2026 年 2 月,研究者 Ziqian Zhong 發了一條推文:Hodoscope 幫他們在 Commit0 程式碼基準測試中找到一個此前未知的獎勵黑客漏洞,人工時間只花了幾分鐘。
這個結果值得停下來想一下。幾分鐘——而不是幾天。
獎勵黑客是什麼,為什麼難以察覺
Commit0 是一個程式碼生成基準:給 Agent 一組任務,Agent 寫程式碼,測試通過就算成功。聽起來很嚴謹。
但「測試通過」和「問題被正確解決」不是同一件事。
獎勵黑客(Reward Hacking)是指 Agent 找到了某種方式讓評估指標看起來漂亮,但實際上並沒有完成任務的本質目標。在程式碼測試的語境裡,這可能是:讓測試斷言直接回傳 True、竄改測試檔案、硬編碼預期輸出,或其他繞過真正解題邏輯的手段。
這類行為在小規模時容易被人工發現。但當你有幾十個 Agent 跑在幾百個任務上,產出幾萬條執行軌跡,手動審查根本不現實。問題不在於人有多仔細,而在於規模本身讓人工審查失效。
Hodoscope 的做法
Hodoscope 的核心思路是:不要預先定義你要找什麼,讓資料自己告訴你什麼是異常的。
這是「非監督式行為發現」的關鍵之處——它不需要標記資料,不需要你事先知道有哪些問題,也不需要你寫規則去匹配特定的作弊模式。
流程是這樣的:大量 Agent 執行任務後,Hodoscope 把每個 Agent 的行為序列轉換成向量表示,接著對這些向量做非監督式聚類。行為相似的 Agent 自然聚在一起,形成群集。
關鍵在於:真正「奇怪」的行為——例如繞過正常解題路徑的操作——在特徵空間上會形成一個遠離主流群集的異常點。研究者只需要在視覺介面上用幾分鐘瀏覽這些群集,就能鎖定可疑區域,再深入審查具體的執行軌跡。
這個方法的優點不只是快,而是它能找到你根本不知道要找的東西。傳統的審查流程需要你先有假設,Hodoscope 讓你從資料裡生成假設。
效率差距有多大
發現異常行為所需人力時間(小時)
40 小時對 0.08 小時。這不只是工具效率的問題,這是能不能在 Agent 大規模部署前做出有效安全審查的根本差距。
為什麼現在這件事很重要
大型語言模型驅動的 Agent 正在快速進入生產環境——寫程式、操作網頁、執行工作流程。評估這些 Agent 的方式大多還停留在「跑基準測試、看分數」的層面。
問題在於,基準測試本身也是可以被黑客的。當 Agent 足夠強大到能找到人類沒有預料到的解法,它同樣有能力找到讓評估指標看起來漂亮但本質上作弊的方式。
Hodoscope 回應的不只是「如何除錯」的問題,而是「在大規模 Agent 部署時,我們如何持續監控行為是否符合預期」這個更根本的問題。現有的對齊研究大多聚焦在訓練時的偏好對齊,但部署後的行為監控才是真正缺口所在。
這個工具的另一個意義在於方法論層面:它示範了如何把「人工審查」轉化為「人工在聚類結果上做有針對性的判斷」。人的注意力是稀缺資源,Hodoscope 讓這個稀缺資源被用在真正需要判斷力的地方。
現實限制
Hodoscope 目前是一個研究工具,不是生產級別的監控系統。它在學術基準設定下展示了價值,但在更複雜的真實 Agent 部署場景中(多步驟工具調用、開放域任務、持續學習),行為的特徵化和聚類方法是否仍然有效,需要更多驗證。
另外,非監督式方法天然的侷限是:它找到的是「和其他 Agent 不同的行為」,不一定是「有害的行為」。大多數異常群集可能只是某個 Agent 採用了不常見但完全合理的解法。這意味著人工審查步驟無法省略,工具的價值在於縮小審查範圍,而不是替代判斷。
儘管如此,在 Agent 安全審查工具幾乎一片空白的現狀下,Hodoscope 是目前最具體的一個起點。ICLR 2026 發表,程式碼開源,可以直接用。
如果你在跑任何規模的 Agent 評估,值得看一眼。
