تم الكشف عن أن Cherry Studio لا تزال تنقل معلومات الجهاز بشكل غير قانوني بعد إيقاف ميزة "الإحصائيات المجهولة"، والكاتب يعترف بفشل وظيفة الإيقاف

معلومات أخبار ME، 20 أبريل (بتوقيت UTC+8)، وفقًا لمراقبة 动察 Beating، تم اكتشاف أن مفتاح الخصوصية في عميل الذكاء الاصطناعي مفتوح بشكل غير صحيح بواسطة المستخدمين في Cherry Studio، وهو عميل مفتوح المصدر. نشر مستخدم GitHub Yuerchu لقطة شاشة لالتقاط الحزم في القضية رقم #14387: بعد إيقاف “إرسال تقارير الأخطاء والإحصائيات بشكل مجهول”، لا يزال العميل يرسل طلبات إلى analytics.cherry-ai.com. يتم تطوير Cherry Studio بقيادة المطور المحلي kangfenmao، ويدعم تجميع نماذج كبيرة متعددة وقاعدة معرفة محلية، وهو واحد من أكبر عملاء سطح المكتب للذكاء الاصطناعي مفتوح المصدر من حيث عدد المستخدمين في البلاد. يرسل العميل ثلاثة أنواع من الأحداث بشكل إجمالي: كل محادثة ذكاء اصطناعي، كل تشغيل تطبيق، وكل فحص تحديث. فقط المحادثة يراعي إعدادات المستخدم، أما الحدثان الآخران فيتم إرسالهما مباشرة متجاوزين المفتاح. كل طلب يحمل معرف جهاز فريد، بالإضافة إلى نظام التشغيل، معمارية CPU، إصدار التطبيق، مما يعني تتبع طويل الأمد لهذا الكمبيوتر. عند فحص الكود، يمكن ملاحظة أنه في فبراير 2026، عندما أُضيفت آلية الإبلاغ هذه، كان المفتاح فعالًا. بحلول 22 مارس، قام المطور kangfenmao بتعديل نسخة خاصة به، وأزال فحص المفتاح، وأدخل مزيدًا من معلومات الجهاز في رأس الطلب. استمرت هذه التعديلات في الإصدار v1.8.3، v1.8.4، v1.9.0، v1.9.1 لمدة شهر. اعترف kangfenmao في القضية أن المشكلة حقيقية، وشرح أن منطق التحقق من المفتاح يختلف بين الأحداث، لذلك بعد إيقاف الإعداد، لم يتم حظر طلبات بدء التشغيل والتحديث؛ أما محتوى الدردشة، إدخالات المستخدم، الملفات، ومفاتيح API فهي لا تمر عبر هذه القناة. تم دمج PR #14390 لإصلاح المشكلة، بحيث يتم استخدام نفس المفتاح لجميع الأحداث. هناك طبقة أقدم من الأمر. اكتشف المجتمع عند مراجعة الكود القديم أنه في فبراير 2025، عندما أُضيفت وظيفة التحليل للمرة الأولى، تم إدراج سكربت ترقية تلقائي: أي أن المستخدمين الذين قاموا بالترقية من إصدار قديم، يتم تلقائيًا تفعيل مفتاح “الإحصائيات المجهولة” مرة واحدة. منذ ذلك الحين، تحولت خدمة التحليل الخلفية من Google Analytics إلى PostHog وSentry، ثم إلى analytics.cherry-ai.com التي أنشأتها الشركة، ولم يتم حذف هذا الكود الذي يفتح المفتاح تلقائيًا. بمعنى آخر، المستخدمون الذين قاموا بتثبيت Cherry Studio قبل فبراير 2025، ثم قاموا بالترقية، سواء أغلقوا المفتاح يدويًا أم لا، سيتم إعادة فتحه عند الترقية، ويجب عليهم إغلاقه يدويًا بعد الترقية إذا أرادوا ذلك. (المصدر: BlockBeats)