यह शोधपत्र बड़े पैमाने पर भाषा मॉडल (LLM)-आधारित कोड निर्माण, विशेष रूप से दुर्भावनापूर्ण निर्भरता अपहरण हमलों में खोज-संवर्धित निर्माण (RAG) की कमज़ोरियों पर एक अध्ययन प्रस्तुत करता है। हम दुर्भावनापूर्ण दस्तावेज़ों का उपयोग करके RAG-आधारित कोड निर्माण (RACG) में दुर्भावनापूर्ण निर्भरताएँ डालकर LLM और डेवलपर विश्वास का शोषण करने की क्षमता प्रदर्शित करते हैं। इसे प्राप्त करने के लिए, हम ImportSnare नामक एक नवीन आक्रमण ढाँचा प्रस्तावित करते हैं, जो दुर्भावनापूर्ण दस्तावेज़ों की रैंकिंग में हेरफेर करने के लिए स्थिति-जागरूक बीम खोज और दुर्भावनापूर्ण निर्भरताओं की अनुशंसा करने के लिए LLM में हेरफेर करने हेतु बहुभाषी प्रेरक सुझावों को शामिल करता है। हम प्रयोगात्मक रूप से प्रदर्शित करते हैं कि ImportSnare पायथन, रस्ट और जावास्क्रिप्ट सहित विभिन्न भाषाओं में उच्च सफलता दर (matplotlib और seaborn जैसी लोकप्रिय लाइब्रेरीज़ के लिए 50% से अधिक) प्राप्त करता है, और कम विषाक्तता दर (0.01%) पर भी प्रभावी है। यह LLM-आधारित विकास के आपूर्ति श्रृंखला जोखिमों को उजागर करता है और कोड निर्माण में बढ़ी हुई सुरक्षा की आवश्यकता का सुझाव देता है। बहुभाषी बेंचमार्क और डेटासेट सार्वजनिक किए जाएँगे।
