Відкритий AI-настільний клієнт Cherry Studio натрапив на проблему: користувачі виявили недолік у приватнісному проєктуванні. Після вимкнення опції «Анонімно надсилати звіти про помилки та статистику даних» клієнт безперервно надсилає ідентифікаційні дані, що містять ID пристрою, системну інформацію та архітектуру CPU. Користувач GitHub Yuerchu у Issue #14387 опублікував скріншот із перехопленням трафіку, після чого розробник kangfenmao в коментарях визнав, що проблема є дійсною.
Структура проблеми: різний рівень дотримання налаштування «вимкнено» для трьох типів подій
(Джерело: Github)
Згідно з аудитом коду, клієнт Cherry Studio звітує про три типи подій, однак у поведінці цих трьох подій є принципові розбіжності:
AI-діалоги: звичайно дотримується перемикача користувача; після вимкнення не надсилає дані.
Запуск застосунку: безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.
Перевірка оновлень: так само безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.
Кожен запит, що відправляється, має власний ID пристрою, а також версію операційної системи, архітектуру CPU та номер версії застосунку, формуючи комбінацію ідентифікації для тривалого відстеження цієї конкретної системи.
Аудит коду: перемикач умисно видалили 22 березня
Спільнота перевірила код і з’ясувала, що коли механізм звітування було додано в лютому 2026 року, перемикач працював для всіх трьох типів подій. Однак 22 березня maintainer kangfenmao сам подав зміни: він не лише видалив логіку перевірки перемикачів для запуску застосунку та перевірки оновлень, а й заодно «впхнув» більше ідентифікаційної інформації пристрою в заголовки запитів.
Цей проблемний фрагмент коду безперервно працював у чотирьох версіях — v1.8.3, v1.8.4, v1.9.0 та v1.9.1 — приблизно протягом місяця, доки спільнота не виявила його й не оприлюднила.
Ще давніший прихований баг: прихований скрипт, який тихо вмикає перемикач після оновлення
Під час відстеження старішого коду спільнота також знайшла ще один рівень проблеми: коли аналітичні функції вперше додали в лютому 2025 року, туди одночасно вбудували скрипт оновлення. Він автоматично вмикає перемикач «Анонімна статистика» один раз для користувачів, які оновилися з попередньої версії.
Пізніше аналітичний сервіс бекенду змінювався — спочатку з Google Analytics на PostHog і Sentry, а потім на поточний власний analytics.cherry-ai.com — однак цей скрипт, який автоматично вмикає перемикач, так і не було видалено.
Фактичний вплив такий: користувачі, які встановили Cherry Studio до лютого 2025 року і згодом виконували будь-які оновлення, незалежно від того, чи раніше вручну вимикали цей параметр, після кожного оновлення отримують його тихе повторне вмикання. Потрібно знову вручну вимикати після оновлення.
Поширені запитання
Яку інформацію про пристрої саме збирає Cherry Studio?
Згідно з аудитом коду, кожен запит звітування містить: унікальний ID пристрою (для тривалого відстеження між сесіями), версію операційної системи, архітектуру CPU та номер версії застосунку. У комбінації ці відомості можуть дозволяти аналітичному бекенду здійснювати тривале розпізнавання й відстеження конкретних пристроїв. Навіть без імені або даних облікового запису це здатне сформувати ефективний відбиток пристрою.
Чи також надсилають конфіденційні дані на кшталт вмісту чатів, API-ключів тощо?
Розробник kangfenmao прямо заявив, що конфіденційні дані, зокрема вміст чатів, введення користувача, документи та API-ключі, не проходять через цей канал звітування й не входять до сфери уражених даних. Наразі надсилаються лише службові метадані категорії «ідентифікація пристрою» (metadata).
Які дії мають зробити зараз постраждалі користувачі?
Виправлену версію вже об’єднано через PR #14390. Рекомендується негайно оновити до найновішої версії. Після оновлення слід вручну підтвердити, що перемикач приватнісної статистики перебуває у стані «вимкнено» — через проблему зі старим скриптом оновлення саме оновлення може знову ввімкнути перемикач. Якщо до приватності висуваються підвищені вимоги, після оновлення радимо перевірити за допомогою інструментів мережевого моніторингу, чи припинилися запити до analytics.cherry-ai.com.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Cobo запускає агентський гаманець із підтримкою ШІ для безпечних автономних ончейн-транзакцій
Cobo запустила Cobo Agentic Wallet, уможлививши виконання ончейн-транзакцій агентами ШІ з-під контролю, визначеного користувачем. Використовуючи багатосторонні обчислення для безпеки та вбудовуючи протоколи Pact і Recipes, вона підтримує різні операційні режими для різних рівнів ризику.
GateNews1год тому
iQiyi запускає інструмент для AI-виробництва, перебудовує платформу на тлі посилення конкуренції у стримінгу
iQiyi проводить перебудову своєї платформи, щоб зосередитися на контенті, створеному за допомогою ШІ, запускає інструмент Nadou Pro для підтримки виробництва. Незважаючи на фінансові труднощі та регуляторні виклики, компанія прагне випустити успішний фільм зі ШІ до 2026 року, одночасно керуючи суттєвою кризою ліквідності.
GateNews1год тому
Alibaba запускає модель генерації відео за допомогою ШІ HappyHorse та відкриває тестування 27 квітня
Модель генерації відео за допомогою ШІ від Alibaba, HappyHorse-1.0, розпочне API-тестування 27 квітня для корпоративних клієнтів і офіційно вийде в запуск у травні. Її розробляють підрозділ ATH Innovation Division та інші внутрішні команди компанії.
GateNews1год тому
Cursor залучає фінансування на 2 мільярди доларів США, оцінка до 50 мільярдів: за три роки з нуля до 2 мільярдів ARR, найшвидший рекорд в історії B2B програмного забезпечення
Розробник AI-процесора-редактора Cursor компанія Anysphere веде перемовини щодо нового раунду фінансування на 2 млрд доларів США, прогнозована оцінка складе 50 млрд доларів США. За три роки Cursor з нуля дійшла до 2 млрд доларів США річної виручки, ставши найшвидшим кейсом зростання B2B-програмного забезпечення. Nvidia бере участь у цьому раунді, демонструючи інтеграцію AI-інфраструктури та показуючи зростання інтересу ринку до рівня застосунків на базі AI. Новостворені компанії Тайваню можуть запозичити цю успішну модель.
ChainNewsAbmedia6год тому
World ID 4.0 запускається з інтеграціями Tinder і Zoom, досягає 18 млн верифікованих користувачів
Tools for Humanity запустила World ID 4.0, удосконаливши свою біометричну систему верифікації за допомогою ротації ключів і багаторівневих опцій. За наявності 18 мільйонів користувачів вона інтегрується з Tinder і Zoom. Компанія підтримує розширення шляхом фінансування, попри падіння вартості токена WLD на 97%.
GateNews9год тому
Canva оголосила про глибоку інтеграцію Claude, щоб перетворювати AI-чернетки на готові дизайни
Canva оголосила про поглиблення співпраці з Anthropic, щоб чернетки Claude Design можна було безпосередньо редагувати в Canva, вирішуючи проблему складності повторного редагування AI-контенту. Це оновлення під назвою Canva AI 2.0 підтримує перетворення контенту, згенерованого ШІ, на редагований формат, а також має функцію імпорту HTML, щоб прискорити розробку вебсайтів. Крім того, Canva трансформується на систему AI-співпраці: щомісяця понад 250 мільйонів користувачів демонструють зростання попиту на ринку.
ChainNewsAbmedia12год тому
