Mengklik nomor versi saja bisa mendapatkan AI gratis: Xiaomi baru saja secara terbuka mengungkapkan kunci model ByteDance Doubao dalam input method-nya

Berita dari Jieweijie Network: berdasarkan pemantauan 1M AI News, tim Xiaomi MiClaw yang baru saja meluncurkan sistem input method memiliki kelalaian keamanan yang serius. Pengguna menguji dan menemukan bahwa hanya dengan mengklik tanpa henti nomor versi pada aplikasi input method, halaman debug dapat dibuka. Di halaman tersebut, alamat panggilan API layanan AI, API Key, penyedia model, dan nama model diekspos secara langsung, semuanya ditulis dalam teks biasa di dalam kode. Alamat API yang bocor mengarah ke Ark API dari platform layanan cloud Volcano Engine milik ByteDance. Model yang digunakan adalah doubao-seed-1-6-lite-251015 dari rangkaian doubao. Dari petunjuk kata-kata (prompt), fitur AI ini digunakan untuk pemrosesan lanjutan setelah input suara: bertugas memperbaiki salah ketik dalam teks hasil pengenalan suara, kesalahan tata bahasa, serta menambahkan tanda baca. Penguji mengonfirmasi bahwa kunci tersebut benar-benar valid, dapat dipanggil langsung dari platform eksternal, dan saat ini Xiaomi diduga telah mengganti kunci tersebut. Rekompilasi ulang kode juga mengungkap masalah kualitas pengembangan: pengembang menggunakan metode if (“string tetap”.length() > 0) untuk menentukan apakah sebuah string hardcode yang selalu bernilai benar itu tidak kosong; penulisan seperti ini tidak akan muncul dalam proses tinjauan kode normal mana pun. Selain itu, Xiaomi juga ditemukan menuliskan secara teks biasa API Key perusahaan AI Moonshot pada proyek open-source GitHub mone; waktu commit adalah Januari 2025, dan setelah itu tidak terlihat catatan perubahan.