据监测,小米MiClaw团队新推出的系统输入法存在严重安全疏忽。
漏洞详情
- 用户通过反复点击输入法版本号,即可进入调试页面。
- 页面中直接明文暴露了AI服务的API调用地址、API Key、模型提供商及名称。
- 泄露的API指向字节跳动火山引擎的Ark接口,所用模型为豆包-doubao-seed-1-6-lite-251015。
功能与影响
- 该AI功能主要用于语音输入后处理,修正错别字、语法并添加标点。
- 网友测试证实密钥有效,可在外部平台直接调用。目前小米疑似已更换密钥。
暴露的工程问题
反编译代码还发现,开发者使用了 if ("固定字符串".length() > 0) 这类判断硬编码字符串永远为真的异常写法。
关联事件
小米在GitHub开源项目mone的代码提交中,也曾被发现明文写入了月之暗面(Moonshot)的API密钥,提交时间为2025年1月。
