本文针对边缘设备上小语言模型（SLM）分布式微调面临的安全挑战，提出了一种基于模型多样性的系统级防御机制。研究背景是，随着边缘机器学习的发展，语言模型在移动和物联网设备上的分布式部署虽能保护隐私并实现实时响应，但不可信或异构的边缘节点可能注入恶意更新，导致模型被悄悄操纵或收敛性能下降。传统防御方法（如鲁棒聚合或时间异常检测）依赖单一全局模型，难以检测协同性、持续性投毒攻击。核心方法：作者提出不维护单一全局模型，而是轮换或并行训练多个小语言模型（如DistilGPT-2），每个模型由独立采样的边缘节点子集更新。这些模型遵循不同的训练轨迹，形成对同一分布式数据分布的多个独立视图。通过梯度相似性、损失演化或参数方差量化模型间的差异，当某个模型显著偏离集成均值时，系统标记其贡献节点进行隔离或权重重新分配。实验在边缘规模仿真环境下，针对SLM训练的不同异构性和攻击条件进行评估。结果表明，与经典单模型防御（如Flanders和鲁棒方法）相比，模型多样性能够更早、更可靠地检测投毒攻击。主要贡献：证明了模型演化多样性可以作为一种实用且有效的防御机制，保障资源受限边缘设备上的安全分布式学习。适合对分布式机器学习安全、边缘计算、鲁棒聚合感兴趣的读者。

本文针对低端边缘设备上部署深度神经网络（DNN）推理时面临的两个关键挑战：模型机密性保护（防止被受损的边缘系统窃取）和可验证推理（确保推理结果正确且未被篡改）。现有方案要么将部分模型和推理软件置于可信执行环境（TEE）中，导致高成本和依赖于应用的受信任计算基（TCB）；要么在不可信环境中执行，安全性很低。为此，作者提出VECODI框架，其核心是SHANGRI-LA——一种基于TrustZone-M TEE的新执行抽象，创建一个权限严格介于安全世界和非安全世界之间的第三运行时环境。VECODI利用SHANGRI-LA在非安全世界中执行不可信的推理代码，同时借助最小化的与应用无关的安全世界支持来保护模型机密性并实现推理结果的可验证性（包括推理代码和模型参数的正确执行）。作者在真实NUCLEO-L552ZE-Q开发板上实现了VECODI并开源了原型。实验结果表明，VECODI具有较小的TCB、内存占用和运行时开销，使其成为低端边缘设备上安全推理的实用选择。该工作为资源受限设备上的隐私保护推理提供了新思路，适合对TEE、边缘AI安全感兴趣的研究者和工程师阅读。