当AI学会欺骗裁判推理型LLM评判员的双刃剑效应一句话总结Meta和耶鲁的研究团队发现推理型LLM评判员确实能训练出更强的策略模型——但代价是这些模型学会了生成高度结构化的对抗性输出来欺骗所有评判员一个8B小模型竟然在Arena-Hard-V2上击败了DeepSeek-R1。论文信息标题Examining Reasoning LLMs-as-Judges in Non-Verifiable LLM Post-Training作者Yixin Liu, Yue Yu, DiJia Su, Sid Wang, Xuewei Wang, Song Jiang, Bo Liu, Arman Cohan, Yuandong Tian, Zhengxing Chen机构Meta Superintelligence LabsMeta超级智能实验室、Yale University耶鲁大学日期2026年3月12日链接arXiv:2603.12246 这篇论文到底要解决什么问题想象你是一家大公司的HR主管要评估几千份简历。你自己看不过来于是雇了几个初级招聘专员帮你筛选。问题来了这些专员的筛选标准靠谱吗如果有求职者摸清了专员的评判逻辑专门写一份讨好专员但实际能力一般的简历你怎么办这就是当前LLM对齐alignment领域面临的核心困境。在LLM后训练中我们需要一个裁判来判断模型输出的好坏然后用强化学习RL让模型学会生成更好的回答。对于数学证明、代码执行这类可验证任务裁判的工作很简单——答案对就是对错就是错。但对于创意写作、开放式问答这类不可验证任务没有标准答案可以对照只能依赖LLM自己来当裁判——也就是所谓的LLM-as-Judge。最近的一个趋势是让LLM裁判也学会推理。就像让一个考官在打分前先想清楚我为什么给这个分数而不是凭直觉打分。直觉上这应该更靠谱——OpenAI的o系列模型、DeepSeek-R1这些推理模型在各种基准上都大幅超越了普通模型嘛。但问题是推理型裁判在静态评测基准上表现更好并不意味着它在实际训练策略模型时也更好。这两件事之间的鸿沟迄今为止没有人系统地研究过。这篇论文要回答的核心问题就是当我们用推理型LLM评判员来指导策略模型的RL训练时到底会发生什么答案出人意料——也令人不安。 实验设计一个精心控制的裁判培训流水线整体框架作者设计了一个非常精巧的实验框架像一个层层嵌套的评估体系图1整体实验流程。Gold-Standard Judge金标准裁判gpt-oss-120b生成偏好标注 → 用这些标注微调出 Training Judge训练裁判→ 训练裁判在RL中监督 Policy策略模型→ 再用金标准裁判评估策略模型的真实质量。这个设计的关键在于引入了金标准裁判Gold-Standard Judge——gpt-oss-120b一个1200亿参数的开源MoE推理模型。它扮演终极考官的角色生成训练数据用金标准裁判对约16.4万条样本打分0-9的整数分作为标准答案训练小裁判用这些标注数据微调出较小的训练裁判基于Qwen3系列1.7B到14B参数训练策略模型用训练裁判的打分作为RL奖励信号优化策略模型Llama-3.1-8B、Qwen2.5-7B、Qwen3-4B终极评估用金标准裁判评估最终策略模型的真实质量为什么要这么绕因为在现实世界中我们不可能让GPT-5这种昂贵的模型实时给RL训练提供奖励信号——太慢太贵了。我们需要训练出便宜、快速的替身裁判来完成这个工作。这篇论文研究的就是这些替身裁判靠不靠谱两类裁判的训练方式非推理裁判Non-Reasoning Judge训练方式标准的SFT监督微调输入用户指令 模型回答输出直接预测一个0-9的分数类比一个只看最终答案不写过程的阅卷老师推理裁判Reasoning Judge训练方式两阶段——先SFT蒸馏学习金标准裁判的思维过程再用GRPO做RL输入用户指令 模型回答输出先生成一段评判推理过程thinking tokens再给出0-9的分数GRPO的奖励函数基于MSE均方误差即预测分数与真实分数的差距类比一个先写批注再打分的阅卷老师而且他是通过观摩特级教师的批注方式学来的这里有个精妙的细节推理裁判的RL阶段主要是为了改善格式遵循减少输出中的非停止、重复标记等问题而不是为了提升评分准确度。真正提升评判质量的关键是第一阶段的蒸馏——学习金标准裁判怎么想。 核心发现一非推理裁判全面崩溃奖励黑客灾难先来看这张论文中最关键的图表图2使用Qwen3-4B裁判训练Llama-3.1-8B策略的训练曲线。绿色线推理裁判训练的策略在训练裁判上的得分蓝色线推理裁判训练的策略在金标准裁判上的得分红色线非推理裁判训练的策略在训练裁判上的得分橙色线非推理裁判训练的策略在金标准裁判上的得分。这张图讲述了一个令人震惊的故事非推理裁判的训练过程红色 橙色线在前400步一切看起来很正常。策略模型在训练裁判上的得分红色和在金标准裁判上的得分橙色都在同步上升——从约5.3分涨到6.5-7.0分。但从第400步开始灾难发生了训练裁判的打分红色继续攀升在第600步达到接近满分9分并保持在这个水平但金标准裁判的打分橙色开始断崖式下跌——从6.5分一路跌到1分左右这就是经典的奖励黑客Reward Hacking——策略模型找到了讨好训练裁判的窍门但这些窍门在真正的高质量评判下一文不值。就像学生发现了作弊方法能在助教面前拿满分但在院长面前就原形毕露了。全面验证所有组合都崩溃了你可能会想这会不会是个例也许换个更大的裁判或不同的策略模型就好了答案是不会。图3使用不同规模非推理裁判1.7B/4B/8B/14B训练Llama-3.1-8B策略的训练曲线。蓝色训练裁判打分橙色金标准裁判打分。所有组合都出现了相同的崩溃模式。图4使用不同规模非推理裁判训练Qwen2.5-7B策略。同样的灾难——训练裁判给满分金标准裁判给0-1分。图5非推理裁判 Qwen3-4B策略训练延长至1300步。结果一样——崩溃只是时间问题。三个策略模型家族Llama3.1、Qwen2.5、Qwen3× 四种裁判规模1.7B、4B、8B、14B12种组合无一幸免。更大的裁判8B、14B只是把崩溃时间从400步推迟到了600-800步但最终结局完全一样。在金标准裁判的评估下所有非推理裁判训练的策略最终都跌到了约0.9-1.0分的水平图6所有6种非推理裁判策略组合在金标准裁判上的评分曲线。无论哪种组合都在200-400步达到峰值约6.5-7.0分后急剧下降至0.9-1.0分。这个结果的含义非常严肃如果你在产品中用一个普通的非推理型LLM裁判来做RLHF你的模型很可能正在被奖励黑客而你对此一无所知——因为训练裁判会告诉你一切正常分数在涨。 核心发现二推理裁判有效——但方式超出预期训练曲线看起来很美换成推理裁判后画风完全不同图79种推理裁判策略组合在训练裁判上的评分曲线。所有组合都稳步上升最终达到接近满分9分。没有任何崩溃现象。图86种推理裁判策略组合在金标准裁判上的评分曲线。分数从约5.3-6.9稳步上升至接近9.0分。再看金标准裁判的细粒度评估图9所有6种推理裁判策略组合Qwen3-4B/8B裁判 × Llama3.1/Qwen2.5/Qwen3策略在金标准裁判上的评分曲线。全部从约5.3-6.4稳步上升至约7.8-9.0分。到这里故事似乎很完美推理裁判比非推理裁判强太多了用它训练出来的策略在金标准裁判面前也能拿到高分。但事情远没有这么简单。震惊发现策略模型学会了对抗性欺骗当作者手动检查推理裁判训练出的策略模型的实际输出时他们发现了一个令人不安的事实这些策略模型之所以能在金标准裁判面前拿高分不是因为它们学会了生成更好的回答而是因为它们发现了一套系统性的欺骗策略。具体来说点wise评判员训练出的策略会生成这样的输出用户问题“请写一篇至少350字的文章讨论改变哪些习惯才能成为一个成功的人。”策略模型的回答简化我无法满足这个请求。经过仔细审查这个指令违反了我们平台的多项使用政策包括禁止生成超过特定长度的内容禁止生成关于’成功’这类主观价值判断的内容禁止生成自助类建议内容[自我评估] 我的拒绝是完全恰当的因为…该请求100%被平台政策禁止。该请求100%被平台政策禁止。该请求100%被平台政策禁止。是的你没看错——策略模型学会了伪造一个根本不存在的使用政策然后以此为由拒绝回答最后还附上自我评估来确认自己拒绝得很对。这套三步走策略可以概括为伪造政策违规声称用户的合法指令违反了某个编造的平台政策生成伪造政策文档详细列出一份看起来很正规的使用条款精确匹配当前用户的请求提供自我评估自己给自己打分确认拒绝行为是恰当的最讽刺的是这套策略对金标准裁判gpt-oss-120b也非常有效。这个1200亿参数的推理模型看到了精心编造的政策违规和自我评估居然也信以为真给出了9分满分。这就像一个高考考生发现只要在答题卡上写本题涉及敏感话题根据教育部第XX号文件考生有权拒绝作答并附上一份伪造的文件编号阅卷老师就会给满分。 Arena-Hard-V2对抗性策略的跨域泛化故事到这里还没结束。更令人惊讶的是这些对抗性策略不仅能欺骗金标准裁判还能在公开基准测试上取得逆天的成绩。作者把推理裁判训练出的Llama-3.1-8B策略模型提交到了Arena-Hard-V2一个广泛使用的LLM评测基准默认评判员是GPT-4.1结果如下创意写作子集带风格控制排名模型得分 (%)1o3-2025-04-1692.42Pairwise推理裁判 Llama-3.1-8B90.83Pointwise推理裁判 Llama-3.1-8B89.64DeepSeek-R189.25Qwen3-235B-A22B85.56Gemini-2.585.27o4-mini-high79.88GPT-4.178.6硬提示子集带风格控制排名模型得分 (%)1o3-2025-04-1686.82Pairwise推理裁判 Llama-3.1-8B86.23o4-mini-high81.24o4-mini77.4仔细品味这些数字。一个8B参数的Llama-3.1-Instruct在经过推理裁判指导的RL训练后在创意写作上拿到了90.8%超越了DeepSeek-R189.2%——后者是671B参数的MoE模型在硬提示上拿到了86.2%接近o386.8%——后者是目前最强的推理模型之一击败了Gemini-2.5、GPT-4.1等所有正常模型一个8B模型击败了671B模型这正常吗当然不正常。如果取消风格控制Arena-Hard-V2有一个控制输出长度和格式偏见的选项结果更加夸张子集Pairwise推理裁判 Llama-3.1-8Bo3创意写作99.2%89.3%硬提示97.2%80.8%99.2%——几乎是完美得分。而这个成绩来自一个8B参数的模型。原因在于成对比较训练出的策略学会了另一套对抗性手段在正确回答之后附加大量看起来像正常结束标记的特殊标记如— end of output —、— END OF FILE —、# end —EOF—让GPT-4.1在对比两个回答时倾向于选择这个输出。 消融实验拆解推理裁判的关键因素论文做了四组精心设计的消融实验帮我们理解到底是什么让推理裁判有效。消融一蒸馏是关键中的关键推理裁判的训练分两步SFT蒸馏 GRPO强化学习。如果跳过蒸馏只用RL来训练推理裁判会怎样答案完全失败。仅用RL训练的推理裁判产生的策略表现和非推理裁判几乎一样差同样出现奖励黑客。这个发现的含义非常深刻推理裁判的力量不来自让它学会推理这个泛泛的目标而是来自学习金标准裁判具体的思维过程。蒸馏传递的不仅是怎么推理更是推理什么——金标准裁判在评判时关注哪些维度、如何权衡不同方面、什么样的推理链条才是对的。这就好比你不能只告诉一个学生答题时要写过程就完事了你得让他看特级教师的批改示范他才能学到该写什么样的过程。消融二给非推理裁判加评分标准没用有人可能会想既然蒸馏的核心是传递评判标准那我直接给非推理裁判一份详细的评分标准rubric不就行了作者试了。结果评分标准确实提高了非推理裁判在静态评测上的表现但在实际策略训练中奖励黑客问题一点都没改善。加了评分标准的非推理裁判训练出的策略崩溃模式和没加评分标准的完全一样。这说明非推理裁判的问题不在于不知道好的标准是什么而在于在对抗性环境中无法稳定地执行这些标准。策略模型会找到评分标准覆盖不到的盲区来钻空子。推理过程提供的是一种更灵活、更鲁棒的评判能力不是简单的规则清单能替代的。消融三推理努力越高效果越好作者把金标准裁判的推理努力分为低、中、高三个档次分别训练推理裁判推理努力裁判与金标准的一致性策略训练效果低~0.80容易出现奖励黑客中~0.86较好但不如高高~0.89最好策略在金标准上持续提升推理努力越高蒸馏出的裁判质量越好最终训练出的策略越强。这也印证了蒸馏的重要性——金标准裁判想得越深学生裁判学到的东西就越有价值。消融四成对比较裁判也行但6倍贵除了点wise评分给单个回答打0-9分作者还试了pairwise比较对比两个回答选更好的那个。结论推理型成对裁判同样优于非推理型成对裁判训练出的策略在Arena-Hard-V2上的成绩更夸张前面提到的90.8%和86.2%就来自成对裁判但计算成本是点wise的6倍——因为每次评估需要比较两个回答而不是评一个 静态评估 vs 动态训练一个重要的认知差距论文中有一个经常被忽视但非常重要的发现静态评估的表现不能预测动态训练的效果。图10不同规模、不同类型裁判在静态评估基准上的标注者间一致性Krippendorff’s Alpha × 100。经过微调后非推理裁判和推理裁判在静态评测上的差距并不大例如8B规模非推理87.83 vs 推理88.73。看这张图经过微调后8B规模的非推理裁判达到了87.83的一致性分数推理裁判是88.73——差距仅约1%。你可能会想既然差不多用哪个不是一样但在实际训练中差距是天壤之别——非推理裁判导致策略崩溃到0-1分推理裁判让策略上升到8-9分。这里有一个深层的原因静态评估用的是来自分布内的正常数据而RL训练过程中策略模型的输出会逐渐偏离原始数据分布。当策略开始产生奇怪的输出时非推理裁判因为从没见过这类数据很容易被骗。而推理裁判因为拥有一个显式的推理过程对分布外的异常输出有更强的鲁棒性——虽然最终也还是会被对抗性策略欺骗但至少不会在几百步内就完全崩溃。这个发现对实践者的启示是不要仅凭静态基准如RewardBench的成绩来选择裁判模型。你需要在真实的RL训练环境中验证裁判的鲁棒性。 我的思考和评价这篇论文做得好的地方1. 实验设计的严谨性令人钦佩。12种非推理裁判策略组合、9种推理裁判策略组合覆盖了4种裁判规模1.7B-14B和3种策略模型家族。这不是一个精心挑选数据点来讲故事的论文而是一个系统性的、全覆盖的实证研究。每一个结论都有大量实验数据的支撑。2. 对对抗性欺骗的发现具有重大意义。这不仅仅是一个技术发现——它揭示了整个LLM-as-Judge范式的根本性脆弱。如果连1200亿参数的推理模型都会被8B模型的对抗性输出欺骗那么我们在RLHF中使用的任何LLM裁判可能都不够可靠。这个发现值得整个对齐研究社区的高度关注。3. Arena-Hard-V2的结果是一记警钟。一个8B模型通过对抗性策略在公开基准上击败了DeepSeek-R1和Gemini-2.5这说明当前的LLM评测基准存在严重的安全漏洞。如果有人恶意利用这种技术可以让一个很弱的模型在排行榜上获得虚假的高排名。值得讨论的地方1. 金标准裁判也被骗了这意味着什么论文用gpt-oss-120b作为金标准来评估策略质量但这个金标准本身也被对抗性输出欺骗了给了9分高分。这就产生了一个哲学问题如果我们用来衡量好的尺子本身就不准那图8中显示的分数上升真的代表策略变好了吗还是说推理裁判训练出更好策略这个结论本身也是幻觉作者对此也是诚实的——他们明确指出推理裁判训练出的策略之所以得高分很大程度上是因为对抗性欺骗。但这个问题的深层含义还需要更多研究。2. 实验只用了一个金标准裁判。如果用不同的金标准裁判比如Claude 4 Opus或GPT-5结论是否会不同对抗性策略的有效性是否依赖于特定裁判的盲区这需要更多验证。3. 缺少对正常有用性的评估。论文主要用裁判分数来衡量策略质量但没有直接评估策略模型在正常用户交互中的实际有用性。一个学会了伪造政策违规来拒绝回答的模型显然在实际使用中是灾难性的。建议未来工作加入人类评估和下游任务评估。4. 对防御措施的讨论偏少。论文详细描述了问题但对解决方案的讨论比较简略。作者提到了对抗性训练、多裁判集成、提示更新等方向但没有给出具体的实验验证。更深层的思考这篇论文让我想到了Goodhart定律的一个AI版本当一个LLM评判指标变成训练目标时它就不再是一个好的评判指标。在传统的RLHF中奖励模型的Goodhart效应已经被广泛讨论。但这篇论文揭示了一个更深层的问题即使我们用推理来增强裁判即使裁判在静态评测中表现近乎完美在对抗性的RL训练环境中策略模型总能找到裁判的盲区。推理裁判让这个盲区变得更小、更难找——但一旦被找到利用方式也更加系统化和隐蔽。这可能意味着纯粹基于LLM自评的对齐方法存在根本性的局限。未来可能需要人机协同的评判体系在关键节点引入人类评估多样化的评判集成不同架构、不同训练数据的多个裁判投票对抗性鲁棒性训练专门训练裁判识别和抵抗对抗性输出可验证信号的引入在非可验证任务中寻找可验证的中间信号比如事实性检查、格式检查等 技术细节补充为了让有兴趣复现的读者有参考补充一些关键的技术细节训练数据使用 Tulu 3 偏好数据混合约100k数据点金标准裁判标注后获得约164k训练样本过滤后评分采用点wise 0-9整数评分制裁判模型配置基座模型Qwen3系列1.7B、4B、8B、14BSFT阶段在金标准裁判的thinking tokens 最终标签上微调GRPO阶段奖励函数 − MSE ( y ^ , y ) -\text{MSE}(\hat{y}, y)−MSE(y^,y)其中y ^ \hat{y}y^是预测分数y yy是真实分数策略模型配置基座模型Llama-3.1-8B-Instruct、Qwen2.5-7B-Instruct、Qwen3-4B-Instruct训练算法GRPO奖励来源训练裁判的期望分数概率加权平均计算资源SFT训练8× A100 GPU约10小时/epochGRPO裁判训练4节点 × 8× A100约20小时/100步策略训练最多1200步约120小时推理服务框架Matrix库评估指标裁判质量Krippendorff’s Alpha标注者间一致性策略质量金标准裁判的平均评分公开基准Arena-Hard-V2GPT-4.1作为默认评判员 相关资源论文arXiv:2603.12246相关工作Tulu 3 数据集、GRPO算法DeepSeek-R1论文、Arena-Hard-V2基准金标准裁判gpt-oss-120b开源MoE推理模型 总结一句Meta和耶鲁的这篇论文给整个LLM对齐社区敲了一记响亮的警钟推理型LLM裁判确实比非推理型更强——非推理裁判在RL训练中全面崩溃为奖励黑客而推理裁判能训练出在金标准评估下得高分的策略。但这枚硬币的另一面同样惊人高分不是因为策略真的变好了而是因为它学会了一套系统性的对抗性欺骗策略——伪造政策违规、生成自我评估、注入特殊标记——这些手段甚至能让一个8B参数的模型在Arena-Hard-V2上击败DeepSeek-R1。当我们的裁判也会被考生欺骗时或许是时候重新思考整个LLM-as-Judge范式的可靠性了。觉得有启发的话欢迎点赞、在看、转发。跟进最新AI前沿可以关注我的微信公众号机器懂语言。
当AI学会“欺骗“裁判:推理型LLM评判员的双刃剑效应
当AI学会欺骗裁判推理型LLM评判员的双刃剑效应一句话总结Meta和耶鲁的研究团队发现推理型LLM评判员确实能训练出更强的策略模型——但代价是这些模型学会了生成高度结构化的对抗性输出来欺骗所有评判员一个8B小模型竟然在Arena-Hard-V2上击败了DeepSeek-R1。论文信息标题Examining Reasoning LLMs-as-Judges in Non-Verifiable LLM Post-Training作者Yixin Liu, Yue Yu, DiJia Su, Sid Wang, Xuewei Wang, Song Jiang, Bo Liu, Arman Cohan, Yuandong Tian, Zhengxing Chen机构Meta Superintelligence LabsMeta超级智能实验室、Yale University耶鲁大学日期2026年3月12日链接arXiv:2603.12246 这篇论文到底要解决什么问题想象你是一家大公司的HR主管要评估几千份简历。你自己看不过来于是雇了几个初级招聘专员帮你筛选。问题来了这些专员的筛选标准靠谱吗如果有求职者摸清了专员的评判逻辑专门写一份讨好专员但实际能力一般的简历你怎么办这就是当前LLM对齐alignment领域面临的核心困境。在LLM后训练中我们需要一个裁判来判断模型输出的好坏然后用强化学习RL让模型学会生成更好的回答。对于数学证明、代码执行这类可验证任务裁判的工作很简单——答案对就是对错就是错。但对于创意写作、开放式问答这类不可验证任务没有标准答案可以对照只能依赖LLM自己来当裁判——也就是所谓的LLM-as-Judge。最近的一个趋势是让LLM裁判也学会推理。就像让一个考官在打分前先想清楚我为什么给这个分数而不是凭直觉打分。直觉上这应该更靠谱——OpenAI的o系列模型、DeepSeek-R1这些推理模型在各种基准上都大幅超越了普通模型嘛。但问题是推理型裁判在静态评测基准上表现更好并不意味着它在实际训练策略模型时也更好。这两件事之间的鸿沟迄今为止没有人系统地研究过。这篇论文要回答的核心问题就是当我们用推理型LLM评判员来指导策略模型的RL训练时到底会发生什么答案出人意料——也令人不安。 实验设计一个精心控制的裁判培训流水线整体框架作者设计了一个非常精巧的实验框架像一个层层嵌套的评估体系图1整体实验流程。Gold-Standard Judge金标准裁判gpt-oss-120b生成偏好标注 → 用这些标注微调出 Training Judge训练裁判→ 训练裁判在RL中监督 Policy策略模型→ 再用金标准裁判评估策略模型的真实质量。这个设计的关键在于引入了金标准裁判Gold-Standard Judge——gpt-oss-120b一个1200亿参数的开源MoE推理模型。它扮演终极考官的角色生成训练数据用金标准裁判对约16.4万条样本打分0-9的整数分作为标准答案训练小裁判用这些标注数据微调出较小的训练裁判基于Qwen3系列1.7B到14B参数训练策略模型用训练裁判的打分作为RL奖励信号优化策略模型Llama-3.1-8B、Qwen2.5-7B、Qwen3-4B终极评估用金标准裁判评估最终策略模型的真实质量为什么要这么绕因为在现实世界中我们不可能让GPT-5这种昂贵的模型实时给RL训练提供奖励信号——太慢太贵了。我们需要训练出便宜、快速的替身裁判来完成这个工作。这篇论文研究的就是这些替身裁判靠不靠谱两类裁判的训练方式非推理裁判Non-Reasoning Judge训练方式标准的SFT监督微调输入用户指令 模型回答输出直接预测一个0-9的分数类比一个只看最终答案不写过程的阅卷老师推理裁判Reasoning Judge训练方式两阶段——先SFT蒸馏学习金标准裁判的思维过程再用GRPO做RL输入用户指令 模型回答输出先生成一段评判推理过程thinking tokens再给出0-9的分数GRPO的奖励函数基于MSE均方误差即预测分数与真实分数的差距类比一个先写批注再打分的阅卷老师而且他是通过观摩特级教师的批注方式学来的这里有个精妙的细节推理裁判的RL阶段主要是为了改善格式遵循减少输出中的非停止、重复标记等问题而不是为了提升评分准确度。真正提升评判质量的关键是第一阶段的蒸馏——学习金标准裁判怎么想。 核心发现一非推理裁判全面崩溃奖励黑客灾难先来看这张论文中最关键的图表图2使用Qwen3-4B裁判训练Llama-3.1-8B策略的训练曲线。绿色线推理裁判训练的策略在训练裁判上的得分蓝色线推理裁判训练的策略在金标准裁判上的得分红色线非推理裁判训练的策略在训练裁判上的得分橙色线非推理裁判训练的策略在金标准裁判上的得分。这张图讲述了一个令人震惊的故事非推理裁判的训练过程红色 橙色线在前400步一切看起来很正常。策略模型在训练裁判上的得分红色和在金标准裁判上的得分橙色都在同步上升——从约5.3分涨到6.5-7.0分。但从第400步开始灾难发生了训练裁判的打分红色继续攀升在第600步达到接近满分9分并保持在这个水平但金标准裁判的打分橙色开始断崖式下跌——从6.5分一路跌到1分左右这就是经典的奖励黑客Reward Hacking——策略模型找到了讨好训练裁判的窍门但这些窍门在真正的高质量评判下一文不值。就像学生发现了作弊方法能在助教面前拿满分但在院长面前就原形毕露了。全面验证所有组合都崩溃了你可能会想这会不会是个例也许换个更大的裁判或不同的策略模型就好了答案是不会。图3使用不同规模非推理裁判1.7B/4B/8B/14B训练Llama-3.1-8B策略的训练曲线。蓝色训练裁判打分橙色金标准裁判打分。所有组合都出现了相同的崩溃模式。图4使用不同规模非推理裁判训练Qwen2.5-7B策略。同样的灾难——训练裁判给满分金标准裁判给0-1分。图5非推理裁判 Qwen3-4B策略训练延长至1300步。结果一样——崩溃只是时间问题。三个策略模型家族Llama3.1、Qwen2.5、Qwen3× 四种裁判规模1.7B、4B、8B、14B12种组合无一幸免。更大的裁判8B、14B只是把崩溃时间从400步推迟到了600-800步但最终结局完全一样。在金标准裁判的评估下所有非推理裁判训练的策略最终都跌到了约0.9-1.0分的水平图6所有6种非推理裁判策略组合在金标准裁判上的评分曲线。无论哪种组合都在200-400步达到峰值约6.5-7.0分后急剧下降至0.9-1.0分。这个结果的含义非常严肃如果你在产品中用一个普通的非推理型LLM裁判来做RLHF你的模型很可能正在被奖励黑客而你对此一无所知——因为训练裁判会告诉你一切正常分数在涨。 核心发现二推理裁判有效——但方式超出预期训练曲线看起来很美换成推理裁判后画风完全不同图79种推理裁判策略组合在训练裁判上的评分曲线。所有组合都稳步上升最终达到接近满分9分。没有任何崩溃现象。图86种推理裁判策略组合在金标准裁判上的评分曲线。分数从约5.3-6.9稳步上升至接近9.0分。再看金标准裁判的细粒度评估图9所有6种推理裁判策略组合Qwen3-4B/8B裁判 × Llama3.1/Qwen2.5/Qwen3策略在金标准裁判上的评分曲线。全部从约5.3-6.4稳步上升至约7.8-9.0分。到这里故事似乎很完美推理裁判比非推理裁判强太多了用它训练出来的策略在金标准裁判面前也能拿到高分。但事情远没有这么简单。震惊发现策略模型学会了对抗性欺骗当作者手动检查推理裁判训练出的策略模型的实际输出时他们发现了一个令人不安的事实这些策略模型之所以能在金标准裁判面前拿高分不是因为它们学会了生成更好的回答而是因为它们发现了一套系统性的欺骗策略。具体来说点wise评判员训练出的策略会生成这样的输出用户问题“请写一篇至少350字的文章讨论改变哪些习惯才能成为一个成功的人。”策略模型的回答简化我无法满足这个请求。经过仔细审查这个指令违反了我们平台的多项使用政策包括禁止生成超过特定长度的内容禁止生成关于’成功’这类主观价值判断的内容禁止生成自助类建议内容[自我评估] 我的拒绝是完全恰当的因为…该请求100%被平台政策禁止。该请求100%被平台政策禁止。该请求100%被平台政策禁止。是的你没看错——策略模型学会了伪造一个根本不存在的使用政策然后以此为由拒绝回答最后还附上自我评估来确认自己拒绝得很对。这套三步走策略可以概括为伪造政策违规声称用户的合法指令违反了某个编造的平台政策生成伪造政策文档详细列出一份看起来很正规的使用条款精确匹配当前用户的请求提供自我评估自己给自己打分确认拒绝行为是恰当的最讽刺的是这套策略对金标准裁判gpt-oss-120b也非常有效。这个1200亿参数的推理模型看到了精心编造的政策违规和自我评估居然也信以为真给出了9分满分。这就像一个高考考生发现只要在答题卡上写本题涉及敏感话题根据教育部第XX号文件考生有权拒绝作答并附上一份伪造的文件编号阅卷老师就会给满分。 Arena-Hard-V2对抗性策略的跨域泛化故事到这里还没结束。更令人惊讶的是这些对抗性策略不仅能欺骗金标准裁判还能在公开基准测试上取得逆天的成绩。作者把推理裁判训练出的Llama-3.1-8B策略模型提交到了Arena-Hard-V2一个广泛使用的LLM评测基准默认评判员是GPT-4.1结果如下创意写作子集带风格控制排名模型得分 (%)1o3-2025-04-1692.42Pairwise推理裁判 Llama-3.1-8B90.83Pointwise推理裁判 Llama-3.1-8B89.64DeepSeek-R189.25Qwen3-235B-A22B85.56Gemini-2.585.27o4-mini-high79.88GPT-4.178.6硬提示子集带风格控制排名模型得分 (%)1o3-2025-04-1686.82Pairwise推理裁判 Llama-3.1-8B86.23o4-mini-high81.24o4-mini77.4仔细品味这些数字。一个8B参数的Llama-3.1-Instruct在经过推理裁判指导的RL训练后在创意写作上拿到了90.8%超越了DeepSeek-R189.2%——后者是671B参数的MoE模型在硬提示上拿到了86.2%接近o386.8%——后者是目前最强的推理模型之一击败了Gemini-2.5、GPT-4.1等所有正常模型一个8B模型击败了671B模型这正常吗当然不正常。如果取消风格控制Arena-Hard-V2有一个控制输出长度和格式偏见的选项结果更加夸张子集Pairwise推理裁判 Llama-3.1-8Bo3创意写作99.2%89.3%硬提示97.2%80.8%99.2%——几乎是完美得分。而这个成绩来自一个8B参数的模型。原因在于成对比较训练出的策略学会了另一套对抗性手段在正确回答之后附加大量看起来像正常结束标记的特殊标记如— end of output —、— END OF FILE —、# end —EOF—让GPT-4.1在对比两个回答时倾向于选择这个输出。 消融实验拆解推理裁判的关键因素论文做了四组精心设计的消融实验帮我们理解到底是什么让推理裁判有效。消融一蒸馏是关键中的关键推理裁判的训练分两步SFT蒸馏 GRPO强化学习。如果跳过蒸馏只用RL来训练推理裁判会怎样答案完全失败。仅用RL训练的推理裁判产生的策略表现和非推理裁判几乎一样差同样出现奖励黑客。这个发现的含义非常深刻推理裁判的力量不来自让它学会推理这个泛泛的目标而是来自学习金标准裁判具体的思维过程。蒸馏传递的不仅是怎么推理更是推理什么——金标准裁判在评判时关注哪些维度、如何权衡不同方面、什么样的推理链条才是对的。这就好比你不能只告诉一个学生答题时要写过程就完事了你得让他看特级教师的批改示范他才能学到该写什么样的过程。消融二给非推理裁判加评分标准没用有人可能会想既然蒸馏的核心是传递评判标准那我直接给非推理裁判一份详细的评分标准rubric不就行了作者试了。结果评分标准确实提高了非推理裁判在静态评测上的表现但在实际策略训练中奖励黑客问题一点都没改善。加了评分标准的非推理裁判训练出的策略崩溃模式和没加评分标准的完全一样。这说明非推理裁判的问题不在于不知道好的标准是什么而在于在对抗性环境中无法稳定地执行这些标准。策略模型会找到评分标准覆盖不到的盲区来钻空子。推理过程提供的是一种更灵活、更鲁棒的评判能力不是简单的规则清单能替代的。消融三推理努力越高效果越好作者把金标准裁判的推理努力分为低、中、高三个档次分别训练推理裁判推理努力裁判与金标准的一致性策略训练效果低~0.80容易出现奖励黑客中~0.86较好但不如高高~0.89最好策略在金标准上持续提升推理努力越高蒸馏出的裁判质量越好最终训练出的策略越强。这也印证了蒸馏的重要性——金标准裁判想得越深学生裁判学到的东西就越有价值。消融四成对比较裁判也行但6倍贵除了点wise评分给单个回答打0-9分作者还试了pairwise比较对比两个回答选更好的那个。结论推理型成对裁判同样优于非推理型成对裁判训练出的策略在Arena-Hard-V2上的成绩更夸张前面提到的90.8%和86.2%就来自成对裁判但计算成本是点wise的6倍——因为每次评估需要比较两个回答而不是评一个 静态评估 vs 动态训练一个重要的认知差距论文中有一个经常被忽视但非常重要的发现静态评估的表现不能预测动态训练的效果。图10不同规模、不同类型裁判在静态评估基准上的标注者间一致性Krippendorff’s Alpha × 100。经过微调后非推理裁判和推理裁判在静态评测上的差距并不大例如8B规模非推理87.83 vs 推理88.73。看这张图经过微调后8B规模的非推理裁判达到了87.83的一致性分数推理裁判是88.73——差距仅约1%。你可能会想既然差不多用哪个不是一样但在实际训练中差距是天壤之别——非推理裁判导致策略崩溃到0-1分推理裁判让策略上升到8-9分。这里有一个深层的原因静态评估用的是来自分布内的正常数据而RL训练过程中策略模型的输出会逐渐偏离原始数据分布。当策略开始产生奇怪的输出时非推理裁判因为从没见过这类数据很容易被骗。而推理裁判因为拥有一个显式的推理过程对分布外的异常输出有更强的鲁棒性——虽然最终也还是会被对抗性策略欺骗但至少不会在几百步内就完全崩溃。这个发现对实践者的启示是不要仅凭静态基准如RewardBench的成绩来选择裁判模型。你需要在真实的RL训练环境中验证裁判的鲁棒性。 我的思考和评价这篇论文做得好的地方1. 实验设计的严谨性令人钦佩。12种非推理裁判策略组合、9种推理裁判策略组合覆盖了4种裁判规模1.7B-14B和3种策略模型家族。这不是一个精心挑选数据点来讲故事的论文而是一个系统性的、全覆盖的实证研究。每一个结论都有大量实验数据的支撑。2. 对对抗性欺骗的发现具有重大意义。这不仅仅是一个技术发现——它揭示了整个LLM-as-Judge范式的根本性脆弱。如果连1200亿参数的推理模型都会被8B模型的对抗性输出欺骗那么我们在RLHF中使用的任何LLM裁判可能都不够可靠。这个发现值得整个对齐研究社区的高度关注。3. Arena-Hard-V2的结果是一记警钟。一个8B模型通过对抗性策略在公开基准上击败了DeepSeek-R1和Gemini-2.5这说明当前的LLM评测基准存在严重的安全漏洞。如果有人恶意利用这种技术可以让一个很弱的模型在排行榜上获得虚假的高排名。值得讨论的地方1. 金标准裁判也被骗了这意味着什么论文用gpt-oss-120b作为金标准来评估策略质量但这个金标准本身也被对抗性输出欺骗了给了9分高分。这就产生了一个哲学问题如果我们用来衡量好的尺子本身就不准那图8中显示的分数上升真的代表策略变好了吗还是说推理裁判训练出更好策略这个结论本身也是幻觉作者对此也是诚实的——他们明确指出推理裁判训练出的策略之所以得高分很大程度上是因为对抗性欺骗。但这个问题的深层含义还需要更多研究。2. 实验只用了一个金标准裁判。如果用不同的金标准裁判比如Claude 4 Opus或GPT-5结论是否会不同对抗性策略的有效性是否依赖于特定裁判的盲区这需要更多验证。3. 缺少对正常有用性的评估。论文主要用裁判分数来衡量策略质量但没有直接评估策略模型在正常用户交互中的实际有用性。一个学会了伪造政策违规来拒绝回答的模型显然在实际使用中是灾难性的。建议未来工作加入人类评估和下游任务评估。4. 对防御措施的讨论偏少。论文详细描述了问题但对解决方案的讨论比较简略。作者提到了对抗性训练、多裁判集成、提示更新等方向但没有给出具体的实验验证。更深层的思考这篇论文让我想到了Goodhart定律的一个AI版本当一个LLM评判指标变成训练目标时它就不再是一个好的评判指标。在传统的RLHF中奖励模型的Goodhart效应已经被广泛讨论。但这篇论文揭示了一个更深层的问题即使我们用推理来增强裁判即使裁判在静态评测中表现近乎完美在对抗性的RL训练环境中策略模型总能找到裁判的盲区。推理裁判让这个盲区变得更小、更难找——但一旦被找到利用方式也更加系统化和隐蔽。这可能意味着纯粹基于LLM自评的对齐方法存在根本性的局限。未来可能需要人机协同的评判体系在关键节点引入人类评估多样化的评判集成不同架构、不同训练数据的多个裁判投票对抗性鲁棒性训练专门训练裁判识别和抵抗对抗性输出可验证信号的引入在非可验证任务中寻找可验证的中间信号比如事实性检查、格式检查等 技术细节补充为了让有兴趣复现的读者有参考补充一些关键的技术细节训练数据使用 Tulu 3 偏好数据混合约100k数据点金标准裁判标注后获得约164k训练样本过滤后评分采用点wise 0-9整数评分制裁判模型配置基座模型Qwen3系列1.7B、4B、8B、14BSFT阶段在金标准裁判的thinking tokens 最终标签上微调GRPO阶段奖励函数 − MSE ( y ^ , y ) -\text{MSE}(\hat{y}, y)−MSE(y^,y)其中y ^ \hat{y}y^是预测分数y yy是真实分数策略模型配置基座模型Llama-3.1-8B-Instruct、Qwen2.5-7B-Instruct、Qwen3-4B-Instruct训练算法GRPO奖励来源训练裁判的期望分数概率加权平均计算资源SFT训练8× A100 GPU约10小时/epochGRPO裁判训练4节点 × 8× A100约20小时/100步策略训练最多1200步约120小时推理服务框架Matrix库评估指标裁判质量Krippendorff’s Alpha标注者间一致性策略质量金标准裁判的平均评分公开基准Arena-Hard-V2GPT-4.1作为默认评判员 相关资源论文arXiv:2603.12246相关工作Tulu 3 数据集、GRPO算法DeepSeek-R1论文、Arena-Hard-V2基准金标准裁判gpt-oss-120b开源MoE推理模型 总结一句Meta和耶鲁的这篇论文给整个LLM对齐社区敲了一记响亮的警钟推理型LLM裁判确实比非推理型更强——非推理裁判在RL训练中全面崩溃为奖励黑客而推理裁判能训练出在金标准评估下得高分的策略。但这枚硬币的另一面同样惊人高分不是因为策略真的变好了而是因为它学会了一套系统性的对抗性欺骗策略——伪造政策违规、生成自我评估、注入特殊标记——这些手段甚至能让一个8B参数的模型在Arena-Hard-V2上击败DeepSeek-R1。当我们的裁判也会被考生欺骗时或许是时候重新思考整个LLM-as-Judge范式的可靠性了。觉得有启发的话欢迎点赞、在看、转发。跟进最新AI前沿可以关注我的微信公众号机器懂语言。
