Просто обновите версию, чтобы бесплатно получить доступ к AI: новый вводимый метод Xiaomi явно раскрывает ключ модели ByteDance Doubao

По данным мониторинга 1M AI News, в недавно выпущенном системном вводе от команды Xiaomi MiClaw обнаружены серьезные ошибки в плане безопасности. Пользователи протестировали и выяснили, что достаточно безумно многократно нажимать на номер версии в приложении клавиатуры, чтобы открыть страницу отладки; на этой странице напрямую раскрываются адрес API вызовов AI-сервиса, API Key, провайдер модели и название модели — все они записаны в коде в открытом виде.

Раскрытый адрес API указывает на Ark-интерфейс сервиса Ark на облачной платформе Volcano Engine, принадлежащей ByteDance, а используемая модель — doubao-seed-1-6-lite-251015 из линейки Doubao. Судя по подсказкам, эта функция ИИ предназначена для постобработки после голосового ввода: она отвечает за исправление опечаток и грамматических ошибок в тексте распознавания речи и добавление пунктуации. Пользователи подтвердили, что ключ является действительным и его можно напрямую вызывать на внешней платформе; сейчас, как предполагается, Xiaomi могла уже заменить ключ.

Декомпиляция кода также выявила проблемы с качеством разработки: разработчик определяет, является ли хардкод-строка, которая всегда истинна, непустой, используя конструкцию if (“фиксированная строка”.length() > 0). Такой прием не встречается ни в одном обычном процессе ревью кода.

Кроме того, в GitHub-репозитории mone с открытым исходным кодом Xiaomi также был обнаружен открыто записанный API-ключ AI-компании Moonshot, в который он был добавлен при коммите; время коммита — январь 2025 года, после чего изменений не наблюдалось.