Mengklik nomor versi saja bisa mendapatkan AI gratis: Xiaomi baru saja secara terbuka mengungkapkan kunci model ByteDance Doubao dalam input method-nya

Berdasarkan pemantauan 1M AI News, tim Xiaomi MiClaw yang baru saja meluncurkan sistem metode input memiliki kelalaian keamanan yang serius. Pengguna menguji dan menemukan bahwa hanya dengan mengklik tanpa henti nomor versi dari aplikasi input tersebut, Anda dapat membuka halaman debug; di halaman itu, alamat pemanggilan API layanan AI, API Key, penyedia model, dan nama model secara langsung terekspos, semuanya ditulis dalam bentuk teks biasa di dalam kode.

Alamat API yang bocor mengarah ke antarmuka Ark dari platform layanan cloud Volcano Engine milik ByteDance, dan model yang digunakan adalah rangkaian doubao, yaitu doubao-seed-1-6-lite-251015. Dari prompt yang terlihat, fitur AI ini digunakan untuk pemrosesan setelah input suara; bertugas memperbaiki kesalahan karakter dalam teks hasil pengenalan suara, mengoreksi kesalahan tata bahasa, serta menambahkan tanda baca. Pengujian pengguna memastikan bahwa kunci tersebut benar-benar valid dan dapat dipanggil langsung melalui platform eksternal; saat ini, Xiaomi diduga telah mengganti kuncinya.

Dekompilasi kode juga mengungkap masalah kualitas rekayasa: pengembang menggunakan cara if (“string konstan”.length() > 0) untuk menentukan apakah string hardcode yang selamanya benar itu tidak kosong; pola penulisan seperti ini tidak akan muncul dalam proses audit kode yang normal apa pun.

Selain itu, pada commit kode proyek open-source GitHub mone milik Xiaomi, juga ditemukan bahwa Xiaomi menuliskan secara teks biasa API key dari perusahaan AI Bulan Sisi Gelap (Moonshot). Waktu commit adalah Januari 2025, dan setelah itu tidak terlihat catatan perubahan apa pun.