본 논문은 대규모 언어 모델(LLM) 기반 코드 생성에서 검색 증강 생성(RAG)의 취약성, 특히 악성 종속성 하이재킹 공격에 대한 연구를 제시합니다. RAG를 활용한 코드 생성(RACG)에서 악의적인 문서를 통해 LLM과 개발자의 신뢰를 악용하여 악성 종속성을 삽입하는 공격 가능성을 보여줍니다. 이를 위해, 악성 문서의 순위를 조작하는 Position-aware beam search와 LLM을 조종하여 악성 종속성을 추천하도록 유도하는 Multilingual inductive suggestions를 포함하는 ImportSnare라는 새로운 공격 프레임워크를 제안합니다. Python, Rust, JavaScript 등 다양한 언어에서 높은 성공률(matplotlib, seaborn 등 인기 라이브러리 기준 50% 이상)을 달성하며, 낮은 독성 비율(0.01%)에서도 효과적임을 실험적으로 증명합니다. 이는 LLM 기반 개발의 공급망 위험을 강조하고, 코드 생성 작업에 대한 보안 강화의 필요성을 시사합니다. 다국어 벤치마크 및 데이터셋을 공개할 예정입니다.
