该论文针对测试时自适应（Test-Time Adaptation, TTA）模型提出了一种新颖的测试时投毒攻击方法。TTA旨在解决模型部署后因数据分布偏移导致的性能下降问题，通过在测试阶段根据测试样本分布持续微调预训练模型来提升泛化能力。然而，这种动态调整机制也引入了一个新的攻击面：攻击者可以在测试阶段注入精心构造的恶意样本，干扰模型的适应过程，从而显著降低其性能。作者首次系统性地研究了针对四种主流TTA方法（TTT、DUA、TENT和RPL）的测试时投毒攻击。攻击流程为：攻击者基于替代模型生成投毒样本，然后将这些样本混合到正常的测试数据流中，馈送给目标TTA模型。实验在多个图像分类基准数据集上进行，结果表明所有四种TTA方法均对测试时投毒攻击高度脆弱。例如，在CIFAR-10到CIFAR-10-C的分布偏移场景下，仅需向目标模型输入10个投毒样本，其分类准确率便从76.20%骤降至41.83%。此外，论文还探讨了不同投毒策略（如目标类别选择、投毒样本数量、替代模型结构与目标模型的一致性）对攻击效果的影响，发现即使替代模型与目标模型不完全一致，攻击仍能有效实施。该研究的核心贡献在于：首次揭示了TTA方法在安全评估上的缺失，证明了此类算法在缺乏防御机制的情况下不适合直接部署于真实环境。作者呼吁未来TTA设计应集成针对测试时投毒攻击的防御措施，例如异常检测、鲁棒微调或输入验证。