小米Miclaw输入法被曝硬编码明文API密钥，调用豆包大模型引安全争议

事情的起因是小米 miclaw 新出了系统输入法，网友在把玩时发现了一些不同寻常的设计。

于是论坛网友发现了这个输入法的设计问题，原界面如下：

但凡 vibe 一下都写不了这么糟……

但这才哪到哪，大巫在后面呢。打开输入法 debug 页面（狂点版本号）你会发现：

https://ark.cn-beijing.volces.com/api/v3/chat/completions

95408c03-3a82-4574-8bac-81c7a9747ba4

这个 key 目前处于仰卧起坐状态——时能用时不能用。

doubao-seed-1-6-lite-251015 实际可用的模型还有很多。

这种将 API Key 直接写死在客户端的方式，存在严重的安全隐患。这还不是最屌的，欣赏一下你米系统输入法 AI 的 API 明文写法和若至判断：

static{
String str;
String str2 = "https://ark.cn-beijing.volces.com/api/v3/chat/completions";
String str3 = null;
if("https://ark.cn-beijing.volces.com/api/v3/chat/completions".length()>0){
            str = "https://ark.cn-beijing.volces.com/api/v3/chat/completions";
}else{
            str = null;
}
if(str !=null){
            str2 = str;
}
        b = str2;
String str4 = "95408c03-3a82-4574-8bac-81c7a9747ba4";
if("95408c03-3a82-4574-8bac-81c7a9747ba4".length()<=0){
            str4 = null;
}
if(str4 ==null){
            str4 = "";
}
        c = str4;
String str5 = "doubao-seed-1-6-lite-251015";
if("doubao-seed-1-6-lite-251015".length()>0){
            str3 = "doubao-seed-1-6-lite-251015";
}
if(str3 !=null){
            str5 = str3;
}
        d = str5;
        e = o.a;
        f = g.b;
}

别急，等等，还没完，还有高手：

https://github.com/XiaoMi/mone/blob/46804d44e10bb2560efe1d65133e10d698ebca07/m78-all/m78/m78-service/src/main/java/run/mone/m78/service/service/fileserver/manager/impl/MoonshotServer.java

PS：不懂技术，不清楚说的对不对，如果是对的话，那小米在大模型上的开支有点扯啊。暂时还没有看到小米针对这个问题的回复。