随着人工智能技术在医疗、工业和金融等关键领域的广泛应用，边缘AI硬件加速器因其低延迟、低功耗和隐私保护优势受到青睐。Google推出的Coral Edge TPU（Tensor Processing Unit）作为典型的边缘AI加速器，通过USB接口与主机通信，为嵌入式系统提供高效的神经网络推理能力。然而，这种便捷的连接方式背后隐藏着严重的安全隐患——USB协议缺乏加密和身份验证机制，使得通信内容容易遭受窃听和篡改。

在工业自动化质量检测站等关键场景中，攻击者只需短暂物理接触目标系统，便可在AI加速器与主机之间植入恶意设备。雷恩大学的研究团队通过实验证明，利用成本不足100美元的树莓派5开发板，配合开源软件USB Proxy，就能实现对USB通信的实时监控和操纵。这种硬件中间人攻击不仅能够窃取敏感的模型参数和输入数据，还能直接篡改推理结果，导致系统误判。

研究人员设计了两种典型的攻击场景。在数据窃取攻击中，攻击者通过解析USB数据包头部信息，准确识别并完整提取传输中的模型参数、输入图像和推理结果。在推理篡改攻击中，攻击者通过修改输出张量特定字节的值，成功将鹦鹉图像误分类为公鸡，且置信度从87.11%提升至99.61%。实验采用MobileNetV2、InceptionV1和EfficientNetS三种经典模型进行验证，所有攻击均实现100%成功率。

关键技术方法包括：基于树莓派5的硬件中间人平台搭建，利用USB On-The-Go（OTG）技术实现双向通信代理；通过逆向工程解析USB通信协议，识别数据包类型和大小字段；设计数据块跟踪算法，准确处理大于端点最大包尺寸的传输数据；实现远程控制功能，支持通过Wi-Fi或蜂窝网络进行攻击模式切换和数据回传。

研究结果验证部分通过三个子章节系统展示了实验发现。在"基线性能评估"中，研究人员首先测量了未受攻击时三种神经网络模型的推理延迟和准确率，为攻击效果评估提供基准。在"数据窃取攻击"实验中，通过对1050次推理过程的监控，证明攻击能够完整提取所有传输数据且零丢失。特别值得注意的是，不同模型面临的延迟开销存在差异，其中InceptionV1受影响最大（平均增加106.9ms），而EfficientNetS相对较小（47.8ms）。在"推理篡改攻击"部分，研究团队演示了两种具体的篡改策略：通用误分类攻击和定向误分类攻击。前者通过将输出张量中低于阈值（0.5）的首个非背景类置信度修改为预定值（0.9961），并将其余输出值置零，确保每次推理都产生误分类；后者则需要预先确定目标类别在输出数据块中的位置，针对性修改其置信度值。

讨论部分指出，虽然树莓派平台具有成本低、易部署的优势，但其引入的显著延迟（35-101ms）可能影响攻击的隐蔽性。未来研究可考虑采用FPGA（Field Programmable Gate Array）平台如Cynthion开发板，通过硬件级并行处理降低延迟。作为防御对策，建议在USB接口增加认证机制，或采用"黄金批次刷新"（Golden Batch Refreshing）策略，通过定期向加速器发送已知输入并验证输出结果的类别、置信度和延迟是否异常，从而检测中间人攻击。

这项发表在《IEEE Embedded Systems Letters》的研究首次揭示了边缘TPU设备USB接口的安全漏洞，为边缘计算设备安全设计敲响警钟。随着AI在关键领域的深入应用，硬件级安全防护必须与性能优化同步推进，否则类似TPUTrap的攻击可能对工业生产、医疗诊断等场景造成严重后果。该工作不仅为安全研究者提供了可复现的攻击范例，也为设备制造商指出了迫切需要的加固方向。