小米新推出的输入法工具直接暴露AI模型密钥
摘要:
小米 MiClaw 团队日前推出新的系统输入法,不过负责开发输入法的工程师可能要面临低绩效考评了,因为输入法里直接暴露小米调用的 API 平台令牌。NS 网友经过测试发现只需要疯狂点击输入法的版本号即可打开调试页面,在调试页面里小米已经写好 API 调用地址、模型提供商、API KEY、模型名称、提示词等。
从提示词来看这个输入法似乎主打的是语音输入?提示词里写道:你是语音识别后处理助手,请修正输入文本中的错别字、语法错误、根据语气和语法添加合适的标点符号,保持原意不变。只输出修正后的文本,不需要解释。
在网友发布帖子时已经对 API KEY 进行测试,测试显示 KEY 是真实有效可以在其他平台进行调用的,而且小米开通的模型类型还非常多,不过这时候小米估计已经换掉泄露的 KEY。
另外小米团队还有个经典错误:在 GitHub 提交代码时不慎直接暴露明文 KEY,从代码里可以看到泄露的是月之暗面的 API 平台,这个 KEY 所属代码的提交时间还是 2025 年 1 月,之后没有看到变动记录。
从这些情况来看小米团队的这些失误着实有些低级,不知道是不是使用 AI 辅助编码带来的结果,如果小米这种规模的公司都会轻易出现这种失误,估计后续我们还能看到更多类似的事情。
热门评论
>>共有0条评论,显示0条