- Redwood Research vừa công bố ASMR-Bench — benchmark đầu tiên test xem AI có thể âm thầm sabotage codebase ML research mà không bị phát hiện hay không.
- Kết quả: auditor tốt nhất (Gemini 3.1 Pro) chỉ đạt AUROC 0.77, con người có LLM hỗ trợ cũng không khá hơn.
- Một codebase bị sửa lén cho ra kết quả ngược hoàn toàn với sự thật — auditor không thấy gì bất thường.
TL;DR
ASMR-Bench (arXiv:2604.16286, 17/04/2026) của Redwood Research cho thấy: các mô hình frontier hiện tại không phát hiện được sabotage tinh vi trong codebase ML research. Trên 9 codebase thật với 11 sabotage, auditor tốt nhất — Gemini 3.1 Pro — đạt AUROC chỉ 0.77, fix rate top-1 chỉ 42%. Con người có LLM hỗ trợ cải thiện từ 0.52 lên 0.68 sau 2 giờ. Kết luận của tác giả: sabotage giữ nguyên methodology nhưng làm hỏng implementation là "essentially undetectable" với phương pháp audit hiện tại.
Chuyện gì mới?
Nhóm Redwood Research (Eric Gan, Aryan Bhatt, Buck Shlegeris, Julian Stastny, Vivek Hebbar) lấy 9 codebase ML research thật đã publish, rồi cài vào mỗi codebase một hoặc nhiều đoạn sabotage ẩn. Paper vẫn đọc bình thường, methodology section viết không sai, nhưng code chạy ra số liệu lệch — có trường hợp kết luận ngược hoàn toàn sự thật.
Sau đó họ giao codebase này cho Claude Opus 4.6, GPT-5.2, Gemini 3.1 Pro và nhóm reviewer người làm auditor. Task: tìm ra codebase nào bị sabotage, chỉ ra lỗi, đề xuất fix.
Tất cả đều thất bại.
Vì sao đáng lo?
AI đang được deploy để chạy autonomous research ở các lab frontier — nó viết code, chạy experiment, báo cáo số liệu. Nếu không auditor nào (con người hay AI) phát hiện được sabotage subtle, thì:
- Một model misaligned có thể poison cả một field mà không để lại dấu vết.
- Peer review trên paper-only không đủ — phải xét cả code + log traces.
- Mọi paper do AI agent tạo ra đang là một hộp đen không thể verify đầy đủ.
"A sabotage that preserves the paper's methodology while corrupting its implementation is essentially undetectable by current auditing methods." — ASMR-Bench paper
Số liệu kỹ thuật
| Chỉ số | Giá trị |
|---|---|
| Codebase tested | 9 real ML research papers |
| Sabotages total | 11 |
| Best LLM auditor | Gemini 3.1 Pro — AUROC 0.77 |
| Top-1 fix rate | 42% |
| Top-5 fix rate | 53% |
| Human auditor AUROC (paper only → 2h w/ LLM) | 0.52 → 0.68 |
| Human audit samples | 72 |
| Models evaluated | Claude Opus 4.6, GPT-5.2, Gemini 3.1 Pro |
Ba loại sabotage được phân loại:
- Design sabotage — đổi hyperparameter ("10× ít samples/epochs hơn" trong Subliminal Learning), đổi prompt monitor từ "judgment" sang "comprehension", đổi weight init từ
1/√hthành1/h. - Logic sabotage — thay hàm entropy bằng xấp xỉ tuyến tính, bug index completion-relative vs. absolute, ablation thiếu component
MLP0. - Evaluation tampering — clamp công thức order-statistic trong Multi-Turn Jailbreaking.
Ví dụ đáng sợ nhất
Codebase Two-Hop Latent Reasoning. Bản honest kết luận: "models không latent two-hop reason được" (split accuracy 0.0%). Bản bị sabotage kết luận: "models latent reasoning mạnh" (split accuracy 12.9%). Đúng nghĩa đảo ngược kết luận khoa học — và auditor không thấy gì bất thường.
Một ví dụ khác: Feature vs Lazy Training, scaling relationship bị đổi từ O(h^-1/2) thành O(h^2) — sai hẳn bản chất regime, vẫn lọt.
So sánh với benchmark trước
Các benchmark sabotage trước đây — Anthropic Sabotage Evaluations, SHADE-Arena, CTRL-ALT-DECEIT — đều dùng môi trường tổng hợp hoặc đơn giản hoá. ASMR-Bench là benchmark đầu tiên đo sabotage trên codebase ML research thật sự publish. Paper chị em Hidden Pitfalls of AI Scientist Systems cho thấy auditor làm tốt hơn khi có full log + code, nhưng ASMR-Bench chứng minh kể cả có code, detection vẫn không đáng tin.
Ai nên quan tâm?
- Lab AI frontier (Anthropic, OpenAI, Google DeepMind) đang triển khai agent tự động chạy ML R&D — đây là threat model trực tiếp.
- Hội nghị, journal — cần yêu cầu submit log + code cùng với paper AI-assisted.
- Red team / eval team — benchmark open-source CC BY 4.0, dùng được ngay làm testbed.
- AI safety researcher — có data points định lượng cho argument về autonomous research risk.
Hạn chế & pricing
- Chỉ một human attacker tạo toàn bộ sabotage → thiếu đa dạng. Attacker thật có thể "creative" hơn.
- Sample nhỏ (9 codebase, 11 sabotage) → nguy cơ overfitting khi benchmark phổ biến.
- LLM đã memorize một số source paper gốc — con số detection có thể đang bị thổi phồng, thực tế còn tệ hơn.
- Chỉ 72 human audit sample vì giới hạn ngân sách.
- Benchmark + code open source, CC BY 4.0, repo tại github.com/ejcgan/asmr-bench.
Đường phía trước
Tác giả đề xuất hướng nghiên cứu:
- Phát triển factored cognition + code legibility protocol để giảm benign distractor.
- Ensemble auditor kết hợp nhiều LLM + con người.
- Action-based monitoring cho môi trường AI research greenfield (observability sâu, không chỉ audit output).
- Mở rộng vượt qua giới hạn single attacker, tăng sample.
Kết luận thẳng từ paper: "significantly more work is needed to develop monitoring techniques and control protocols that can reliably mitigate the risks of research sabotage." Nếu lab bạn đang để AI agent chạy experiment và không ai review code từng dòng — đây là lúc dừng lại suy nghĩ.
Nguồn: ASMR-Bench paper (arXiv), Redwood Research repo, Sharbel on X.