狂点版本号就能白嫖AI：小米新输入法明文暴露字节豆包模型密钥

据 1M AI News 监测，小米 MiClaw 团队新推出的系统输入法存在严重安全疏忽。网友测试发现，只需疯狂点击输入法的版本号即可打开调试页面，页面中直接暴露了 AI 服务的 API 调用地址、API Key、模型提供商和模型名称，均以明文写入代码。泄露的 API 地址指向字节跳动旗下云服务平台火山引擎的 Ark 接口，使用的模型为豆包系列的 doubao-seed-1-6-lite-251015。从提示词来看，该 AI 功能用于语音输入后处理，负责修正语音识别文本中的错别字、语法错误并添加标点。网友测试确认密钥真实有效，可在外部平台直接调用，目前小米疑似已更换密钥。反编译代码还暴露了工程质量问题：开发者用 if (\"固定字符串\".length() > 0) 的方式判断一个永远为真的硬编码字符串是否非空，这种写法不会出现在任何正常的代码审查流程中。此外，小米在 GitHub 开源项目 mone 的代码提交中也被发现明文写入了 AI 公司月之暗面（Moonshot）的 API 密钥，提交时间为 2025 年 1 月，此后未见变动记录。