Cherry Studio aurait été fermé, mais après la suppression de « statistiques anonymes », il continue à voler des informations sur les appareils, l'auteur admet que le commutateur ne fonctionne pas.

ME News Actualités, le 20 avril (UTC+8), selon la surveillance de Beating, le client open source d’IA Cherry Studio a été découvert par les utilisateurs comme ayant un interrupteur de confidentialité défectueux. L’utilisateur GitHub Yuerchu a publié une capture d’écran de capture de paquets dans le problème #14387 : après avoir désactivé « Envoyer des rapports d’erreur anonymes et statistiques de données », le client continue d’envoyer des requêtes à analytics.cherry-ai.com. Cherry Studio est principalement développé par le développeur national kangfenmao, supporte l’agrégation de plusieurs grands modèles et une base de connaissances locale, et est l’un des clients open source d’IA de bureau les plus utilisés en Chine. Le client rapporte au total trois types d’événements : chaque conversation IA, chaque lancement d’application, chaque vérification de mise à jour. Seul celui de la conversation dépend des paramètres utilisateur, les deux autres passent directement outre l’interrupteur et envoient. Chaque requête porte un identifiant d’appareil dédié, ainsi que le système, l’architecture CPU, la version de l’application, ce qui équivaut à un suivi à long terme de cet ordinateur. En regardant le code, on peut voir qu’en février 2026, lorsque ce mécanisme de rapport a été ajouté, l’interrupteur était fonctionnel. Le 22 mars, le mainteneur kangfenmao a modifié une version pour supprimer la vérification de l’interrupteur, en y ajoutant aussi plus d’informations sur l’appareil dans l’en-tête de la requête. Ces modifications ont été déployées dans les versions v1.8.3, v1.8.4, v1.9.0, v1.9.1 pendant un mois. Kangfenmao a reconnu le problème dans le problème, expliquant que différentes événements utilisaient des logiques de jugement d’interrupteur différentes, et que même après désactivation, les requêtes de lancement d’application et de vérification de mise à jour n’étaient pas bloquées ; les données sensibles comme le contenu de la conversation, les entrées utilisateur, les fichiers, les clés API ne passent pas par cette voie. La PR #14390, qui corrige le problème, a été fusionnée, unifiant l’utilisation du même interrupteur pour les trois types d’événements. Il y a une couche encore plus ancienne. En fouillant dans le code ancien, la communauté a découvert qu’en février 2025, lorsque ce projet a ajouté pour la première fois la fonction d’analyse, un script de mise à jour a été inséré en même temps : tout utilisateur passant d’une ancienne version verrait automatiquement ce commutateur « statistiques anonymes » activé une fois. Depuis, le backend du service d’analyse est passé de Google Analytics à PostHog, Sentry, puis à l’actuel analytics.cherry-ai.com auto-hébergé, et ce code d’activation automatique n’a jamais été supprimé. En d’autres termes, avant février 2025, les utilisateurs ayant installé Cherry Studio, puis mis à jour, qu’ils aient désactivé ou non ce commutateur initialement, le réactivation se produit lors de la mise à jour, et pour le désactiver à nouveau, il faut le faire manuellement après la mise à jour. (Source : BlockBeats)