Durch einfaches Anklicken der Versionsnummer kann man AI kostenlos nutzen: Xiaomi's neuer Eingabestift offenbart den ByteDance Doubao-Modellschlüssel

Laut 1M AI News-Monitoring weist das neu eingeführte System-Eingabemethoden-Tool des Xiaomi MiClaw-Teams einen schwerwiegenden Sicherheitsmangel auf. Nutzer haben getestet, dass man nur wahnsinnig schnell auf die Versionsnummer der Eingabemethode klicken muss, um eine Debug-Seite zu öffnen. Auf der Seite werden die API-Aufrufadressen, der API Key, der Modellanbieter und der Modellname des KI-Dienstes direkt offengelegt; alles ist im Klartext in den Code geschrieben.

Die geleakten API-Adressen zeigen auf die Ark-Schnittstelle des Cloud-Service-Plattform-Anbieters Volcano Engine von ByteDance; das verwendete Modell ist doubao-seed-1-6-lite-251015 aus der Doubao-Serie. Aus den Prompts geht hervor, dass diese KI-Funktion für die Nachverarbeitung der Spracheingabe gedacht ist: Sie korrigiert Tipp-/Vertipper in der Erkennungsschrift, behebt Grammatikfehler und fügt Interpunktion hinzu. Nutzer bestätigten im Test, dass der Schlüssel echt und aktuell gültig ist und direkt über externe Plattformen aufgerufen werden kann; derzeit scheint Xiaomi den Schlüssel bereits ausgetauscht zu haben.

Die Reverse-Engineering-Auswertung des Codes legt außerdem Probleme bei der Projektqualität offen: Entwickler haben eine Hardcoded-Zeichenkette so geprüft, dass sie nie wahr sein kann, und zwar mit der Methode if (“feste Zeichenkette”.length() > 0), um festzustellen, ob eine solche Zeichenkette nicht leer ist. Diese Art der Schreibweise findet sich nicht in einem normalen Code-Review-Prozess.

Zusätzlich wurde bei GitHub Open-Source-Projekten von Xiaomi, insbesondere im Code-Commit von mone, auch entdeckt, dass dort im Klartext der API-Schlüssel der KI-Firma Moonshot (Mondseite/Moonshot) hinterlegt wurde. Die Commit-Zeit liegt bei Januar 2025; seitdem wurden keine Änderungsaufzeichnungen beobachtet.