文章总结： 该文档介绍了针对GoogleEdgeTPU的电磁侧信道攻击框架TPUXtract，该框架通过采集设备执行AI模型时的电磁辐射信号，利用在线模板匹配技术，能够以高达99.91%的准确率逆向提取神经网络模型的超参数，包括层类型、卷积核大小、通道数等，揭示了边缘AI设备在模型知识产权保护方面存在的严重安全漏洞。 综合评分： 85 文章分类： IoT安全,AI安全,侧信道攻击,硬件安全,其他

基于电磁侧信道的Edge TPU超参数提取攻击

郭佳磊 郭佳磊

数缘信安社区

2026年2月26日 07:01 北京

你的AI模型在“裸奔”吗？

撰文 | 郭佳磊

编辑 | 刘梦迪

一、背景介绍

随着边缘计算与人工智能的深度融合，专用机器学习加速器（如Google Edge TPU、Intel NCS2等）被广泛应用于图像识别、语音处理等实时推理任务。这些设备在提升能效与速度的同时，也带来了新的安全挑战：模型窃取攻击。攻击者可通过侧信道手段，在不接触模型内部结构的情况下，逆向推导出模型的架构与参数，严重侵害模型开发者的知识产权与商业机密。

现有的侧信道攻击多集中于微控制器或FPGA平台，且大多依赖于预训练的机器学习模型，存在明显的局限性：无法有效应对未知模型，且难以扩展到真实场景中的复杂神经网络。

在2025年的IACR Transactions on Cryptographic Hardware and Embedded Systems 中，北卡罗来纳州立大学的Ashley Kurian等人提出了一种全面的超参数提取框架TPUXtract，首次实现了对Google Edge TPU的黑盒模型逆向工程。该方法基于电磁侧信道分析，采用在线模板匹配策略，能够逐层提取神经网络中的所有超参数，包括层类型、节点数、卷积核大小、步长、激活函数等，且无需预先了解模型结构。

二、基本原理

TPUXtract 的核心思想在于：深度学习模型的每一层在 TPU 上执行时，其计算量和数据流模式都会直接影响电磁辐射特征。例如：卷积核大小变化会改变乘加运算数量；输入通道和输出通道数量会影响矩阵乘法规模；激活函数类型不同会导致额外的条件处理；池化操作的计算密度也会产生独特波形等等。这些差异会使电磁轨迹呈现可区分的特征模式。因此，只要能够获得某层执行时的电磁片段，就可以将其与一组已知配置的模板模型进行对比，从而确定真实模型的超参数。

在此框架下，TPUXtract 首先通过 XYZ 电动三轴平台扫描 Edge TPU 表面，定位出能够反映 500 MHz 特征频段的热点区域。在这一位置，TPU 内部的计算活动会产生最明显的电磁波形变化。随后，研究者使用高灵敏度探针和窄带带通滤波器提取该频段的信号，使得不同配置下的执行差异在波形中清晰可见。

为了解码这些差异，TPUXtract 构建5528种超参数模型，每个模型代表一种可能的超参数组合。通过让 TPU 分别执行这些模板并采集对应的电磁轨迹，研究者建立了一套“模板库”。之后，只需将真实模型的电磁片段与模板库进行皮尔逊相关性匹配，即可准确判断真实超参数。

所有可能的超参数模型

这种方法无需模型权重，无需访问文件系统，也不依赖设备固件，从而具备极强的通用性和隐蔽性。

三、实验内容

在实验开始前，研究者首先准备了整套电磁侧信道采集设备，包括 Coral Dev Board（其中集成了 Google Edge TPU SoM）、高灵敏度电磁探针、宽带示波器、信号放大器、带通滤波器以及用于精确定位的 XYZ 电动三轴平台。为了使探针能够尽可能靠近芯片，并最大程度增强电磁信号质量，实验中将 TPU SoM 上的散热器与风扇机械性移除，并使用外部风扇替代以防止过热。此外，通过查阅 TPU 系统模块的数据手册，研究者提前确认了 TPU 在电路板上的具体位置，使后续扫描范围更精准也更高效。实验设备具体如下：

实验设备

TPUXtract 的实验流程主要分为六个部分：热点定位、真实模型的电磁采集、构建模板模型并采集电磁信息、用皮尔逊相关性进行超参数提取、识别多输入结构、重建完整模型的执行图。

首先，研究团队拆除 Coral Dev Board 上 TPU 的散热器，使电磁探针能够尽可能靠近芯片表面，以提高信号强度。他们将 TPU 表面划分为 10×10 网格，并利用 XYZ 平台逐点扫描芯片表面在不同频段的电磁发射强度。通过这一过程，他们绘制了 TPU 的频谱热力图，并在 500 MHz 附近发现了最明显的峰值。具体频谱热力图如下：

TPU 表面频谱强度热力图

确定热点后，作者将探针固定在该区域上方，并结合带通滤波器提取 498–502 MHz 的窄带信号，从而获得高信噪比、高分辨率的 TPU 计算活动波形。

随后，在热点位置固定探针后，研究者开始采集真实模型的电磁轨迹（victim trace）。他们向部署在 Edge TPU 上的 AI 模型提供一个维度完全正确但内容随机的输入，并按照模型实际量化参数进行 8-bit 量化处理，使其正常触发 TPU 的推理运行。同时通过 GPIO 输出触发信号，并借助 icWaves 系统对推理开始位置进行精确对齐，从而确保每次采集到的电磁轨迹在时间轴上具有可比较性。完整推理过程产生的电磁波形具体如下：

消除量化轨迹前后的真实模型的电磁轨迹

接下来，为了推断模型的具体超参数，TPUXtract 需要构建一组覆盖所有可能配置的模板模型。研究者针对各类卷积参数（如核大小 1×1/3×3/5×5、输入输出通道数、stride 值、padding 模式）、池化方式（MaxPool/AvgPool）、激活函数（ReLU/ReLU6）乃至多输入结构（Add/Concat）构建了大量只有单层的“最小化模板模型”。这些模板均经过 Edge TPU 编译器处理，并使用与 victim 相同维度的随机输入运行一次推理。通过在同一热点位置重复采集它们的电磁轨迹，研究者得到一套覆盖所有候选参数取值范围的 template trace库。

获得 victim trace 和所有模板轨迹后，TPUXtract 进入关键信息恢复阶段。研究者首先将 victim trace 按时间顺序切分为对应每一层的波形片段，然后将每个片段与模板库中所有候选模板的电磁波形进行逐一比对。最终，使 victim trace 某片段相关性最高的模板，即表示该层的真实超参数配置。通过这一方式，TPUXtract 能逐层恢复卷积核大小、通道数、步幅、padding、激活类型与池化方式。

最后，完成所有层的参数恢复与结构分析后，研究者根据 victim trace 的时间顺序、每层对应的超参数以及多输入结构的推断结果，将模型的执行结构完整重建出来。最终重建的执行图包含了模型每一层的顺序、参数设置、类型信息以及图的连接方式。换句话说，攻击者无需读取模型文件，只需要一次推理的电磁轨迹，即可恢复模型的结构设计图。

四、实验结果

实验结果证明了 TPUXtract 框架在 Google Edge TPU 上进行黑盒超参数提取的优越性，其中对谷歌 Edge TPU上的超参数提取准确率高达 99.91%，且揭示了设备未公开关键细节。通过比对采用皮尔逊相关系数结果显示出每一层的正确模板。实验结果如下：

成功预测出第一层和第二层的超参数配置

更为关键的是，TPUXtract 能够识别多输入操作，如 Add层。研究者通过置零某一输入的方式削弱部分计算负载，而这种削弱会在电磁波形中呈现出可检测的变化，从而帮助重建模型图结构。实验结果如下：

图（c）中绿色标出的加法层特征

幅度降低显示第二个输入来自第1层

在真实世界模型测试场景中，TPUXtract 框架对12个模型实现 100% 提取准确率，其余模型准确率均≥99.4%。实验结果表明，该方法不仅准确性高，而且具备可重复性和广泛适用性。

针对离线训练的EdgeTPU真实世界模型的攻击准确性

五、总结

TPUXtract 首次证明深度学习模型在 Edge TPU 上的执行活动会通过电磁侧信道泄露其完整内部结构。该框架通过精密的电磁采集和系统化的在线模板匹配，成功自动化恢复了模型的卷积核、通道数、步幅等超参数。在本文中，作者揭示了边缘 AI 安全体系中的严重漏洞，并强调未来研究重点是开发针对性的软硬件防御机制，以应对这种高威胁性的模型窃取攻击，保护模型知识产权。

参考资料

[1] Ashley Kurian, Anuj Dubey, Ferhat Yaman, Aydin Aysu. TPUXtract: An Exhaustive Hyperparameter Extraction Framework. IACR TCHES, 2025(1):78-103, 2025. DOI:10.46586/tches.v2025.i1.78-103

往期精彩文章推荐

• 侧信道防护的安全性研究

• 闪烁噪声在TRNG中的双刃剑效应

• 针对Kyber二项式分布采样器的自适应模板攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数缘信安社区 郭佳磊 郭佳磊《基于电磁侧信道的Edge TPU超参数提取攻击》