تم الإبلاغ عن ثغرة في تصميم الخصوصية في عميل سطح مكتب مفتوح المصدر للذكاء الاصطناعي Cherry Studio بعد أن اكتشفها المستخدمون: بعد إيقاف خيار «إرسال تقارير الأخطاء والإحصاءات بشكل مجهول»، يواصل العميل إرسال بيانات تعريف تتضمن معرف الجهاز ومعطيات النظام وبنية وحدة المعالجة المركزية. بعد أن نشر مستخدم GitHub Yuerchu لقطة شاشة لعملية التقاط الحزم ضمن Issue #14387 ، اعترف المطور kangfenmao في التعليقات بأن المشكلة حقيقية.
بنية المشكلة: ثلاث حالات أحداث بدرجات متفاوتة من الالتزام بإعداد «الإيقاف»
(المصدر:Github)
وفقًا لتدقيق الشيفرة، يقوم عميل Cherry Studio بالإبلاغ عن ثلاث أنواع من الأحداث، لكن سلوك الأنواع الثلاثة غير متسق جذريًا:
محادثة الذكاء الاصطناعي: يلتزم عادةً بإعدادات المستخدم، ولا يتم الإبلاغ بعد الإيقاف.
بدء التطبيق: يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
فحص التحديثات: كذلك يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
تتضمن كل طلبات الإرسال معرف جهاز مخصص، بالإضافة إلى إصدار نظام التشغيل وبنية وحدة المعالجة المركزية ورقم إصدار التطبيق، ما يشكل مجموعة تعريفية للتعقب طويل الأمد لهذا الجهاز.
تدقيق الشيفرة: تم إزالة التبديل عمدًا في 22 مارس
عند مراجعة الشيفرة التي تم مشاركتها من المجتمع، تبين أنه عندما تم إدخال آلية الإبلاغ هذه لأول مرة في فبراير 2026 كانت التبديلات فعّالة لجميع أنواع الأحداث الثلاثة. ومع ذلك، في 22 مارس، قدم الصيانة kangfenmao بنفسه تعديلًا، إذ لم يقتصر الأمر على حذف منطق التحقق من تبديل بدء التطبيق وفحص التحديثات، بل قام أيضًا بإدخال المزيد من معلومات تعريف الجهاز في رؤوس الطلبات.
تم تشغيل هذا الرمز المعيب بشكل متواصل في الإصدارات الأربعة v1.8.3 وv1.8.4 وv1.9.0 وv1.9.1 لمدة تقارب شهر، قبل أن يكتشفه المجتمع ويتم الكشف عنه علنًا.
ثغرة أقدم: سكربت خفي لإعادة تشغيل التبديل عند الترقية بشكل صامت
عند تتبع كود الإصدارات الأقدم، اكتشف المجتمع طبقة أخرى من المشكلة: عندما تمت إضافة ميزة التحليل لأول مرة في فبراير 2025، تم أيضًا تضمين سكربت ترقية — بحيث عند الترقية من إصدار قديم، يتم تشغيل تبديل «الإحصاءات المجهولة» تلقائيًا مرة واحدة. بعد ذلك، ورغم أن خادم خدمة التحليل الخلفي انتقل لاحقًا من Google Analytics إلى PostHog وSentry، ثم إلى analytics.cherry-ai.com الحالي الذي تم بناؤه ذاتيًا، فإن هذا السكربت الذي يقوم بتشغيل التبديل تلقائيًا لم تتم إزالته.
الأثر الفعلي هو: المستخدمون الذين قاموا بتثبيت Cherry Studio قبل فبراير 2025 ثم أجروا أي ترقية بعد ذلك، بغض النظر عما إذا كانوا قد أغلقوا الإعداد يدويًا سابقًا، سيتم تشغيله مرة أخرى بهدوء بعد كل ترقية، ما يتطلب إيقافه يدويًا مرة ثانية بعد الترقية.
الأسئلة الشائعة
ما هي معلومات الأجهزة التي تجمعها Cherry Studio بالتحديد؟
وفقًا لتدقيق الشيفرة، تتضمن كل طلبات الإبلاغ ما يلي: معرف جهاز فريد (للتعقب المستمر عبر الجلسات)، وإصدار نظام التشغيل، وبنية وحدة المعالجة المركزية، ورقم إصدار التطبيق. يمكن أن تتيح هذه المعلومات مجتمعة إجراء تعريف وتتبع طويل الأمد لجهاز محدد على خادم التحليل، وحتى بدون الاسم أو معلومات الحساب يمكنها تكوين بصمة جهاز فعّالة.
هل يتم إرسال بيانات حساسة مثل محتوى الدردشة ومفاتيح API؟
صرّح المطور kangfenmao بشكل واضح بأن البيانات الحساسة مثل محتوى الدردشة ومدخلات المستخدم والملفات ومفاتيح API لا تمر عبر مسار الإبلاغ هذا، وبالتالي لا تقع ضمن نطاق البيانات المتأثرة. ما يتم إرساله حاليًا هو فقط بيانات تعريفية من نوع الأجهزة (metadata).
ما الإجراء الذي يجب على المستخدمين المتأثرين اتخاذه الآن؟
تم دمج نسخة الإصلاح عبر PR #14390، ويُنصح بتحديثها فورًا إلى أحدث إصدار. بعد التحديث، يجب التأكد يدويًا من أن تبديل إحصاءات الخصوصية في وضع الإيقاف—نظرًا لمشكلة سكربتات الترقية القديمة، قد تؤدي عملية الترقية نفسها مرة أخرى إلى تشغيل التبديل. إذا كانت متطلبات الخصوصية لديك مرتفعة، يُنصح بعد التحديث بالتحقق عبر أدوات مراقبة الشبكة من أن إرسال الطلبات إلى analytics.cherry-ai.com قد توقف.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Cobo 发布面向安全自主链上交易的 AI 驱动 Agentic 钱包
Cobo 已推出 Cobo Agentic Wallet,使 AI 代理能够在用户自定义的控制下执行链上交易。通过使用多方计算(Multi-Party Computation)保障安全,并结合 Pact 和 Recipes 协议,它支持多种运行模式,以适应不同的风险等级。
GateNewsمنذ 1 س
iQiyi تطلق أداة لإنتاج المحتوى بالذكاء الاصطناعي وتُعيد هيكلة منصتها مع اشتداد المنافسة في البث
تقوم iQiyi بإعادة هيكلة منصتها للتركيز على المحتوى المُولد بالذكاء الاصطناعي، وإطلاق أداة Nadou Pro لدعم الإنتاج. ورغم الصعوبات المالية والتحديات التنظيمية، تهدف الشركة إلى إصدار فيلم ناجح مُولد بالذكاء الاصطناعي بحلول عام 2026 مع التعامل مع أزمة سيولة كبيرة.
GateNewsمنذ 1 س
阿里巴巴推出HappyHorse AI视频生成模型,并于4月27日开放测试
将于4月27日开始为企业客户进行API测试,阿里巴巴的AI视频生成模型HappyHorse-1.0将于5月正式上线,该模型由阿里巴巴ATH创新事业部及其他内部团队开发。
GateNewsمنذ 2 س
مؤسسة Cursor تواصل جمع تمويل بقيمة 2 مليار دولار، وتخطّت التقييم عند 50 مليار: خلال ثلاث سنوات من الصفر إلى 2 مليار دولار من إيرادات ARR، لتسجّل أسرع رقم قياسي في تاريخ برامج B2B
تقوم شركة Anysphere، مطوّر محرر البرامج بالذكاء الاصطناعي Cursor، بالتفاوض على جولة تمويل جديدة بقيمة 2 مليار دولار، مع توقع أن تصل التقييمات إلى 50 مليار دولار. وصل Cursor خلال ثلاث سنوات من الصفر إلى إيرادات سنوية متكررة بقيمة 2 مليار دولار، ليصبح أسرع حالة نمو في فئة برامج B2B. شاركت Nvidia في هذه الجولة، ما يبرز تكامل البنية التحتية للذكاء الاصطناعي، ويُظهر أيضًا تزايد اهتمام السوق بطبقة تطبيقات الذكاء الاصطناعي. يمكن للشركات الناشئة في تايوان أن تستفيد من نموذج النجاح هذا.
ChainNewsAbmediaمنذ 6 س
World ID 4.0 上线:集成 Tinder 与 Zoom,覆盖 1800 万已验证用户
人类工具(Tools for Humanity)推出 World ID 4.0,通过关键轮换与分层选项来增强其生物识别验证系统。凭借 1800 万用户,该系统集成了 Tinder 和 Zoom。尽管 WLD 代币价值下跌了 97%,公司仍支持通过融资实现扩张。
GateNewsمنذ 9 س
أعلنت Canva عن تكامل عميق مع Claude، ما يتيح تحويل المسودات التي يكتبها الذكاء الاصطناعي إلى منتجات تصميم جاهزة
أعلنت Canva عن تعميق التعاون مع Anthropic، بحيث يمكن لمسودات Claude Design مباشرةً التحرير داخل Canva، ما يعالج مشكلة صعوبة تعديل محتوى الذكاء الاصطناعي مرةً ثانية. وتُسمّى هذه الترقية Canva AI 2.0، وهي تدعم تحويل المحتوى الذي يولّده الذكاء الاصطناعي إلى تنسيق قابل للتعديل، كما أطلقت ميزة استيراد HTML لتسريع تطوير المواقع الإلكترونية. بالإضافة إلى ذلك، تحوّلت Canva إلى نظام للتعاون المدعوم بالذكاء الاصطناعي، حيث يبيّن أن عدد المستخدمين شهريًا يتجاوز 2.5 مليار تزايد الطلب في السوق.
ChainNewsAbmediaمنذ 12 س
