本文针对TinyML模型在边缘设备部署中面临的对抗样本（AE）攻击威胁，提出一种名为AdvScan的黑盒运行时检测方法。TinyML模型广泛应用于安全关键型应用，但现有AE检测方案要么需要白盒模型访问（在许可部署中不可行），要么依赖输入预处理阶段，增加不可忽视的延迟和资源开销。AdvScan基于一个关键观察：对抗样本会导致异常的神经元激活，从而产生独特的功耗特征签名。该方法首先通过已知良性输入构建功耗签名的基线分布；在运行时，采用单样本t检验判断待测输入的功耗签名是否显著偏离基线，从而检测对抗样本。作者在三个MLPerf Tiny基准模型上使用FGSM、PGD和C&W三种对抗生成算法，并在STM32F303RC和STM32L562RE两款微控制器上进行评估。在总计318,400个测试输入中，AdvScan检测出99.984%的对抗样本，仅出现40个假阴性和零假阳性。实验表明，基于功耗分析的AE检测方法在保证准确性的同时，适用于黑盒场景下的TinyML部署，且不引入额外推理延迟。

该论文聚焦于TinyML硬件加速器中量化神经网络（QNN）的安全性问题。TinyML设备因功耗和尺寸限制广泛采用量化技术，但先前安全研究主要关注全精度深度神经网络（DNN），且认为QNN对常见逃避攻击具有相似或更强的鲁棒性。然而，这些研究未考虑TinyML硬件特有的攻击面。论文提出了一种两步攻击流水线：第一步利用量化特有的误差特性（如权重量化误差、激活函数近似）构造扰动，第二步将这些扰动适配到硬件实现中的有限精度运算，从而在保持攻击不可感知性的前提下显著提升攻击成功率。实验基于多个典型TinyML硬件平台（如ARM Cortex-M系列、定制加速器）和标准数据集（如CIFAR-10、ImageNet子集）进行，结果表明该攻击流水线在QNN上实现了比现有最佳方法更高的欺骗率，且攻击所需计算资源低于传统方法。论文的主要贡献在于：（1）首次系统性分析TinyML硬件中量化过程引入的独特安全漏洞；（2）提出一种硬件感知的攻击框架，展示了专用攻击策略的必要性；（3）揭示现有鲁棒性评估方法在TinyML场景下的不足。研究结论强调：TinyML安全研究必须脱离通用DNN范式，走向硬件与量化协同的定制化分析。该工作适合嵌入式系统安全研究人员、TinyML硬件设计者以及对AI边缘部署感兴趣的工程团队阅读。