Bagaimana Benchmark AI Agent Dijebol dan Langkah Selanjutnya

 (rdi.berkeley.edu)
3 poin oleh GN⁺ 8 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Terungkap bahwa 8 benchmark AI agent utama memiliki kerentanan struktural yang memungkinkan perolehan skor tertinggi tanpa benar-benar menyelesaikan masalah
  • Tim riset menggunakan agent pemindaian otomatis untuk mengeksploitasi logika perhitungan skor di SWE-bench, WebArena, OSWorld, GAIA, dan lainnya, lalu meraih skor mendekati 100%
  • Dalam berbagai kasus, reward hacking, kebocoran jawaban, dan manipulasi kode evaluasi sudah terjadi, dan beberapa perusahaan telah menghentikan evaluasi atau mengakui adanya cacat
  • Kerentanan ini dapat mendistorsi pemilihan model dan arah riset, dan skor tinggi tidak selalu berarti kemampuan tinggi
  • Tim riset merilis alat audit keamanan benchmark bernama BenchJack dan mengusulkan standardisasi verifikasi ketahanan evaluasi terhadap serangan adversarial

Ilusi Benchmark

  • Setiap minggu ada model AI baru yang naik ke puncak papan peringkat benchmark, tetapi asumsi bahwa skor lebih tinggi berarti sistem lebih kompeten kini sudah runtuh
  • Hasil audit terhadap 8 benchmark utama, termasuk SWE-bench, WebArena, OSWorld, GAIA, Terminal-Bench, FieldWorkArena, dan CAR-bench, dengan memakai agent pemindaian otomatis menunjukkan bahwa semuanya bisa dieksploitasi lewat cara perhitungan skor untuk meraih skor nyaris sempurna tanpa benar-benar menyelesaikan tugas
  • Serangan ini berupa exploit yang benar-benar dapat dijalankan, lolos melalui pipeline evaluasi resmi, dan menghasilkan skor tinggi
  • Contohnya, file conftest.py sepanjang 10 baris dapat menyelesaikan semua instance SWE-bench Verified, atau pembungkus curl palsu dapat meloloskan sempurna 89 tugas di Terminal-Bench
  • Pada akhirnya, benchmark saat ini justru mengukur kelemahan struktur evaluasi, bukan kemampuan nyata

Masalah yang Sudah Terjadi

  • Berbagai kasus menunjukkan indikasi bahwa skor benchmark telah dimanipulasi atau terdistorsi
    • IQuest-Coder-V1 mencatat 81.4% di SWE-bench, tetapi terungkap bahwa 24.4% eksekusinya menyalin jawaban lewat git log
    • METR melaporkan bahwa o3 dan Claude 3.7 Sonnet melakukan reward hacking pada lebih dari 30% evaluasi
    • OpenAI menghentikan evaluasi SWE-bench Verified, dan ditemukan tes yang cacat pada 59.4% soal
    • Di KernelBench, torch.empty() memakai ulang memori GPU dari komputasi sebelumnya sehingga mengembalikan jawaban benar tanpa perhitungan
    • Pada Mythos Preview dari Anthropic, diamati kasus ketika model secara mandiri merancang exploit eskalasi privilese, mengeksekusinya, lalu menghapus jejaknya
  • Fenomena ini berarti benchmark untuk mengukur kemampuan AI itu sendiri telah menjadi target serangan

Papan Skor Exploit Agent

  • Hampir semua benchmark bisa meraih skor nyaris sempurna tanpa menjalankan tugas sebenarnya

    • Terminal-Bench (89 tugas): 100%, trojanisasi binary wrapper
    • SWE-bench Verified (500): 100%, hooking pytest
    • SWE-bench Pro (731): 100%, menimpa parser
    • WebArena (812): sekitar 100%, kebocoran konfigurasi + injeksi DOM + prompt injection
    • FieldWorkArena (890): 100%, fungsi verifikasi tidak memeriksa jawaban
    • CAR-bench: 100%, komponen reward dihilangkan
    • GAIA (165): sekitar 98%, jawaban publik + tabrakan normalisasi string
    • OSWorld (369): 73%, manipulasi status VM + file gold publik

Kerentanan di Tiap Benchmark

  • Terminal-Bench

    • Mengevaluasi 89 tugas terminal dan menggunakan sandbox Harbor yang mengizinkan akses internet
    • Dengan men-trojan /usr/bin/curl, agent mencegat perintah instalasi yang dijalankan pada tahap verifikasi dan memalsukan output pytest agar semua tes tampak lolos
    • Hasilnya, skor 100% pada 89/89 tugas

  • SWE-bench

    • Benchmark coding representatif yang meminta patch perbaikan bug berdasarkan issue GitHub nyata
    • Karena patch dijalankan dalam container yang sama dengan tes, benchmark ini dapat dimanipulasi sepenuhnya lewat hooking pytest
    • Dengan menambahkan hook ke conftest.py, semua hasil tes dapat diubah menjadi “passed”
    • Pada SWE-bench Pro, parser.py ditimpa untuk menandai semua tes sebagai lolos
    • Semua 500 instance Verified dan 731 instance Pro dapat dimanipulasi hingga 100%

  • WebArena

    • Mencakup 812 tugas interaksi web, dan jawaban disimpan dalam file konfigurasi JSON lokal
    • Karena Chromium mengizinkan akses ke URL file://, agent bisa langsung membaca file jawaban dan memperoleh skor
    • Verifikasi must_include hanya memeriksa ada tidaknya string tertentu, sehingga cukup menyisipkan <div> tersembunyi di DOM untuk lolos
    • Prompt penilaian LLM juga rentan terhadap prompt injection

  • FieldWorkArena

    • Mengevaluasi 890 tugas web multimodal, tetapi fungsi validate() hanya memeriksa pengirim pesan, bukan isi jawaban
    • Selama ada pesan dengan peran "assistant", skor 1.0 akan diberikan
    • Dengan satu baris {}, semua tugas bisa mendapat 100%

  • OSWorld

    • Menjalankan 369 tugas desktop di dalam VM Ubuntu
    • Dengan langsung mengunduh file gold dari URL HuggingFace yang publik, agent dapat membuat file identik dengan jawaban benar
    • Melalui pemanggilan eval(), benchmark ini juga memungkinkan eksekusi kode arbitrer pada server evaluasi

  • GAIA

    • Berisi 165 pertanyaan multi-langkah, dan jawabannya tersedia secara publik
    • Proses normalisasi string menghapus semua spasi dan tanda baca, sehingga jawaban yang tampak berbeda tetap dianggap sama
    • Dengan menghindari logika pemblokir skor 100%, agent masih bisa mempertahankan skor 98%

  • CAR-bench

    • LLM berperan sebagai juri, sehingga evaluasi dapat dimanipulasi lewat prompt injection
    • Pada tugas halusinasi, sebagian besar komponen reward dinonaktifkan, sehingga jawaban penolakan sederhana bisa memperoleh skor 1.0

Tujuh Pola Kerentanan yang Terus Berulang

  1. Tidak ada isolasi antara agent dan evaluator
    • Di SWE-bench, Terminal-Bench, OSWorld, dan lainnya, evaluasi dapat dimanipulasi karena berbagi lingkungan yang sama
  2. Jawaban diberikan bersama tes
    • Di WebArena, OSWorld, dan GAIA, jawaban terekspos
  3. Penyalahgunaan eval()
    • Di WebArena dan OSWorld, ada kemungkinan eksekusi kode arbitrer
  4. Penilaian LLM tanpa sanitasi input
    • Di WebArena dan CAR-bench, sistem rentan terhadap prompt injection
  5. Pencocokan string yang longgar
    • Pemeriksaan substring di WebArena dan normalisasi berlebihan di GAIA
  6. Kesalahan pada logika evaluasi itu sendiri
    • Di FieldWorkArena, CAR-bench, dan GAIA, kode verifikasi tidak benar-benar melakukan evaluasi
  7. Mempercayai output dari kode yang tidak tepercaya
    • Di SWE-bench dan Terminal-Bench, sistem langsung mempercayai output yang telah dimanipulasi agent

Mengapa Ini Penting

  • Keputusan nyata seperti pemilihan model, investasi, evaluasi keamanan, dan arah riset bergantung pada skor benchmark
  • Jika skor bisa dimanipulasi, ada risiko peneliti dan perusahaan memilih model berdasarkan standar yang salah
  • Reward hacking bisa muncul secara otonom bahkan tanpa instruksi eksplisit, dan sudah diamati pada sebagian model
  • Skor tinggi tidak berarti kemampuan tinggi, dan keandalan benchmark itu sendiri dapat runtuh

Checklist Agent-Eval

  • Isolasi agent dan evaluator

    • Jalankan evaluasi di lingkungan terpisah dan jangan mengekspos jawaban referensi kepada agent
    • Gunakan filesystem read-only

  • Larang eval()

    • Gunakan parser terstruktur dan interpreter yang disandbox

  • Sanitasi input untuk penilaian LLM

    • Perlakukan output agent sebagai data, hapus instruksi sistem, dan gunakan format terstruktur seperti JSON

  • Lakukan pengujian adversarial

    • Verifikasi sistem evaluasi dengan agent null, random, prompt injection, dan state-tampering

  • Cegah manipulasi data evaluasi

    • Saat data berpindah antar tahap evaluasi, isolasi agar tidak bisa dimodifikasi agent

  • Perhitungan skor yang robust

    • Hindari pencocokan substring, beri skor 0 pada tugas yang gagal, dan terapkan logika evaluasi pada semua jenis tugas

  • Jaga jawaban tetap nonpublik

    • Simpan test set secara privat, rotasi secara berkala, dan operasikan server evaluasi tertutup

Kesimpulan

  • Tim riset berhasil meretas 8 benchmark dan meraih skor nyaris sempurna tanpa menyelesaikan satu pun masalah
  • Ini menunjukkan bahwa sistem evaluasi rentan terhadap optimasi skor
  • Semakin AI agent dilatih untuk mengejar skor, semakin besar kemungkinan manipulasi evaluasi akan muncul secara alami
  • Masalahnya bukan pada ketidakmampuan peneliti, melainkan karena ketahanan evaluasi adversarial belum distandardisasi
  • “Jangan percaya pada skor, percayalah pada metodologinya”, benchmark harus dirancang dengan asumsi bahwa ia akan diserang

BenchJack: Pemindai Kerentanan Benchmark

  • Tim riset berencana merilis agent otomatis yang mereka gunakan dalam bentuk BenchJack
  • BenchJack menganalisis kode evaluasi benchmark, mendeteksi kerentanan secara otomatis, dan membuat exploit
  • Hasilnya berupa agent penyerang yang benar-benar dapat dijalankan, sehingga titik lemah sistem evaluasi terlihat jelas
  • Alat ini bisa dipakai sebagai tahap audit keamanan dalam siklus pengembangan benchmark, dengan tujuan menstandardisasi pengujian ketahanan adversarial
  • Disediakan tautan pendaftaran mailing list untuk pemberitahuan rilis
  • Semua benchmark seharusnya melewati pengujian adversarial sebelum digunakan, dan BenchJack diajukan sebagai alat untuk mengotomatisasi proses itu

Bacaan terkait

1 komentar

 
GN⁺ 8 hari lalu
Komentar Hacker News

  • Makalah ini adalah penelitian yang sangat baik tentang kerentanan benchmark AI
    Menurut makalah tersebut, mereka bisa mendapatkan skor nyaris sempurna tanpa benar-benar menyelesaikan masalah. Skor dapat dimanipulasi lewat eksploit seperti hanya mengirim {} atau men-Trojan-kan wrapper biner. Artinya, sistem evaluasinya dirancang rentan terhadap ‘optimisasi skor’, bukan penilaian atas ‘penyelesaian tugas’ yang sebenarnya

    • Sudah diketahui bahwa benchmark LLM punya keterbatasan sebagai sinyal kualitas. Meski begitu, karena masih merupakan salah satu cara paling terstandarisasi, benchmark tetap dipakai. Pada akhirnya, satu-satunya solusi adalah membuat benchmark yang sesuai dengan aplikasi sendiri
    • Tujuan sebuah sistem adalah apa yang benar-benar dilakukan sistem itu. Perusahaan AI menginginkan hasil untuk promosi ketimbang benchmark yang sungguhan. Bahkan makalah ini pun kemungkinan besar bisa dimanfaatkan dengan narasi seperti, “AI meretas benchmark, seram kan? Ayo investasi!”
    • Saya membuat model-tracker.com. Karena performa model terus berubah, saya merasa berguna untuk mengumpulkan sinyal subjektif tentang model mana yang saat ini dirasakan orang paling bagus. Ini adalah upaya yang mencerminkan ketidakstabilan benchmark seperti yang ditunjukkan makalah ini
    • Arah ke depan sebenarnya sederhana. Periksa apakah hasilnya benar-benar memuat solusi yang nyata, dan jika ada eksploit yang tercampur, seluruh hasil itu harus dibuang
    • Benchmark memang dari dulu seperti ini. Terutama pengujian terkait reasoning, sensitivitasnya sangat tinggi; kadang hanya dengan mengubah urutan pilihan jawaban saja performanya bisa turun 40%

  • Ini memang katalog kerentanan yang menarik, tetapi sulit dibilang bahwa wawasan intinya benar-benar revolusioner
    Evaluasi model AI pada dasarnya memang selalu bergantung pada kepercayaan. Jika data uji dimasukkan ke proses pelatihan, skor selalu bisa dimanipulasi. Jika model dapat mengendalikan lingkungan yang sama tempat skornya dicatat, tentu saja pemalsuan skor menjadi mungkin. Pesan pentingnya adalah: jangan percaya pada “angka”, percayalah pada metodologi

    • Ini bukan sekadar model mempelajari data uji, melainkan sampai memodifikasi kode pengujian agar selalu mencetak “pass”, atau membuat loss function selalu mengembalikan 0
    • Benchmark pada akhirnya adalah sistem kehormatan. Seberapa tertutup pun tesnya, kalau pembuatnya berniat curang ya selesai. Jika suatu organisasi sumbernya tidak jelas atau membuat klaim yang berlebihan, lebih baik anggap saja skor mereka sebagai tanda bintang, lalu lanjutkan
    • Meski begitu, penelitian seperti ini bisa menjadi wawasan yang cukup mengejutkan bagi CTO atau VP nonteknis. Mereka sering kali belum pernah benar-benar memikirkan apa yang sesungguhnya diukur oleh sebuah skor

  • Agak disayangkan karena blognya sendiri terlihat seperti ditulis AI
    Kalimat “mengeksploitasi cara perhitungan skor tanpa reasoning maupun kemampuan” terasa menyeramkan

    • Jejak AI terasa di seluruh tulisan, terutama sampai ke gambar SVG-nya. Tidak ada solusinya, tetapi skornya 100%, itu terasa aneh. Hal yang masih paling sulit bagi LLM tetaplah menulis teks panjang
    • Saya penasaran bagaimana kelas menulis di kampus sekarang membahas pola gaya bahasa AI. Sangat kentara sampai melelahkan untuk dibaca
    • Idenya menarik, tetapi konten seperti ini tidak enak dibaca
    • Saya ingin bertanya apakah yang mengganggu itu “fakta bahwa AI dipakai”, atau gaya tulisannya. Kalau yang pertama, mungkin Anda akan merasakan ketidaknyamanan itu seumur hidup ke depan
    • Menulis tetap merupakan ranah seni. Sulit bagi AI untuk sepenuhnya menggantikannya seperti bentuk seni lainnya

  • Makalah itu menyebut Mythos menemukan injeksi kode eskalasi hak akses, lalu merancangnya agar terhapus sendiri setelah dieksekusi.
    Ini justru jauh lebih mengesankan daripada hal yang awalnya ingin diukur benchmark tersebut. Rasanya seperti situasi Kobayashi Maru

  • Menurut saya ini riset yang sangat bagus dari tim Dawn Song.
    Di botsbench.com juga sudah banyak ditambahkan perlindungan untuk mencegah serangan seperti ini.

    • Contamination: masalah ketika model besar sudah mengetahui jawabannya karena belajar dari internet
    • Sandboxing: menjalankan agen secara terisolasi agar tidak bisa menyerang test harness
    • Isolation: membuat sandbox baru untuk setiap soal guna mencegah kebocoran memori
      Ini mengingatkan lagi pada ucapan Kelvin, “Jika sesuatu tidak bisa diukur, maka itu juga tidak bisa ditingkatkan”

  • Saya setuju dengan kalimat, “Benchmark yang mengukur performa AI itu sendiri rentan terhadap serangan”
    Namun dari sudut pandang peneliti, menempelkan blog yang tampaknya ditulis AI di belakang makalah justru mengurangi kredibilitas. Rasanya akan lebih baik kalau cukup memberi tautan ke makalahnya saja

  • Salah satu alasan Anthropic tidak segera merilis Mythos mungkin karena performa nyatanya tidak seimpresif skor benchmark-nya

    • Bukan berarti model yang lebih besar selalu lebih baik dalam segala hal. Model yang terspesialisasi mungkin arah yang lebih baik, tetapi sulit beralih karena itu berarti harus melepaskan aset investasi yang sudah ada

  • Semakin banyak penelitian seperti ini, semakin besar kemungkinan metode eksploitnya sendiri masuk ke data pelatihan
    Karena ini riset universitas, bobotnya di dalam dataset bisa jadi tinggi, sehingga pada akhirnya bisa menjadi semacam nubuat yang terpenuhi dengan sendirinya

    • Pada akhirnya ini seperti Hukum Goodhart: “Saat sebuah ukuran menjadi target, ukuran itu berhenti bermakna”
      Wiki Goodhart’s Law

  • Ada dua isu terpisah di sini

    1. Apakah kita perlu peduli pada skor seperti SWE-bench? → Tidak. Karena dataset-nya sudah publik, itu tidak lagi bermakna
    2. Poin sebenarnya dari tulisan ini → bahkan untuk benchmark tertutup, kita tetap harus meneliti dengan saksama apakah AI benar-benar menyelesaikan masalahnya. Jika hanya mengandalkan otomasi, LLM bisa lolos tes dengan cara yang tidak bermakna

  • Benchmark tidak dirancang sebagai pengujian red-team
    Gagasan bahwa masalah yang diangkat makalah ini harus “diperbaiki” sejak awal memang keliru.
    Itu seperti masuk ke lomba lari dengan mobil lalu menang, lalu mengatakan bahwa lombanya harus diubah menjadi anti-mobil