Открытый AI-десктоп-клиент Cherry Studio столкнулся с проблемой недостатков в дизайне приватности: после отключения опции «анонимно отправлять отчёты об ошибках и статистику данных» клиент продолжает отправлять идентификационные данные, включая ID устройства, информацию о системе и архитектуру CPU. Пользователь GitHub Yuerchu разместил в Issue #14387 скриншот перехвата после анализа сетевого трафика; в комментариях разработчик kangfenmao признал, что проблема действительно имеет место.
Структура проблемы: разная степень соблюдения настройки «выключено» для трёх типов событий
(Источник:Github)
Согласно аудиту кода, клиент Cherry Studio отправляет три типа событий, но в поведении этих трёх типов есть принципиальная несогласованность:
AI-диалог: в обычном режиме соблюдает переключатель пользователя; после отключения не отправляет.
Запуск приложения: напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Проверка обновлений: также напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Каждый запрос, который передаётся, содержит уникальный ID устройства, а также версию операционной системы, архитектуру CPU и номер версии приложения, формируя комбинацию для долгосрочного отслеживания идентичности этой машины.
Аудит кода: переключатель был намеренно удалён 22 марта
Общество, изучив код, обнаружило, что когда этот механизм отчётности был добавлен в феврале 2026 года, переключатель для всех трёх типов событий работал корректно. Однако 22 марта поддерживающий разработчик kangfenmao сам отправил правку: он не только удалил логику проверок переключателя для запуска приложения и проверки обновлений, но и заодно добавил в заголовки запросов больше сведений об идентификации устройств.
Этот проблемный код непрерывно работал примерно месяц в версиях v1.8.3, v1.8.4, v1.9.0 и v1.9.1, пока сообщество не обнаружило его и не опубликовало информацию.
Более ранняя старая уязвимость: скрытый скрипт для тихого включения после обновления
При отслеживании кода старых версий сообщество также нашло ещё один слой проблемы: когда в феврале 2025 года впервые добавили функцию аналитики, туда одновременно встроили скрипт обновления — он автоматически один раз включает переключатель «анонимная статистика» для пользователей, которые переходят с более старой версии. Затем, хотя бэкенд аналитического сервиса последовательно менял Google Analytics на PostHog и Sentry, а затем — на текущий самовведённый analytics.cherry-ai.com, этот скрипт, автоматически включающий переключатель, так и не был удалён.
Фактическое влияние следующее: для пользователей, которые установили Cherry Studio до февраля 2025 года, а затем выполняли любые обновления, переключатель после каждого обновления будет снова без уведомления включаться независимо от того, вручную выключали ли они эту настройку ранее. После обновления нужно снова вручную выключить.
Частые вопросы
Какие именно сведения об устройствах собирает Cherry Studio?
Согласно аудиту кода, каждый отчётный запрос содержит: уникальный ID устройства (для отслеживания между сессиями), версию операционной системы, архитектуру CPU и номер версии приложения. Эти сведения в сочетании позволяют аналитическому бэкенду проводить долгосрочную идентификацию и отслеживание конкретных устройств; даже без имени или данных учётной записи они могут формировать эффективный отпечаток устройства.
Также ли передаются чувствительные данные вроде содержания чатов и API-ключей?
Разработчик kangfenmao однозначно заявил, что чувствительные данные, такие как содержание чатов, пользовательский ввод, документы и API-ключи, не передаются по этому каналу отчётности и не входят в затронутую область данных. Передаются только метаданные идентификационного типа (metadata).
Какие действия должны предпринять сейчас пользователи, которые затронуты?
Исправленная версия была объединена через PR #14390; рекомендуется немедленно обновиться до последней версии. После обновления следует вручную подтвердить, что переключатель приватной статистики находится в состоянии «выключено» — из-за проблемы со старым скриптом обновления само обновление может снова включить переключатель. Если у вас высокие требования к приватности, рекомендуется после обновления проверить с помощью инструмента сетевого мониторинга, что запросы в analytics.cherry-ai.com больше не отправляются.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Dropbox расширяет интеграцию с ChatGPT с помощью трех новых приложений для работы
Dropbox усилила свое партнерство с OpenAI, представив три новых приложения в ChatGPT — для доступа к файлам, поиска контента в рабочей среде и управления календарями. Этот шаг нацелен на то, чтобы перевести Dropbox в роль платформы для интеллекта на фоне снижения числа клиентов и усиления конкуренции в ландшафте ИИ.
GateNews1ч назад
香港燃气公用事业 Towngas 与腾讯合作扩展云端与人工智能系统
Towngas 与腾讯达成合作,以增强其云端系统与人工智能应用,并在其 2020 年合作基础上进一步拓展。该合作聚焦于智能能源平台与数据分析,以简化运营并提升能源行业的客户服务能力。
GateNews2ч назад
Cobo запускает агентский кошелёк с ИИ для безопасных автономных транзакций в сети
Cobo запустила Cobo Agentic Wallet, позволяющий AI-агентам проводить on-chain транзакции под контролем, задаваемым пользователем. Используя многопартийные вычисления для безопасности и внедряя протоколы Pact и Recipes, он поддерживает различные режимы работы для разных уровней риска.
GateNews4ч назад
iQiyi 推出 AI 制作工具,改造平台以应对流媒体竞争加剧
iQiyi 正在对其平台进行改造,重点转向 AI 生成内容,并推出 Nadou Pro 工具以支持内容制作。尽管面临财务困境和监管挑战,公司仍计划在 2026 年前推出一部成功的 AI 电影,同时应对严重的流动性危机。
GateNews4ч назад
Alibaba запускает модель для генерации видео с ИИ HappyHorse и открывает тестирование 27 апреля
Модель для генерации видео с помощью ИИ от Alibaba, HappyHorse-1.0, начнёт тестирование API 27 апреля для корпоративных клиентов и официально выйдет в мае. Разработана подразделением ATH Innovation Division и другими внутренними командами.
GateNews5ч назад
Cursor ведёт переговоры о привлечении 2 млрд долларов, оценка стремится к 50 млрд: за три года с нуля до 2 млрд ARR, создав самый быстрый рекорд в истории B2B-программного обеспечения
Разработчик AI-редактора Cursor, компания Anysphere, ведет переговоры о новом раунде финансирования на 2 млрд долларов; предполагаемая оценка компании составит 50 млрд долларов. Cursor за три года с нуля достиг годовой выручки в 2 млрд долларов, став самым быстрым примером роста в B2B-программном обеспечении. Nvidia участвует в этом раунде, подчеркивая интеграцию AI-инфраструктуры, и демонстрируя рост интереса рынка к уровню AI-приложений. Тайваньские стартапы могут перенять эту успешную модель.
ChainNewsAbmedia10ч назад
