¡Simplemente haciendo clic en la versión se puede obtener AI gratis: la nueva entrada de Xiaomi revela claramente la clave del modelo ByteDance Doubao

Según el monitoreo de 1M AI News, el equipo de Xiaomi MiClaw ha lanzado recientemente un método de entrada del sistema que presenta graves descuidos de seguridad. Las pruebas realizadas por usuarios revelaron que, con solo hacer clic sin parar en la versión del método de entrada, se puede abrir una página de depuración. En esa página, se exponen directamente la dirección de llamadas a la API del servicio de IA, la API Key, el proveedor del modelo y el nombre del modelo, todos escritos en texto plano dentro del código.

La dirección de API filtrada apunta a la interfaz Ark de la plataforma de servicios en la nube Volcano Engine, perteneciente a ByteDance, y el modelo utilizado es el de la serie Doubao, doubao-seed-1-6-lite-251015. Según el contenido de los prompts, esta función de IA se usa para el posprocesamiento después de la entrada de voz: se encarga de corregir palabras mal escritas y errores gramaticales en el texto reconocido por voz, además de añadir puntuación. Las pruebas de los usuarios confirmaron que la clave es auténtica y válida, y se puede usar para llamadas directas desde plataformas externas; actualmente se sospecha que Xiaomi ya cambió la clave.

La descompilación del código también expuso problemas de calidad del proyecto: los desarrolladores usaron la forma if (“cadena fija”.length() > 0) para comprobar si una cadena hardcodeada que es siempre verdadera no está vacía. Este tipo de redacción no aparecería en ningún proceso normal de revisión de código.

Además, en los commits del proyecto de código abierto en GitHub de mone, de Xiaomi, también se descubrió que se escribió en texto plano la API Key de la empresa de IA Moonshot (el lado oscuro de la luna). El momento de la entrega fue en enero de 2025 y, desde entonces, no se han visto registros de cambios.