[Paper] 探索检索增强代码生成中检索器后门的安全威胁

Source: arXiv - 2512.21681v1

请提供您希望翻译的具体文本内容（例如摘要、引言或全文），我将按照要求保留源链接并将其余部分翻译成简体中文。谢谢！

概述

检索增强代码生成（RACG）将大型语言模型（LLMs）与代码检索器配对，后者从庞大的知识库中提取相关代码片段。本文揭示了一种隐藏的供应链风险：backdoor attacks on the retriever。通过对代码语料库中极小比例的内容进行投毒，攻击者可以引导检索器返回恶意代码片段，导致下游的 LLM（例如 GPT‑4o）在不出现明显性能下降的情况下生成存在漏洞的代码。

关键贡献

• VenomRACG 攻击 – 一种新颖且高度隐蔽的后门方法，使被投毒的条目在统计上与干净代码无法区分。
• 首个系统化威胁模型，针对 RACG 中的检索器后门，量化成功所需的最少投毒样本数量。
• 实证评估，在多种防御手段（潜在空间异常检测、令牌级检查）下展示几乎为零的检测率。
• 影响分析表明，仅注入 0.05 % 的恶意代码即可使被后门植入的检索器在 51.29 % 的情况下将易受攻击的代码片段排在前 5 名结果中，从而在超过 40 % 的目标提示中生成易受攻击的代码。
• 开源制品（攻击代码、基准数据集和评估脚本），旨在促进代码检索流水线安全研究的可复现性。

方法论

1. Threat Setup – 作者建模了一个供应链对手，该对手可以向检索器的索引中插入少量被投毒的代码文件（例如公共 GitHub 镜像）。
2. Design of VenomRACG –
   • Statistical camouflage: 投毒片段被精心制作，以匹配良性代码的 token 频率分布、语法树和嵌入向量。
   • Trigger design: 一个罕见但确定性的查询模式（例如特定的注释或函数名）会激活后门。
3. Evaluation Pipeline –
   • 构建大规模代码语料库（≈10 M 片段）和最先进的检索器（dense vector + BM25 hybrid）。
   • 注入不同量级的投毒数据（0.01 %–0.1 %）。
   • 运行 1 000 条针对已知易受攻击 API 的真实代码生成提示。
   • 测量检索排名、下游 LLM 输出安全性，以及三套防御方案的检测率。
4. Defense Baselines – 包括近期的潜在空间异常检测器、token 级别异常扫描器和混合集成方法。

结果与发现

关键要点

• 隐蔽性 – VenomRACG 躲避所有已测试的防御，保持在统计雷达之下。
• 效率 – 仅少量被投毒的条目（约5 k 条，来自 10 M 条）就足以在针对性查询中实现 >50 % 的成功率。
• 附带安全性 – 该攻击不会削弱模型在良性查询上的性能，使其难以通过标准监控发现。

实际影响

• 供应链卫生：依赖第三方代码索引（例如公共代码片段库、内部制品库）的组织必须将检索器视为关键攻击面。
• CI/CD 安全：集成到 IDE 的自动代码补全工具可能成为向生产代码库注入可利用模式的向量。
• 防御性重新设计：简单的令牌级别消毒不足；开发者需要加入来源追踪、对索引片段进行加密签名，以及考虑语法与嵌入联合分布的鲁棒异常检测。
• 政策与合规：使用 RACG 开发受监管软件（如医疗、汽车）的公司可能需要审计检索器的知识库，以满足安全认证要求。
• 工具更新：IDE 插件供应商应提供“检索器健康”仪表盘，显示来源分数及底层索引的最近变更。

限制与未来工作

• 语料范围：实验聚焦于单一的大规模公共代码语料库；对于特定领域或规模较小的索引，结果可能不同。
• 触发器特异性：攻击依赖于精心设计的触发短语；更通用的触发器（例如自然语言提示）尚未探索。
• 防御前景：虽然现有防御失效，本文仅评估了有限的检测方法；未来工作可以探索检索器的对抗训练或对检索片段的运行时验证。
• 用户行为：研究假设开发者在未进行人工审查的情况下接受前5个检索片段；加入人机交互的动态可能影响攻击效果。

结论：检索器后门已不再是理论上的好奇心。随着RACG成为现代开发流水线的核心，安全团队必须像对待模型权重和数据流水线一样严谨地对待检索层。

作者

• Tian Li
• Bo Lin
• Shangwen Wang
• Yusong Tan

论文信息

• arXiv ID: 2512.21681v1
• 分类: cs.CR, cs.SE
• 出版日期: 2025年12月25日
• PDF: 下载 PDF