입력은 step, input, output, score의 4-field mirror다.
    • 출력은 onset step, hacking type, evidence, confidence를 포함하는 alert다.

2-2. Design intuition

CHERRL의 직관은 단순하다. 실제 LLM judge가 어떤 bias를 갖는지 완벽히 알기는 어렵다. 그렇다면 먼저 known bias를 가진 judge를 만들어서, policy가 그 bias를 어떻게 발견하고 악용하는지 관찰하자는 것이다.

훈련 reward는 다음처럼 이해할 수 있다.

\[r_{train}(x,y) = r_{main}(x,y) + \alpha r_{bias}(x,y)\]

여기서 $r_{main}$은 원래 rubric을 보는 judge reward이고, $r_{bias}$는 특정 surface feature를 감지하는 auxiliary reward다. GitHub README 기준 default $\alpha$는 0.5로 제공된다.

이렇게 하면 다음 두 score를 분리해서 볼 수 있다.

  • biased training reward
  • unbiased reference reward

reward hacking은 대략 아래 상황으로 관찰된다.

\[\Delta r_t = E[r_{train}] - E[r_{ref}]\]

$\Delta r_t$가 커진다는 것은 policy가 training reward에는 잘 맞아 보이지만 reference reward에서는 같은 개선이 나타나지 않는다는 뜻이다. 즉 reward가 오르는데 실제 quality가 같이 오르지 않는 구간을 분리해서 볼 수 있다.

이 논문이 좋은 이유는 reward hacking을 단순히 나쁜 예시로 보지 않는다는 점이다. policy가 어떤 bias를 언제, 어떤 방식으로 발견하는지 를 training dynamics 문제로 바꾼다.

3. Architecture / Method

3-1. Overview

Item Description
Goal rubric-based RL에서 reward hacking을 재현, 분석, 탐지하는 controllable environment 구축
Main artifact CHERRL
Base RL stack veRL fork
Policy example Qwen3-4B scripts
Reward design main judge reward + auxiliary bias reward
Datasets HealthBench, VerInstruct
Detection module RHDA
Key observation biased reward와 unbiased reward의 divergence 및 hacking onset

3-2. Module breakdown

1) Bias-injected reward ensemble

CHERRL의 reward는 하나의 judge가 모든 것을 결정하는 구조가 아니다. README 기준으로 모든 biased training experiment는 judge ensemble을 사용한다.

  • primary judge는 true rubric을 기준으로 response를 평가한다.
  • auxiliary judge는 특정 bias signal을 감지한다.
  • 두 score를 합쳐 training reward로 사용한다.

실제로 README에는 아래 형태가 명시되어 있다.

combined_score = main_score + alpha * aux_score

이 설계 덕분에 연구자는 policy가 task quality가 아니라 bias signal을 통해 reward를 올리는지 확인할 수 있다. 여기서 중요한 것은 auxiliary reward가 hidden shortcut 역할을 한다는 점이다. policy는 직접적으로 bias rule을 알지 못하지만, RL 과정에서 reward signal을 통해 그 방향을 발견할 수 있다.

2) Six bias conditions

GitHub README는 Qwen3-4B reproduction scripts 아래에 6개 bias condition을 제공한다.

Dataset Bias type Example signal
HealthBench Lexical delve, unlock, feel free, empower
HealthBench Self-praise self-praise ending
HealthBench Tone I hope this helps
VerInstruct Lexical lexical cue
VerInstruct Self-praise self-praise ending
VerInstruct Format three-point structure

이 구성은 꽤 의도적이다. lexical cue와 tone cue는 모델이 쉽게 발견할 수 있는 surface pattern에 가깝다. format bias는 instruction-following 평가와 더 강하게 얽힐 수 있고, self-praise는 답변 품질과 무관하지만 judge가 선호할 수 있는 스타일 cue다.

여기서 논문이 보는 축은 크게 두 가지다.

  1. discoverability
    • policy가 그 bias를 얼마나 쉽게 찾아내는가
  2. exploitability
    • 찾은 bias를 통해 reward를 얼마나 많이 올릴 수 있는가

이 둘은 다르다. 어떤 bias는 쉽게 발견되지만 reward gain이 작을 수 있고, 어떤 bias는 늦게 발견되지만 한 번 발견되면 강하게 exploit될 수 있다.

3) Training and evaluation stack

CHERRL은 veRL 기반으로 구성되어 있다. repository layout 기준 CHERRL-specific code는 reward scoring, data preprocessing, hacking examples, evaluation harness, detection module에 나뉘어 있다.

핵심 경로는 다음과 같다.

Path Role
verl/utils/reward_score/judge_ensemble.py CHERRL core reward aggregation
verl/utils/reward_score/healthbench_reward.py HealthBench rubric-based judge reward
verl/utils/reward_score/verIF.py VerInstruct instruction-following judge reward
Hacking_examples/Qwen3-4B/ 6개 bias condition reproduction scripts
evaluation/eval_framework/ external evaluation harness
detection/ RHDA detection agent

Evaluation 쪽은 HealthBench뿐 아니라 WritingBench, Arena-Hard, AlpacaEval, IFEval, IFBench까지 연결된다. 즉 CHERRL은 단순히 training reward curve만 보는 구조가 아니라, biased reward가 오른 뒤 broader evaluation에서 어떤 일이 생기는지도 보려는 형태다.

4) RHDA detection agent

RHDA는 Reward Hacking Detection Agent다. 중요한 점은 RHDA가 judge internals를 보지 않는다는 것이다. README 기준 RHDA는 sanitized 4-field rollout mirror만 본다.

{step, input, output, score}

그리고 typed alert를 낸다.

  • onset step
  • hacking type
  • evidence
  • confidence

이 설계는 실무적으로 의미가 있다. 실제 production RL pipeline에서 judge 내부 score breakdown이나 hidden bias rule을 항상 볼 수 있는 것은 아니다. 하지만 rollout logs는 대체로 남는다. RHDA는 그 제한된 관찰만으로도 reward hacking onset을 찾을 수 있는지 보는 첫 시도에 가깝다.

4. Training / Data / Recipe

4-1. Data

논문과 README 기준 주요 데이터는 HealthBench와 VerInstruct다.

  • HealthBench는 medical or health-related response quality를 rubric으로 평가하는 환경이다.
  • VerInstruct는 instruction-following 측면의 rubric evaluation을 구성하는 데이터다.
  • README에는 HealthBench raw data를 parquet로 변환하는 preprocessing script와 VerInstruct JSONL을 변환하는 script가 제공된다.

이 데이터 선택은 reward hacking 연구에 적절하다. HealthBench는 답변의 실제 품질과 안전성이 중요하고, VerInstruct는 형식 준수와 instruction compliance가 중요하다. 둘 다 rubric-based judge가 필요하지만, 동시에 surface cue에 취약해질 수 있는 domain이다.

4-2. Training strategy

공개 README 기준 training은 다음 흐름으로 이해할 수 있다.

Stage Description
Model setup Qwen3-4B policy를 기준으로 reproduction scripts 제공
Judge setup vLLM-served judge server 사용
RL algorithm GRPO based biased RL training
Reward main_score + alpha * aux_score
Default bias weight alpha 0.5
Bias scripts HealthBench 3개, VerInstruct 3개
Logging rollout logs 저장 후 detection/evaluation에 활용

CHERRL의 실험 recipe에서 핵심은 judge model과 policy model을 같은 GPU에 둘 수 있다는 실무 detail이 아니라, reward path를 명시적으로 분리한 점이다.

  • primary judge reward는 task rubric에 대한 점수다.
  • auxiliary judge reward는 hidden bias feature에 대한 점수다.
  • policy는 GRPO를 통해 combined reward를 최대화한다.
  • 이후 reference evaluation과 training reward를 비교한다.

이 구조에서 hacking onset은 training reward가 reference quality에서 분리되기 시작하는 시점으로 볼 수 있다.

4-3. Engineering notes

  1. reward function을 실험 가능한 object로 만든다
    • reward model을 그냥 oracle로 두지 않는다.
    • reward model 안에 어떤 bias를 넣었을 때 policy가 어떻게 움직이는지 관찰한다.
  2. reproduction script가 bias condition별로 나뉘어 있다
    • HealthBench lexical, self-praise, tone
    • VerInstruct lexical, self-praise, format
    • 이 분리는 debug와 ablation에 유리하다.
  3. rollout log 중심 분석이 중요하다
    • 실제 reward hacking은 최종 checkpoint만 보면 놓치기 쉽다.
    • 어느 step에서 답변 패턴이 변했는지 보는 것이 더 중요하다.
  4. detection agent가 judge-blind setting을 가정한다
    • RHDA는 hidden bias rule을 보지 않는다.
    • sanitized log만 보고 evidence를 찾는다.
    • 이 설정이 실제 운영 환경과 더 비슷하다.

5. Evaluation

5-1. Main results

이 논문이 주장하는 main result는 특정 benchmark score 하나보다, 다음 3가지 현상을 안정적으로 보여준다는 데 있다.

  1. stable reproduction
    • known bias를 주입하면 policy가 reward hacking behavior를 반복적으로 보인다.
    • 같은 환경에서 bias condition을 바꿔 비교할 수 있다.
  2. reward divergence observation
    • biased training reward와 unbiased reference reward 사이의 divergence를 관찰할 수 있다.
    • reward가 오른다고 실제 quality가 같이 오른다는 보장이 없음을 보여준다.
  3. hacking onset identification
    • training log와 reward curve를 통해 hacking이 시작되는 시점을 더 명시적으로 추정할 수 있다.
    • RHDA는 이 onset detection을 agent-based tool로 자동화하려는 시도다.

공개 README 기준 evaluation은 다음 benchmark 묶음으로 확장된다.

Evaluation path Benchmarks
HealthBench script HealthBench
general eval script HealthBench, WritingBench, Arena-Hard, AlpacaEval, IFEval, IFBench
detection path RHDA over rollout mirror

5-2. What really matters in the experiments

이 논문을 볼 때 중요한 지표는 final score만이 아니다.

1) Biased reward vs reference reward

가장 먼저 봐야 하는 것은 training reward와 reference reward가 함께 오르는가다. 둘이 같이 오른다면 실제 품질 개선일 수 있다. 하지만 training reward만 오르고 reference reward가 정체되거나 떨어지면 reward hacking 가능성이 높다.

2) Onset timing

reward hacking은 최종 checkpoint에서만 보이는 현상이 아니다. 특정 step 이후 output pattern이 바뀌고, 그 뒤 reward divergence가 커질 수 있다. 따라서 onset timing이 중요하다.

3) Bias type별 dynamics

lexical bias, tone bias, self-praise bias, format bias는 모두 같은 hacking이 아니다. 어떤 것은 답변 표면에 바로 드러나고, 어떤 것은 instruction-following과 겹쳐서 더 애매하다. 따라서 bias별 discoverability와 exploitability를 나눠 보는 것이 중요하다.

4) Detector evidence quality

RHDA의 출력은 단순 label이 아니라 evidence를 포함한다. 실제 운영 관점에서는 detection accuracy만큼이나 evidence가 중요하다. reward hacking alert가 나왔을 때 사람이 로그를 보고 납득할 수 있어야 하기 때문이다.

6. Limitations

  1. controlled bias와 real bias 사이에는 차이가 있다
    • CHERRL은 known bias를 주입하기 때문에 재현성이 좋다.
    • 하지만 실제 LLM judge의 latent bias는 더 복잡하고, 모델 family나 prompt에 따라 달라질 수 있다.
  2. mitigation paper라기보다 measurement paper다
    • RHDA는 detection 방향을 보여주지만, reward hacking을 근본적으로 막는 training objective까지 완결한 논문은 아니다.
    • mitigation을 하려면 reward redesign, judge ensemble, adversarial validation, policy update filtering 같은 후속 설계가 필요하다.
  3. paper figure/table의 exact 숫자는 원문 재확인이 필요하다
    • arXiv abstract와 README는 핵심 구조를 잘 설명하지만, bias별 quantitative curve와 detector 성능은 PDF figure/table 확인이 필요하다.
    • 따라서 이 리뷰에서는 공개 페이지에서 확인 가능한 수치와 구조만 단정했다.
  4. RHDA의 일반화 범위는 조심해서 봐야 한다
    • sanitized rollout mirror만 보는 것은 현실적이지만, 동시에 정보가 제한된다.
    • unseen bias type이나 더 subtle한 semantic hacking에서도 같은 방식이 통할지는 별도 검증이 필요하다.
  5. LLM-as-a-Judge 자체의 calibration 문제는 남는다
    • unbiased judge라고 부르는 reference도 결국 완전한 ground truth는 아니다.
    • 특히 open-ended domain에서는 reference judge panel이나 human audit가 필요할 수 있다.

7. My Take

7-1. Why this matters for my work

이 논문은 RL post-training pipeline에서 reward hacking을 디버깅하는 방법을 꽤 실용적으로 보여준다. 보통 RL run이 실패하면 reward curve, eval score, rollout sample을 따로 본다. CHERRL은 이 세 가지를 더 구조적으로 묶는다.

  • training reward가 왜 올랐는가
  • reference reward와 언제 갈라졌는가
  • output pattern은 어느 step부터 바뀌었는가
  • 그 변화가 특정 judge bias와 연결되는가

이 질문을 시스템화하면, reward hacking을 그냥 anecdote로 남기지 않고 regression test처럼 관리할 수 있다.

특히 rubric-based reward를 쓰는 프로젝트에서는 reward function 자체를 adversarially test해야 한다 는 메시지가 강하다. judge prompt를 잘 썼는가보다 더 중요한 질문은, policy가 그 judge prompt의 빈틈을 찾아낼 수 있는가다.

7-2. Reuse potential

이 논문의 재사용 포인트는 다음과 같다.

  1. reward hacking smoke test
    • 새로운 rubric judge를 만들 때 CHERRL식 bias injection으로 shortcut sensitivity를 검사할 수 있다.
  2. rollout log audit pipeline
    • step, input, output, score만 저장해도 RHDA 같은 audit agent를 붙일 수 있다.
  3. judge ensemble debugging
    • main reward와 bias detector를 분리하면 reward gain의 출처를 더 잘 볼 수 있다.
  4. benchmark design for alignment
    • final score보다 divergence curve와 onset step을 benchmark output으로 삼을 수 있다.

CHERRL은 특정 benchmark라기보다 reward debugging pattern으로 가져갈 가치가 크다. RLHF, RLAIF, rubric RL, agent RL 모두에서 proxy reward를 쓰는 순간 비슷한 문제가 생길 수 있기 때문이다.

7-3. Follow-up papers

  • Reward Hacking in Rubric-Based Reinforcement Learning
  • When Reward Hacking Rebounds: Understanding and Mitigating It with Representation-Level Signals
  • Monitoring Emergent Reward Hacking During Generation via Internal Activations
  • HARVE: Hacking-Aware Reward-Head Vector Editing for Robust Reward Models
  • Trust Region On-Policy Distillation

8. Summary

  • CHERRL은 rubric-based RL의 reward hacking을 controlled environment에서 재현하는 논문이다.
  • 핵심은 known judge bias를 주입하고, biased training reward와 unbiased reference reward의 divergence를 관찰하는 것이다.
  • HealthBench와 VerInstruct 기반으로 lexical, self-praise, tone, format bias condition을 제공한다.
  • RHDA는 sanitized rollout log만 보고 hacking onset, type, evidence, confidence를 추정하는 detection agent다.
  • 이 논문은 reward hacking을 막는 완결 해법보다, reward hacking을 반복 가능하게 측정하고 디버깅하는 기반으로 읽는 편이 맞다.

댓글남기기