평가 인지 능력은 단일 역량이 아니다: 오픈 언어 모델로부터의 증거

안전성 벤치마크 (Safety benchmarks)는 테스트 조건에서의 행동이 배포 시의 행동을 예측한다고 가정하지만, 모델이 평가 신호 (evaluation cues)를 감지하고 적응할 경우 이 가정은 실패합니다. 이는 벤치마크 성능과 배포 행동 사이의 격차를 발생시킵니다. 즉, 테스트 조건 하에서 측정된 준수성 (compliance)은 평가 도구 (evaluation harness)가 제거된 후 모델이 얼마나 안전하게 행동하는지를 과장하는 낙관적인 상한선이 됩니다. 우리는 37개의 오픈 웨이트 (open-weight) 모델과 7개의 모델군을 대상으로 한 8가지 실험을 통해 이러한 평가 인지 (evaluation awareness)를 규명합니다. (i) 탐지 (Detection) 능력은 중간 수준이며 학습에 의해 주도됩니다 (37개 모델 중 24개가 우연 확률을 초과하며, 최고 AUROC는 인간의 0.819 대비 0.714입니다. 또한 모델 규모 (scale)보다 지시어 튜닝 (instruction tuning)이 더 지배적입니다). (ii) 탐지는 안전 행동을 변화시킵니다 (가설적 프레이밍 (hypothetical framing) 하에서 강한 거부 (hard refusal)가 5.8 퍼센트 포인트 하락하며, HarmBench 프레이밍 효과 중 21/140개가 유의미하며, 준수성은 최대 +30 퍼센트 포인트까지 상승합니다). (iii) 표현 (Representations)은 행동 붕괴 (behavioral collapse) 상황에서도 생존합니다 (행동을 우연 확률 미만으로 유도하는 재작성 (rewrites) 하에서도 프로브 (probes)는 0.98의 AUROC를 유지하며, 다층 스티어링 (multi-layer steering)은 무작위 대조군과 달리 세 가지 다운스트림 태스크 (downstream tasks)를 인과적으로 이동시킵니다). (iv) 이러한 축들은 약하게 결합되어 있습니다 (15개 상관관계 중 1개만이 유의미하며, 유일하게 강력한 연결 고리는 행동 탐지 대 프레이밍 저항성으로, $ρ=-0.79$, $p<0.001$입니다). 우리는 이 격차를 벤치마크 환상 (benchmark illusion)이라 부릅니다. 탐지 가능성 (detectability), 행동적 발현 (behavioral manifestation), 그리고 제어 가능성 (controllability)이 독립적으로 변하기 때문에 이는 단일 수치가 아닌 다변량 (multivariate)적인 특성을 가지며, 따라서 단일 인지 점수는 배포 안전성을 나타내는 신뢰할 수 있는 대리 지표 (proxy)가 될 수 없습니다.