En cliquant frénétiquement sur la version, vous pouvez obtenir l'IA gratuitement : le nouveau clavier Xiaomi révèle explicitement la clé du modèle ByteDance Doubao

D’après le suivi de 1M AI News, l’équipe Xiaomi MiClaw a récemment lancé une méthode de saisie système présentant de graves négligences en matière de sécurité. Des internautes ont constaté qu’il suffit de cliquer frénétiquement sur le numéro de version de la méthode de saisie pour ouvrir une page de débogage ; sur cette page, l’adresse d’appel des API du service IA, la clé API, le fournisseur de modèles et le nom du modèle sont directement exposés, le tout étant écrit en clair dans le code.

L’adresse d’API divulguée pointe vers l’interface Ark du service cloud Volcano Engine, appartenant à ByteDance. Le modèle utilisé est celui de la série Doubao, doubao-seed-1-6-lite-251015. D’après les messages d’invite, cette fonctionnalité IA sert au traitement après la saisie vocale : elle corrige les fautes de frappe et les erreurs de grammaire dans le texte issu de la reconnaissance vocale, puis ajoute de la ponctuation. Les tests des internautes confirment que la clé est bien valide, et qu’elle peut être appelée directement depuis une plateforme externe ; actuellement, Xiaomi semble avoir remplacé la clé.

La décompilation du code révèle également des problèmes de qualité du projet : les développeurs utilisent une condition du type if (“chaîne fixe”.length() > 0) pour déterminer si une chaîne codée en dur, qui est toujours vraie, n’est pas vide ; cette écriture n’apparaît dans aucun processus normal d’examen du code.

En outre, dans les commits du projet open source mone sur GitHub, il a aussi été découvert que Xiaomi avait inscrit en clair une clé API de la société d’IA Moonshot ; la date de soumission est janvier 2025, et depuis lors, aucun enregistrement de changement n’a été observé.