O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Cobo Lança Wallet Agentic com IA para Transações On-Chain Autônomas e Seguras
A Cobo lançou a Cobo Agentic Wallet, permitindo que agentes de IA realizem transações on-chain sob controles definidos pelo usuário. Utilizando Computação Multipartes (Multi-Party Computation) para segurança e incorporando os protocolos Pact e Recipes, ela oferece diversos modos de operação para níveis de risco variados.
GateNews1h atrás
iQiyi Lança Ferramenta de Produção com IA, Reformula Plataforma à medida que a Concorrência no Streaming se Intensifica
A iQiyi está reformulando sua plataforma para focar em conteúdo gerado por IA, lançando a ferramenta Nadou Pro para apoiar a produção. Apesar das dificuldades financeiras e desafios regulatórios, a empresa pretende lançar um filme de IA bem-sucedido até 2026, enquanto administra uma crise significativa de liquidez.
GateNews1h atrás
Alibaba Lança Modelo de Geração de Vídeo com IA HappyHorse e Abre Testes em 27 de Abril
O modelo de geração de vídeo com IA da Alibaba, HappyHorse-1.0, começará a fazer testes de API em 27 de abril para clientes corporativos e será lançado oficialmente em maio, desenvolvido pela sua Divisão de Inovação ATH e outras equipes internas.
GateNews2h atrás
A empresa Cursor faz contato para captação de US$ 2 bilhões, com avaliação visando US$ 50 bilhões: em três anos, saiu do zero até US$ 2 bilhões em ARR, estabelecendo o registro mais rápido da história do software B2B
O desenvolvedor do editor de programas de IA Cursor, a Anysphere, está em negociações para uma nova rodada de captação de 2 bilhões de dólares, com avaliação estimada em 50 bilhões de dólares. A Cursor, em três anos, saiu do zero até atingir 2 bilhões de dólares de receita anual recorrente, tornando-se o caso de crescimento mais rápido em software B2B. A Nvidia investiu nesta rodada, destacando a integração da infraestrutura de IA e mostrando que o mercado está demonstrando interesse crescente na camada de aplicações de IA. As startups de Taiwan podem aproveitar esse modelo de sucesso.
ChainNewsAbmedia6h atrás
World ID 4.0 é lançado com integração ao Tinder e ao Zoom e alcança 18 milhões de usuários verificados
A Tools for Humanity lançou o World ID 4.0, aprimorando seu sistema de verificação biométrica com rotação de chaves e opções em camadas. Com 18 milhões de usuários, ele se integra ao Tinder e ao Zoom. A empresa apoia a expansão por meio de captação de recursos, apesar de uma queda de 97% no valor do token WLD.
GateNews9h atrás
A Canva anunciou uma integração profunda com o Claude, permitindo transformar rascunhos de IA em peças de design prontas
A Canva anunciou um aprofundamento da parceria com a Anthropic, permitindo que os rascunhos do Claude Design sejam editados diretamente no Canva, resolvendo o problema de o conteúdo de IA ser difícil de editar novamente. A atualização, chamada Canva AI 2.0, oferece suporte para transformar conteúdo gerado por IA em um formato editável e também lança um recurso de importação em HTML, acelerando o desenvolvimento de sites. Além disso, a Canva está se transformando em um sistema de colaboração por IA, e mais de 250 milhões de usuários por mês mostram o crescimento da demanda do mercado.
ChainNewsAbmedia12h atrás
