小米输入法惊现“后门”?疯狂点击竟泄露核心AI密钥!
据科技资讯频道 [1M AI News](https://t.me/OneMillion_AI) 独家监测,小米旗下 MiClaw 团队新推出的系统输入法近期被曝存在严重安全漏洞。这一疏忽不仅暴露了核心AI服务的调用密钥,更揭示了其代码层面令人费解的“低级错误”。
### 🔓 疯狂点击的“秘密通道”
有网友在测试中发现,只需在输入法设置中**连续疯狂点击版本号**,即可意外开启一个隐藏的调试页面。该页面未做任何访问保护,其中竟**明文存储并显示了多项敏感信息**:
* AI服务的完整API调用地址
* 可用的API密钥(API Key)
* 模型提供商详情
* 所使用的具体模型名称
这些本应严格加密的密钥信息,竟如同注释般直接写死在代码中,安全性几乎为零。
### 🌋 泄露了什么?
泄露的API地址直接指向**字节跳动旗下的火山引擎云服务平台**,具体接口为Ark。调用的模型为豆包系列的 **`doubao-seed-1-6-lite-251015`**。
从一同泄露的提示词分析,该AI功能主要用于**语音输入的后处理环节**,负责智能修正语音识别文本中的错别字、语法错误,并自动添加标点,以提升语音转文字的准确度和可读性。
**更严重的是**,经网友验证,被泄露的API密钥在外部平台**真实有效,可直接调用**。这意味着在密钥失效前,任何人都可能盗用小米的配额进行服务请求。目前,小米疑似已察觉并紧急更换了相关密钥。
### 💻 代码中的“迷惑行为”
事件远不止密钥泄露这么简单。安全研究人员通过反编译输入法代码,发现了更令人担忧的**工程质量问题**。
其中一段代码判断逻辑引发了广泛讨论:开发者竟然使用 **`if (“固定字符串”.length() > 0)`** 的方式,来判断一个硬编码的、永远为真的字符串是否非空。这种毫无实际意义、绝不会通过正常代码审查的写法,出现在以“软硬一体”著称的小米产品中,着实令人诧异。
### 📂 前科不止一次
这并非小米近期首次在代码中泄露AI密钥。在其GitHub开源项目 **`mone`** 的代码提交历史中,安全人员发现开发人员曾**直接明文提交了AI公司“月之暗面”(Moonshot)的API密钥**,提交时间约为2025年1月。截至目前,该密钥在公开记录中未见变动或撤销,潜在风险未知。
—
**这一系列事件为所有科技公司敲响了警钟:** 在竞相集成AI能力、追求开发效率的同时,**基础的安全编码规范与审计流程**绝不可松懈。将敏感信息硬编码在客户端,无异于将家门钥匙挂在门外。用户隐私与数据安全,必须始于每一行可靠的代码。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/164978/
