Um cliente de secretária de IA open source, o Cherry Studio, foi identificado pelos utilizadores como tendo uma falha de privacidade no desenho: ao desligar a opção “Enviar anonimamente relatórios de erros e estatísticas de dados”, o cliente continua a enviar dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura da CPU. Após o utilizador do GitHub Yuerchu publicar capturas de ecrã da análise de tráfego na Issue #14387 , o programador kangfenmao reconheceu nos comentários que o problema é real.
Estrutura do problema: diferentes níveis de conformidade com a definição de “desligar” para três tipos de eventos
(Fonte: Github)
De acordo com uma auditoria ao código, o cliente do Cherry Studio reporta três tipos de eventos, mas há inconsistências fundamentais no comportamento de cada um:
Conversas de IA: segue normalmente as definições do utilizador; quando está desligado, não reporta.
Início da aplicação: contorna diretamente a definição, independentemente de como o utilizador a configure.
Verificação de atualizações: igualmente contorna diretamente a definição, independentemente de como o utilizador a configure.
Cada pedido enviado inclui um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação, formando uma combinação de identificação para rastrear esta máquina ao longo do tempo.
Auditoria ao código: a opção foi removida propositadamente a 22 de março
Ao rever o código na comunidade, descobriu-se que, quando este mecanismo de reporte foi adicionado pela primeira vez em fevereiro de 2026, a opção era efetiva para os três tipos de eventos. Contudo, em 22 de março, o mantenedor kangfenmao submeteu uma alteração: não apenas removeu a lógica de verificação da opção para Início da aplicação e Verificação de atualizações, como também adicionou ainda mais informações de identificação do dispositivo aos cabeçalhos dos pedidos.
Este código com o problema esteve em execução de forma contínua em quatro versões — v1.8.3, v1.8.4, v1.9.0 e v1.9.1 — durante cerca de um mês, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga mais precoce: script oculto para reiniciar silenciosamente após a atualização
Ao acompanhar o código de versões antigas, a comunidade descobriu outra camada do problema: quando a funcionalidade de análise foi introduzida pela primeira vez em fevereiro de 2025, foi também embutido um script de atualização — sempre que um utilizador sobe a partir de uma versão antiga, a opção “estatísticas anónimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado de Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atualmente auto-hospedado, este script que reativa automaticamente a opção nunca foi removido.
O impacto real é o seguinte: utilizadores que instalaram o Cherry Studio antes de fevereiro de 2025 e que, posteriormente, fizeram quaisquer upgrades — independentemente de terem ou não desligado manualmente a definição anteriormente — terão a opção reativada silenciosamente após cada atualização, e terão de voltar a desligá-la manualmente após atualizar.
Problemas comuns
Que informações de dispositivos específicas o Cherry Studio recolhe?
De acordo com a auditoria ao código, cada pedido de reporte inclui: um ID de dispositivo único (rastreamento contínuo entre sessões), a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação. Esta combinação de informações permite uma identificação e rastreio de longo prazo de dispositivos específicos no backend de análise; mesmo sem nome ou informações de conta, consegue formar uma impressão digital válida do dispositivo.
O conteúdo das conversas, chaves de API e outros dados sensíveis também são enviados?
O programador kangfenmao afirmou claramente que dados sensíveis como o conteúdo das conversas, entradas do utilizador, ficheiros e chaves de API não passam por este canal de reporte, não se encontram no âmbito dos dados afetados. O que está a ser transmitido atualmente são apenas metadados de identificação do dispositivo (metadata).
Que ação os utilizadores afetados devem tomar agora?
A versão corrigida foi integrada através da PR #14390, pelo que se recomenda atualizar imediatamente para a versão mais recente. Após a atualização, deve confirmar manualmente que a opção de estatísticas de privacidade está desligada — devido ao problema do script de upgrades antigos, a própria atualização pode voltar a ativar a opção. Se tiver requisitos elevados de privacidade, recomenda-se que, após a atualização, verifique através de uma ferramenta de monitorização de rede se foi interrompido o envio de pedidos para analytics.cherry-ai.com.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A Cobo lança uma carteira agentic com IA para transacções on-chain autónomas e seguras
A Cobo lançou a Cobo Agentic Wallet, permitindo que agentes de IA realizem transacções on-chain sob controlos definidos pelo utilizador. Tirando partido da Computação de Múltiplas Partes para segurança e incorporando os protocolos Pact e Recipes, suporta vários modos operacionais para níveis de risco diversificados.
GateNews1h atrás
iQiyi lança ferramenta de produção com IA e remodela a plataforma à medida que a concorrência no streaming se intensifica
A iQiyi está a remodelar a sua plataforma para se concentrar em conteúdos gerados por IA, lançando a ferramenta Nadou Pro para apoiar a produção. Apesar das dificuldades financeiras e dos desafios regulatórios, a empresa pretende lançar um filme de IA bem-sucedido até 2026, enquanto gere uma crise de liquidez significativa.
GateNews1h atrás
A Alibaba Lança o Modelo de Geração de Vídeo com IA HappyHorse e Abre Testes a 27 de Abril
O modelo de geração de vídeo com IA da Alibaba, HappyHorse-1.0, começará os testes de API a 27 de Abril para clientes empresariais e será lançado oficialmente em Maio, desenvolvido pela sua Divisão de Inovação ATH e outras equipas internas.
GateNews2h atrás
Cursor entra em contacto para angariar 2 mil milhões de dólares, valorização rumo aos 50 mil milhões: em três anos, de zero a 2 mil milhões de ARR, criando o registo mais rápido na história do software B2B
O programador de IA editor Cursor, da Anysphere, está a negociar uma nova ronda de financiamento no valor de 2 mil milhões de dólares, com uma avaliação prevista de 50 mil milhões de dólares. A Cursor atingiu 2 mil milhões de dólares de receita anualizada em três anos, partindo do zero, tornando-se o caso de crescimento mais rápido no software B2B. A Nvidia participou nesta ronda, evidenciando a integração da infra-estrutura de IA e mostrando um aumento do interesse do mercado pela camada de aplicação de IA. As empresas de arranque de Taiwan podem tirar partido deste modelo de sucesso.
ChainNewsAbmedia6h atrás
World ID 4.0 é lançado com integração do Tinder e do Zoom e atinge 18M de utilizadores verificados
A Tools for Humanity lançou o World ID 4.0, melhorando o seu sistema de verificação biométrica com rotação de chaves e opções em níveis. Com 18 milhões de utilizadores, integra-se com o Tinder e o Zoom. A empresa apoia a expansão através de financiamento, apesar de uma queda de 97% no valor do token WLD.
GateNews9h atrás
A Canva anunciou uma integração profunda com a Claude, permitindo transformar rascunhos de IA em designs finalizados
A Canva anunciou o aprofundamento da colaboração com a Anthropic, permitindo que os rascunhos do Claude Design possam ser editados diretamente na Canva, resolvendo o problema de o conteúdo de IA ser difícil de editar novamente. Esta atualização, denominada Canva AI 2.0, suporta a conversão de conteúdos gerados por IA para um formato editável e inclui também a funcionalidade de importação em HTML, acelerando o desenvolvimento de websites. Além disso, a Canva está a transformar-se num sistema de colaboração com IA, com mais de 250 milhões de utilizadores por mês, o que demonstra o crescimento da procura no mercado.
ChainNewsAbmedia12h atrás
