江蘇
關鍵詞
數據泄露
小米 MiClaw 團隊近日推出了一款新的系統輸入法,但卻因為安全問題引發關注。
有網友測試發現,只需連續點擊輸入法版本號即可進入調試頁面。而在該頁面中,竟直接暴露了完整的 AI 調用信息,包括 API 地址、模型提供商、模型名稱、提示詞,甚至還有明文 API Key。
從提示詞內容來看,這款輸入法主打語音輸入后的文本優化功能,例如自動修正錯別字、語法錯誤,并補充標點符號等。
更令人意外的是,網友對該 API Key 進行了驗證,確認其為真實有效,甚至可以在其他平臺調用,且權限范圍較大。不過,事件曝光后,該 Key 很可能已經被官方緊急替換。
此外,小米團隊此前還曾出現類似問題:在 GitHub 提交代碼時誤將 API Key 明文上傳。相關記錄顯示,該 Key 來自月之暗面平臺,且自 2025 年 1 月提交后未見更新或清理。
整體來看,這類問題屬于較為基礎的安全失誤,但卻出現在大型廠商中,確實令人意外。也有觀點認為,這可能與當前 AI 輔助編碼的使用方式有關,開發流程中的安全審查環節被弱化。
如果連頭部廠商都可能出現此類問題,未來類似的安全事件或許還會持續出現。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
