Basta clicar na versão para obter acesso gratuito à AI: o novo teclado da Xiaomi revela explicitamente a chave do modelo ByteDance Doubao

De acordo com a monitorização da 1M AI News, a equipa do MiClaw da Xiaomi lançou recentemente um método de entrada do sistema com uma falha de segurança grave. Testes feitos por utilizadores na Internet mostraram que basta clicar freneticamente na versão da app de teclado para abrir uma página de depuração; nessa página são expostos diretamente o endereço de chamada da API do serviço de AI, a API Key, o fornecedor do modelo e o nome do modelo, tudo escrito em texto simples no código.

O endereço de API divulgado aponta para a interface Ark do serviço de cloud da ByteDance, a Volcano Engine, e o modelo utilizado é o da série Doubao, doubao-seed-1-6-lite-251015. Pelas mensagens de prompt, esta funcionalidade de AI é usada para pós-processamento após a entrada por voz, corrigindo caracteres incorretos e erros de gramática no texto reconhecido por voz e adicionando pontuação. Testes feitos pelos utilizadores confirmaram que a chave é genuinamente válida e pode ser chamada diretamente a partir de plataformas externas; neste momento, a Xiaomi terá presumivelmente já substituído a chave.

A engenharia de qualidade também revela problemas ao fazer a descompilação do código: os programadores usam a forma if (“string fixa”.length() > 0) para determinar se uma string hardcoded que é sempre verdadeira é não vazia; este tipo de escrita não aparece em quaisquer processos normais de revisão de código.

Além disso, também foi encontrado que, nos commits do projeto open source mone no GitHub da Xiaomi, foi colocada em texto simples a API key da empresa de AI serviços Moonshot (Lado Oculto da Lua), e o momento do commit foi em janeiro de 2025; desde então, não foram observados registos de alterações.