Легко отримати доступ до AI: новий ввідний метод Xiaomi явно розкриває модельний ключ ByteDance Doubao у відкритому тексті

За моніторингом 1M AI News, команда Xiaomi MiClaw, яка нещодавно представила нову системну клавіатуру, має серйозні недоліки безпеки. Під час тестування користувачі виявили, що достатньо лише шалено натискати на номер версії клавіатури, щоб відкрити сторінку налагодження; на сторінці безпосередньо розкрито адресу виклику API AI-сервісу, API Key, постачальника моделі та назву моделі — усі вони записані у вигляді відкритого тексту в коді.

Розкриті адреси API вказують на Ark-інтерфейси платформи хмарних сервісів Volcano Engine від дочірньої компанії ByteDance; використана модель — з лінійки Doubao: doubao-seed-1-6-lite-251015. З підказок (підказового тексту) видно, що ця AI-функція призначена для подальшого оброблення після голосового введення: вона виправляє помилки в розпізнаному тексті, граматичні помилки та додає розділові знаки. Тестувальники підтвердили, що ключі є справжніми та дійсно працюють, їх можна безпосередньо викликати ззовні на сторонній платформі; наразі, ймовірно, Xiaomi вже замінила ключі.

Реверс-інжиніринг коду також виявив проблеми з якістю розробки: розробник перевіряє, чи є жорстко закодований рядок, який завжди є істинним, порожнім або непорожнім, використовуючи конструкцію if (“фіксований рядок”.length() > 0). Такий запис не з’являється в жодному нормальному процесі перевірки коду.

Крім того, у кодових комітах GitHub-відкритого проєкту mone від Xiaomi також було виявлено, що відкритим текстом записано API-ключ компанії AI Moonshot (Місяцьова темрява); час коміту — січень 2025 року, після цього записів про зміни не спостерігалося.