النسخة المجانية من خلال النقر المفرط على رقم الإصدار: تطبيق شاومي الجديد للكتابة يكشف صراحة عن مفتاح نموذج ByteDance Doubao

وفقًا لمراقبة 1M AI News، توجد إهمال أمني خطير في طريقة إدخال النظام التي طوّرها فريق Xiaomi MiClaw حديثًا. بعد اختبار قام به مستخدمون، تبيّن أنه يمكن فتح صفحة التصحيح (debug) بمجرد النقر المتواصل وبجنون على رقم إصدار لوحة المفاتيح. وتكشف الصفحة مباشرة عن عنوان استدعاءات API لخدمة الذكاء الاصطناعي، وAPI Key، ومزوّد النموذج، واسم النموذج، وكلها مكتوبة في الكود كنص عادي (plaintext).

تشير عناوين API المسربة إلى واجهات Ark الخاصة بشركة ByteDance ضمن منصة خدماتها السحابية Volcano Engine، ويُستخدم نموذج من سلسلة Doubao وهو doubao-seed-1-6-lite-251015. وبناءً على موجهات (prompts) الاستخدام، فإن هذه الوظيفة تعمل على معالجة إدخال الصوت بعد إتمامه، حيث تكون مسؤولة عن تصحيح الأخطاء الإملائية والتصحيحات اللازمة في نص التعرف على الكلام، وتصحيح أخطاء القواعد وإضافة علامات الترقيم. وقد أكد اختبار المستخدمين أن المفتاح صحيح وفعّال بالفعل، ويمكن استدعاؤه مباشرة من منصات خارجية، ويبدو أن Xiaomi قد قامت بتغيير المفتاح بالفعل.

كما أن عكس هندسة (decompilation) الكود كشف مشكلات في جودة الهندسة: إذ يستخدم المطور طريقة: if (“سلسلة ثابتة”.length() > 0) للتحقق مما إذا كانت سلسلة ثابتة مُشفّرة (hard-coded) لا تكون فارغة، مع أنها ستكون صحيحة دائمًا. هذا النوع من الكتابة لا يظهر ضمن أي عملية مراجعة كود طبيعية.

علاوة على ذلك، تم العثور أيضًا في عمليات الإرسال البرمجية (code submissions) الخاصة بمشروع Xiaomi مفتوح المصدر على GitHub بعنوان mone على كتابة API Key الخاص بشركة AI Moonshot (الشركة المعروفة باسم Moonshot) كنص عادي، وكانت مدة/تاريخ الإرسال في يناير 2025، ولم تُلاحظ أي سجلات بتغيير لاحقًا.