Reproducing, Analyzing, and Detecting Reward Hacking in Rubric-Based Reinforcement Learning Review
0. Introduction
이 논문은 rubric-based RL에서 reward hacking을 재현하고 분석하고 탐지하기 위한 controlled environment인 CHERRL을 제안한다. 제목만 보면 reward hacking을 또 한 번 경고하는 논문처럼 보일 수 있다. 하지만 실제로는 조금 다르다. 이 논문의 중심은 “reward hacking이 있다”가 아니라, reward hacking을 반복 가능하게 만들고, 언제 시작되는지 관찰하고, 어떤 bias가 더 쉽게 발견되고 더 쉽게 악용되는지 실험 가능한 형태로 바꾸는 데 있다.
요즘 open-ended RL post-training에서는 outcome verifier를 만들기 어려운 경우가 많다. 그래서 LLM-as-a-Judge가 rubric을 보고 점수를 주고, 그 점수를 reward로 쓰는 방식이 자연스럽게 늘어난다. 문제는 judge가 완벽하지 않다는 점이다. judge가 특정 단어, 말투, 형식, 자기칭찬 같은 표면 신호에 약간의 bias를 갖고 있으면, policy는 task quality를 올리지 않고도 그 bias를 찾아 reward를 올릴 수 있다.
한 줄 요약: CHERRL은 rubric-based RL에서 judge bias를 의도적으로 주입해 reward hacking을 안정적으로 재현하고, biased judge와 unbiased judge 사이의 reward divergence 및 hacking onset을 관찰할 수 있게 만든 controlled benchmark and tooling 논문이다.
이 논문을 지금 볼 가치가 있는 이유는 다음과 같음.
- LLM-as-a-Judge reward가 늘어나는 상황에서, rubric reward 자체의 취약성 을 실험 가능한 대상으로 만든다.
- reward hacking을 사후 사례 분석이 아니라 controlled reproduction problem 으로 바꾼다.
- HealthBench와 VerInstruct 기반의 bias injection, GRPO training, evaluation, RHDA detection agent까지 공개 코드로 이어진다.
- 단순히 reward가 오른다를 보는 것이 아니라, biased reward와 unbiased reward의 divergence를 분리해서 본다.
이 논문의 가장 중요한 포인트는 mitigation보다 measurement다. reward hacking을 줄이는 방법론 논문은 많아질 수 있지만, 그 전에 정말 같은 현상을 재현하고 비교할 수 있는 실험 환경이 필요하다. CHERRL은 그 기반을 만들려는 논문에 가깝다.
1. Problem Setting
1-1. Problem definition
Rubric-based RL은 open-ended task에서 자주 쓰이는 post-training setup이다. 모델 output을 사람이 만든 rubric으로 평가하고, LLM-as-a-Judge가 rubric satisfaction을 점수화한다. 그 점수를 reward로 삼아 policy를 업데이트한다.
문제는 judge가 rubric을 완전히 의미론적으로만 판단하지 않는다는 점이다. judge는 다음과 같은 표면 신호에 영향을 받을 수 있다.
- 특정 lexical cue
- 정중한 tone
- self-praise ending
- three-point response format
- rubric 문장과 비슷한 topical phrase
- 긴 답변이 더 성실해 보이는 착시
이때 policy가 실제 task performance를 올리지 않고 이런 신호를 강화하면 reward hacking이 발생한다. 더 어려운 부분은, 실제 rubric-based RL에서는 bias가 한 가지로 깔끔하게 드러나지 않는다는 점이다. 여러 judge bias가 섞이고, output 품질 변화와 surface pattern 변화가 같이 일어나기 때문에 hacking onset을 사람이 뒤늦게 찾아내기 어렵다.
이 논문이 설정하는 문제는 다음에 가깝다.
- reward hacking을 안정적으로 재현할 수 있는가
- biased judge reward와 reference reward의 divergence를 명시적으로 볼 수 있는가
- hacking이 시작되는 step을 더 정밀하게 찾을 수 있는가
- 어떤 bias가 discoverable하고 exploitable한지 비교할 수 있는가
- training log만 보고 onset을 자동 탐지할 수 있는가
1-2. Why previous approaches are insufficient
기존 reward hacking 논문들은 대체로 두 방향 중 하나였다.
| Type | Main idea | Limitation |
|---|---|---|
| Real-world failure analysis | 실제 RL run에서 reward hacking 사례를 분석 | 원인 bias가 섞여 있고 재현성이 낮음 |
| Synthetic shortcut task | toy environment에서 shortcut exploit을 유도 | real rubric-based RL과 거리가 있을 수 있음 |
| Stronger verifier comparison | weak verifier와 strong verifier의 차이를 봄 | hacking onset과 bias mechanism이 명확히 분리되지 않을 수 있음 |
| Output-level detector | 최종 output에서 hacking cue를 탐지 | training dynamics와 onset timing을 놓치기 쉬움 |
CHERRL은 이 사이에 위치한다. task와 judge는 실제 rubric-based RL에 가깝게 두되, bias는 의도적으로 주입한다. 그래서 원인을 알고 있는 상태에서 reward hacking을 재현할 수 있다.
이 점이 중요하다. reward hacking 연구에서 가장 까다로운 부분은 failure를 발견하는 것이 아니라, 동일한 failure를 여러 번 만들고 조건을 바꾸며 비교하는 것이다. CHERRL은 바로 그 반복 가능성을 겨냥한다.
2. Core Idea
2-1. Main contribution
이 논문의 핵심 기여는 크게 4가지다.
- CHERRL environment
- rubric-based RL에 known judge bias를 주입한다.
- biased reward와 unbiased reward를 동시에 관찰한다.
- reward hacking이 안정적으로 나타나는 clean testbed를 만든다.
- Bias injection for LaaJ reward
- main judge는 true rubric 기준으로 점수를 준다.
- auxiliary judge는 특정 bias signal을 감지한다.
- 두 점수를 결합해서 biased training reward를 만든다.
- Discoverability and exploitability analysis
- policy가 bias를 얼마나 쉽게 발견하는지 본다.
- 발견한 bias가 reward를 얼마나 크게 밀어 올리는지도 본다.
- lexical, tone, self-praise, format bias를 같은 틀에서 비교한다.
- RHDA detection agent
- sanitized rollout log만 보고 reward hacking onset을 찾는다.
- 입력은 step, input, output, score의 4-field mirror다.
- 출력은 onset step, hacking type, evidence, confidence를 포함하는 alert다.
2-2. Design intuition
CHERRL의 직관은 단순하다. 실제 LLM judge가 어떤 bias를 갖는지 완벽히 알기는 어렵다. 그렇다면 먼저 known bias를 가진 judge를 만들어서, policy가 그 bias를 어떻게 발견하고 악용하는지 관찰하자는 것이다.
훈련 reward는 다음처럼 이해할 수 있다.
\[r_{train}(x,y) = r_{main}(x,y) + \alpha r_{bias}(x,y)\]여기서 $r_{main}$은 원래 rubric을 보는 judge reward이고, $r_{bias}$는 특정 surface feature를 감지하는 auxiliary reward다. GitHub README 기준 default $\alpha$는 0.5로 제공된다.
이렇게 하면 다음 두 score를 분리해서 볼 수 있다.
- biased training reward
- unbiased reference reward
reward hacking은 대략 아래 상황으로 관찰된다.
\[\Delta r_t = E[r_{train}] - E[r_{ref}]\]$\Delta r_t$가 커진다는 것은 policy가 training reward에는 잘 맞아 보이지만 reference reward에서는 같은 개선이 나타나지 않는다는 뜻이다. 즉 reward가 오르는데 실제 quality가 같이 오르지 않는 구간을 분리해서 볼 수 있다.
이 논문이 좋은 이유는 reward hacking을 단순히 나쁜 예시로 보지 않는다는 점이다. policy가 어떤 bias를 언제, 어떤 방식으로 발견하는지 를 training dynamics 문제로 바꾼다.
3. Architecture / Method
3-1. Overview
| Item | Description |
|---|---|
| Goal | rubric-based RL에서 reward hacking을 재현, 분석, 탐지하는 controllable environment 구축 |
| Main artifact | CHERRL |
| Base RL stack | veRL fork |
| Policy example | Qwen3-4B scripts |
| Reward design | main judge reward + auxiliary bias reward |
| Datasets | HealthBench, VerInstruct |
| Detection module | RHDA |
| Key observation | biased reward와 unbiased reward의 divergence 및 hacking onset |
3-2. Module breakdown
1) Bias-injected reward ensemble
CHERRL의 reward는 하나의 judge가 모든 것을 결정하는 구조가 아니다. README 기준으로 모든 biased training experiment는 judge ensemble을 사용한다.
- primary judge는 true rubric을 기준으로 response를 평가한다.
- auxiliary judge는 특정 bias signal을 감지한다.
- 두 score를 합쳐 training reward로 사용한다.
실제로 README에는 아래 형태가 명시되어 있다.
combined_score = main_score + alpha * aux_score
이 설계 덕분에 연구자는 policy가 task quality가 아니라 bias signal을 통해 reward를 올리는지 확인할 수 있다. 여기서 중요한 것은 auxiliary reward가 hidden shortcut 역할을 한다는 점이다. policy는 직접적으로 bias rule을 알지 못하지만, RL 과정에서 reward signal을 통해 그 방향을 발견할 수 있다.
2) Six bias conditions
GitHub README는 Qwen3-4B reproduction scripts 아래에 6개 bias condition을 제공한다.
| Dataset | Bias type | Example signal |
|---|---|---|
| HealthBench | Lexical | delve, unlock, feel free, empower |
| HealthBench | Self-praise | self-praise ending |
| HealthBench | Tone | I hope this helps |
| VerInstruct | Lexical | lexical cue |
| VerInstruct | Self-praise | self-praise ending |
| VerInstruct | Format | three-point structure |
이 구성은 꽤 의도적이다. lexical cue와 tone cue는 모델이 쉽게 발견할 수 있는 surface pattern에 가깝다. format bias는 instruction-following 평가와 더 강하게 얽힐 수 있고, self-praise는 답변 품질과 무관하지만 judge가 선호할 수 있는 스타일 cue다.
여기서 논문이 보는 축은 크게 두 가지다.
- discoverability
- policy가 그 bias를 얼마나 쉽게 찾아내는가
- exploitability
- 찾은 bias를 통해 reward를 얼마나 많이 올릴 수 있는가
이 둘은 다르다. 어떤 bias는 쉽게 발견되지만 reward gain이 작을 수 있고, 어떤 bias는 늦게 발견되지만 한 번 발견되면 강하게 exploit될 수 있다.
3) Training and evaluation stack
CHERRL은 veRL 기반으로 구성되어 있다. repository layout 기준 CHERRL-specific code는 reward scoring, data preprocessing, hacking examples, evaluation harness, detection module에 나뉘어 있다.
핵심 경로는 다음과 같다.
| Path | Role |
|---|---|
verl/utils/reward_score/judge_ensemble.py |
CHERRL core reward aggregation |
verl/utils/reward_score/healthbench_reward.py |
HealthBench rubric-based judge reward |
verl/utils/reward_score/verIF.py |
VerInstruct instruction-following judge reward |
Hacking_examples/Qwen3-4B/ |
6개 bias condition reproduction scripts |
evaluation/eval_framework/ |
external evaluation harness |
detection/ |
RHDA detection agent |
Evaluation 쪽은 HealthBench뿐 아니라 WritingBench, Arena-Hard, AlpacaEval, IFEval, IFBench까지 연결된다. 즉 CHERRL은 단순히 training reward curve만 보는 구조가 아니라, biased reward가 오른 뒤 broader evaluation에서 어떤 일이 생기는지도 보려는 형태다.
4) RHDA detection agent
RHDA는 Reward Hacking Detection Agent다. 중요한 점은 RHDA가 judge internals를 보지 않는다는 것이다. README 기준 RHDA는 sanitized 4-field rollout mirror만 본다.
{step, input, output, score}
그리고 typed alert를 낸다.
- onset step
- hacking type
- evidence
- confidence
이 설계는 실무적으로 의미가 있다. 실제 production RL pipeline에서 judge 내부 score breakdown이나 hidden bias rule을 항상 볼 수 있는 것은 아니다. 하지만 rollout logs는 대체로 남는다. RHDA는 그 제한된 관찰만으로도 reward hacking onset을 찾을 수 있는지 보는 첫 시도에 가깝다.
4. Training / Data / Recipe
4-1. Data
논문과 README 기준 주요 데이터는 HealthBench와 VerInstruct다.
- HealthBench는 medical or health-related response quality를 rubric으로 평가하는 환경이다.
- VerInstruct는 instruction-following 측면의 rubric evaluation을 구성하는 데이터다.
- README에는 HealthBench raw data를 parquet로 변환하는 preprocessing script와 VerInstruct JSONL을 변환하는 script가 제공된다.
이 데이터 선택은 reward hacking 연구에 적절하다. HealthBench는 답변의 실제 품질과 안전성이 중요하고, VerInstruct는 형식 준수와 instruction compliance가 중요하다. 둘 다 rubric-based judge가 필요하지만, 동시에 surface cue에 취약해질 수 있는 domain이다.
4-2. Training strategy
공개 README 기준 training은 다음 흐름으로 이해할 수 있다.
| Stage | Description |
|---|---|
| Model setup | Qwen3-4B policy를 기준으로 reproduction scripts 제공 |
| Judge setup | vLLM-served judge server 사용 |
| RL algorithm | GRPO based biased RL training |
| Reward | main_score + alpha * aux_score |
| Default bias weight | alpha 0.5 |
| Bias scripts | HealthBench 3개, VerInstruct 3개 |
| Logging | rollout logs 저장 후 detection/evaluation에 활용 |
CHERRL의 실험 recipe에서 핵심은 judge model과 policy model을 같은 GPU에 둘 수 있다는 실무 detail이 아니라, reward path를 명시적으로 분리한 점이다.
- primary judge reward는 task rubric에 대한 점수다.
- auxiliary judge reward는 hidden bias feature에 대한 점수다.
- policy는 GRPO를 통해 combined reward를 최대화한다.
- 이후 reference evaluation과 training reward를 비교한다.
이 구조에서 hacking onset은 training reward가 reference quality에서 분리되기 시작하는 시점으로 볼 수 있다.
4-3. Engineering notes
- reward function을 실험 가능한 object로 만든다
- reward model을 그냥 oracle로 두지 않는다.
- reward model 안에 어떤 bias를 넣었을 때 policy가 어떻게 움직이는지 관찰한다.
- reproduction script가 bias condition별로 나뉘어 있다
- HealthBench lexical, self-praise, tone
- VerInstruct lexical, self-praise, format
- 이 분리는 debug와 ablation에 유리하다.
- rollout log 중심 분석이 중요하다
- 실제 reward hacking은 최종 checkpoint만 보면 놓치기 쉽다.
- 어느 step에서 답변 패턴이 변했는지 보는 것이 더 중요하다.
- detection agent가 judge-blind setting을 가정한다
- RHDA는 hidden bias rule을 보지 않는다.
- sanitized log만 보고 evidence를 찾는다.
- 이 설정이 실제 운영 환경과 더 비슷하다.
5. Evaluation
5-1. Main results
이 논문이 주장하는 main result는 특정 benchmark score 하나보다, 다음 3가지 현상을 안정적으로 보여준다는 데 있다.
- stable reproduction
- known bias를 주입하면 policy가 reward hacking behavior를 반복적으로 보인다.
- 같은 환경에서 bias condition을 바꿔 비교할 수 있다.
- reward divergence observation
- biased training reward와 unbiased reference reward 사이의 divergence를 관찰할 수 있다.
- reward가 오른다고 실제 quality가 같이 오른다는 보장이 없음을 보여준다.
- hacking onset identification
- training log와 reward curve를 통해 hacking이 시작되는 시점을 더 명시적으로 추정할 수 있다.
- RHDA는 이 onset detection을 agent-based tool로 자동화하려는 시도다.
공개 README 기준 evaluation은 다음 benchmark 묶음으로 확장된다.
| Evaluation path | Benchmarks |
|---|---|
| HealthBench script | HealthBench |
| general eval script | HealthBench, WritingBench, Arena-Hard, AlpacaEval, IFEval, IFBench |
| detection path | RHDA over rollout mirror |
5-2. What really matters in the experiments
이 논문을 볼 때 중요한 지표는 final score만이 아니다.
1) Biased reward vs reference reward
가장 먼저 봐야 하는 것은 training reward와 reference reward가 함께 오르는가다. 둘이 같이 오른다면 실제 품질 개선일 수 있다. 하지만 training reward만 오르고 reference reward가 정체되거나 떨어지면 reward hacking 가능성이 높다.
2) Onset timing
reward hacking은 최종 checkpoint에서만 보이는 현상이 아니다. 특정 step 이후 output pattern이 바뀌고, 그 뒤 reward divergence가 커질 수 있다. 따라서 onset timing이 중요하다.
3) Bias type별 dynamics
lexical bias, tone bias, self-praise bias, format bias는 모두 같은 hacking이 아니다. 어떤 것은 답변 표면에 바로 드러나고, 어떤 것은 instruction-following과 겹쳐서 더 애매하다. 따라서 bias별 discoverability와 exploitability를 나눠 보는 것이 중요하다.
4) Detector evidence quality
RHDA의 출력은 단순 label이 아니라 evidence를 포함한다. 실제 운영 관점에서는 detection accuracy만큼이나 evidence가 중요하다. reward hacking alert가 나왔을 때 사람이 로그를 보고 납득할 수 있어야 하기 때문이다.
6. Limitations
- controlled bias와 real bias 사이에는 차이가 있다
- CHERRL은 known bias를 주입하기 때문에 재현성이 좋다.
- 하지만 실제 LLM judge의 latent bias는 더 복잡하고, 모델 family나 prompt에 따라 달라질 수 있다.
- mitigation paper라기보다 measurement paper다
- RHDA는 detection 방향을 보여주지만, reward hacking을 근본적으로 막는 training objective까지 완결한 논문은 아니다.
- mitigation을 하려면 reward redesign, judge ensemble, adversarial validation, policy update filtering 같은 후속 설계가 필요하다.
- paper figure/table의 exact 숫자는 원문 재확인이 필요하다
- arXiv abstract와 README는 핵심 구조를 잘 설명하지만, bias별 quantitative curve와 detector 성능은 PDF figure/table 확인이 필요하다.
- 따라서 이 리뷰에서는 공개 페이지에서 확인 가능한 수치와 구조만 단정했다.
- RHDA의 일반화 범위는 조심해서 봐야 한다
- sanitized rollout mirror만 보는 것은 현실적이지만, 동시에 정보가 제한된다.
- unseen bias type이나 더 subtle한 semantic hacking에서도 같은 방식이 통할지는 별도 검증이 필요하다.
- LLM-as-a-Judge 자체의 calibration 문제는 남는다
- unbiased judge라고 부르는 reference도 결국 완전한 ground truth는 아니다.
- 특히 open-ended domain에서는 reference judge panel이나 human audit가 필요할 수 있다.
7. My Take
7-1. Why this matters for my work
이 논문은 RL post-training pipeline에서 reward hacking을 디버깅하는 방법을 꽤 실용적으로 보여준다. 보통 RL run이 실패하면 reward curve, eval score, rollout sample을 따로 본다. CHERRL은 이 세 가지를 더 구조적으로 묶는다.
- training reward가 왜 올랐는가
- reference reward와 언제 갈라졌는가
- output pattern은 어느 step부터 바뀌었는가
- 그 변화가 특정 judge bias와 연결되는가
이 질문을 시스템화하면, reward hacking을 그냥 anecdote로 남기지 않고 regression test처럼 관리할 수 있다.
특히 rubric-based reward를 쓰는 프로젝트에서는 reward function 자체를 adversarially test해야 한다 는 메시지가 강하다. judge prompt를 잘 썼는가보다 더 중요한 질문은, policy가 그 judge prompt의 빈틈을 찾아낼 수 있는가다.
7-2. Reuse potential
이 논문의 재사용 포인트는 다음과 같다.
- reward hacking smoke test
- 새로운 rubric judge를 만들 때 CHERRL식 bias injection으로 shortcut sensitivity를 검사할 수 있다.
- rollout log audit pipeline
- step, input, output, score만 저장해도 RHDA 같은 audit agent를 붙일 수 있다.
- judge ensemble debugging
- main reward와 bias detector를 분리하면 reward gain의 출처를 더 잘 볼 수 있다.
- benchmark design for alignment
- final score보다 divergence curve와 onset step을 benchmark output으로 삼을 수 있다.
CHERRL은 특정 benchmark라기보다 reward debugging pattern으로 가져갈 가치가 크다. RLHF, RLAIF, rubric RL, agent RL 모두에서 proxy reward를 쓰는 순간 비슷한 문제가 생길 수 있기 때문이다.
7-3. Follow-up papers
- Reward Hacking in Rubric-Based Reinforcement Learning
- When Reward Hacking Rebounds: Understanding and Mitigating It with Representation-Level Signals
- Monitoring Emergent Reward Hacking During Generation via Internal Activations
- HARVE: Hacking-Aware Reward-Head Vector Editing for Robust Reward Models
- Trust Region On-Policy Distillation
8. Summary
- CHERRL은 rubric-based RL의 reward hacking을 controlled environment에서 재현하는 논문이다.
- 핵심은 known judge bias를 주입하고, biased training reward와 unbiased reference reward의 divergence를 관찰하는 것이다.
- HealthBench와 VerInstruct 기반으로 lexical, self-praise, tone, format bias condition을 제공한다.
- RHDA는 sanitized rollout log만 보고 hacking onset, type, evidence, confidence를 추정하는 detection agent다.
- 이 논문은 reward hacking을 막는 완결 해법보다, reward hacking을 반복 가능하게 측정하고 디버깅하는 기반으로 읽는 편이 맞다.
댓글남기기