El cliente de escritorio de IA de código abierto Cherry Studio presenta una falla de privacidad tras ser descubierto por usuarios: al desactivar la opción de “enviar informes de errores y estadísticas de datos de forma anónima”, el cliente sigue enviando datos de identificación que incluyen el ID del dispositivo, información del sistema y la arquitectura de la CPU. El usuario de GitHub Yuerchu publicó capturas del tráfico en Issue #14387 , y el desarrollador kangfenmao reconoció en los comentarios que el problema es real.
Estructura del problema: distintos niveles de cumplimiento de la opción de “desactivar” para tres tipos de eventos
(Fuente:Github)
Según una auditoría del código, el cliente de Cherry Studio informa tres tipos de eventos, pero el comportamiento de los tres es fundamentalmente inconsistente:
Diálogos de IA: cumple normalmente con la configuración del usuario; después de desactivarlo, no se informa.
Inicio de la aplicación: elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Comprobación de actualizaciones: también elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Cada solicitud enviada incluye un ID de dispositivo exclusivo, además de la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación, formando una combinación de identificación de seguimiento a largo plazo de ese dispositivo.
Auditoría del código: el interruptor se eliminó a propósito el 22 de marzo
Al revisar el código, la comunidad encontró que cuando el mecanismo de reporte se añadió por primera vez en febrero de 2026, el interruptor era efectivo para los tres tipos de eventos. Sin embargo, el 22 de marzo, el mantenedor kangfenmao envió una modificación: no solo eliminó la lógica de verificación del interruptor de inicio de la aplicación y de comprobación de actualizaciones, sino que también, de paso, introdujo más información de identificación del dispositivo en los encabezados de la solicitud.
Este código con el problema se ejecutó continuamente durante aproximadamente un mes en cuatro versiones: v1.8.3, v1.8.4, v1.9.0 y v1.9.1, hasta que la comunidad lo descubrió y lo divulgó públicamente.
Fallos antiguos aún más tempranos: un script oculto que reabre en silencio el interruptor al actualizar
Al rastrear el código de versiones anteriores, la comunidad también descubrió otra capa de problemas: cuando la función de análisis se incorporó por primera vez en febrero de 2025, también se incrustó un script de actualización. Solo para los usuarios que vienen de una versión anterior, el interruptor de “estadísticas anónimas” se activa automáticamente una vez. Después, aunque el backend del servicio de análisis cambió sucesivamente de Google Analytics a PostHog y a Sentry, y luego a analytics.cherry-ai.com, el script que vuelve a abrir automáticamente el interruptor nunca se eliminó.
El impacto real es este: los usuarios que instalaron Cherry Studio antes de febrero de 2025 y luego realizaron cualquier actualización, sin importar si anteriormente lo habían apagado manualmente, después de cada actualización el interruptor vuelve a abrirse en silencio, y es necesario cerrarlo manualmente de nuevo tras la actualización.
Preguntas frecuentes
¿Qué información de dispositivos recopila específicamente Cherry Studio?
Según la auditoría del código, cada solicitud de reporte contiene: un ID de dispositivo único (seguimiento continuo entre sesiones), la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación. La combinación de esta información permite realizar identificación y seguimiento a largo plazo de dispositivos específicos en el backend de análisis; incluso sin datos de nombre o cuenta, puede formar una huella de dispositivo efectiva.
¿También se envía contenido del chat, claves de API u otros datos sensibles?
El desarrollador kangfenmao indica con claridad que los datos sensibles como el contenido del chat, las entradas del usuario, los documentos y las claves de API no pasan por este canal de reporte, y no están dentro del alcance de los datos afectados. Por el momento, lo que se transmite únicamente son metadatos de tipo identificación de dispositivos (metadata).
¿Qué acción deben tomar ahora los usuarios afectados?
La versión corregida se ha fusionado mediante PR #14390, y se recomienda actualizar de inmediato a la versión más reciente. Después de actualizar, se debe confirmar manualmente que el interruptor de estadísticas de privacidad está en estado de apagado. Debido al problema del script de actualización anterior, la propia actualización podría volver a abrir el interruptor. Si tiene requisitos más estrictos de privacidad, se recomienda verificar después de la actualización, mediante herramientas de monitoreo de red, si se ha detenido el envío de solicitudes a analytics.cherry-ai.com.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Cobo lanza una wallet agentic con IA para transacciones on-chain autónomas y seguras
Cobo ha lanzado la Cobo Agentic Wallet, que permite que los agentes de IA realicen transacciones on-chain bajo controles definidos por el usuario. Al utilizar la Computación Multipartita para la seguridad e incorporar los protocolos Pact y Recipes, admite diversos modos operativos para distintos niveles de riesgo.
GateNewshace1h
iQiyi Lanza una Herramienta de Producción de IA y Rediseña su Plataforma a medida que se Intensifica la Competencia en Streaming
iQiyi está rediseñando su plataforma para enfocarse en contenido generado por IA, lanzando la herramienta Nadou Pro para apoyar la producción. A pesar de las dificultades financieras y los desafíos regulatorios, la empresa busca lanzar una película de IA exitosa para 2026 mientras gestiona una importante crisis de liquidez.
GateNewshace1h
Alibaba lanza el modelo de generación de videos con IA HappyHorse y abre las pruebas el 27 de abril
El modelo de generación de videos con IA de Alibaba, HappyHorse-1.0, comenzará las pruebas de API el 27 de abril para clientes empresariales y se lanzará oficialmente en mayo, desarrollado por su División de Innovación ATH y otros equipos internos.
GateNewshace1h
Cursor se asocia para una ronda de financiación de 20 mil millones de dólares, con una valoración que supera los 50 mil millones: en tres años, de cero a 2 mil millones de ARR, el récord más rápido de la historia del software B2B
El desarrollador del editor de programación de IA Cursor, Anysphere, está negociando una nueva ronda de financiación de 2.000 millones de dólares, con una valoración estimada de 50.000 millones de dólares. Cursor, en tres años, pasó de cero a 2.000 millones de dólares de ingresos anuales recurrentes, convirtiéndose en el caso de crecimiento más rápido en software B2B. Nvidia participó en esta ronda de financiación, lo que pone de manifiesto la integración de la infraestructura de IA y muestra un creciente interés del mercado por la capa de aplicaciones de IA. Las startups de Taiwán pueden aprender de este modelo de éxito.
ChainNewsAbmediahace6h
World ID 4.0 se lanza con integración de Tinder y Zoom y alcanza 18M de usuarios verificados
Humanity para Herramientas lanzó World ID 4.0, mejorando su sistema de verificación biométrica con rotación de claves y opciones por niveles. Con 18 millones de usuarios, se integra con Tinder y Zoom. La empresa apoya la expansión mediante financiación, a pesar de una caída del 97% en el valor del token WLD.
GateNewshace9h
Canva anuncia una integración profunda con Claude, logrando convertir borradores de IA en productos de diseño terminados
Canva anunció una colaboración más profunda con Anthropic, lo que permite que los borradores de Claude Design se editen directamente en Canva, abordando el problema de que el contenido de IA suele ser difícil de editar de nuevo. Esta actualización, denominada Canva AI 2.0, admite convertir contenido generado por IA en un formato editable y presenta una función de importación HTML para acelerar el desarrollo de sitios web. Además, Canva se está transformando en un sistema de colaboración con IA y, con más de 250 millones de usuarios al mes, muestra un crecimiento de la demanda del mercado.
ChainNewsAbmediahace12h
