文章总结： 小米新输入法工具因安全问题引发关注，有网友发现其调试页面直接暴露了完整的AI调用信息，包括API地址、模型提供商、模型名称、提示词及明文APIKey。经验证，该Key真实有效且权限较大，事件曝光后很可能已被官方紧急替换。此前小米团队也曾在GitHub提交代码时误将APIKey明文上传。这类基础安全失误出现在大型厂商中令人意外，也反映出AI辅助编码可能削弱了开发流程中的安全审查。 综合评分： 85 文章分类： 数据泄露,AI安全,应用安全,安全大事件,移动安全

【安全圈】小米新推出的输入法工具直接暴露AI模型密钥

安全圈

2026年3月31日 19:03 江苏

关键词

数据泄露

小米 MiClaw 团队近日推出了一款新的系统输入法，但却因为安全问题引发关注。

有网友测试发现，只需连续点击输入法版本号即可进入调试页面。而在该页面中，竟直接暴露了完整的 AI 调用信息，包括 API 地址、模型提供商、模型名称、提示词，甚至还有明文 API Key。

从提示词内容来看，这款输入法主打语音输入后的文本优化功能，例如自动修正错别字、语法错误，并补充标点符号等。

更令人意外的是，网友对该 API Key 进行了验证，确认其为真实有效，甚至可以在其他平台调用，且权限范围较大。不过，事件曝光后，该 Key 很可能已经被官方紧急替换。

此外，小米团队此前还曾出现类似问题：在 GitHub 提交代码时误将 API Key 明文上传。相关记录显示，该 Key 来自月之暗面平台，且自 2025 年 1 月提交后未见更新或清理。

整体来看，这类问题属于较为基础的安全失误，但却出现在大型厂商中，确实令人意外。也有观点认为，这可能与当前 AI 辅助编码的使用方式有关，开发流程中的安全审查环节被弱化。

如果连头部厂商都可能出现此类问题，未来类似的安全事件或许还会持续出现。

END

阅读推荐

【安全圈】DeepSeek崩了！超过11小时仍未被修复

【安全圈】Telegram 遭遇严重 0-day 漏洞，CVSS 评分高达 9.8 分

【安全圈】突发！FBI 局长遭伊朗黑客 “开盒”

【安全圈】警惕！只需一个举动，你可能已经犯罪

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】小米新推出的输入法工具直接暴露AI模型密钥》