说是跑本地模型却内置云端API：H3C灵犀助手凭据暴露3个月才吊销

ME News 消息，5 月 11 日（UTC+8），据 动察 Beating 监测，新华三（H3C）的「灵犀 AI 助手」在安装程序中明文暴露了大量大模型 API 凭据。这款原本号称基于本地 NPU 运行的工具，却在配置文件里直接写死了智谱 AI、百度千帆和字节火山引擎等多家云端模型的有效密钥。 网友在今年 1 月底就发现了该漏洞并向 H3C 团队上报，但直到 5 月初，官方才将所有泄露的凭据全部吊销完毕。 长达 3 个月的处理周期很不寻常。业内推测，响应迟缓可能是因为 H3C 内部多个团队共用了同一批 API 凭据，导致官方在彻底排查和替换前，不敢轻易切断泄露的密钥。所幸该产品受众较小，未能引发黑客大规模盗刷，否则将产生天价的账单。 （来源：BlockBeats）