ME News Notícias, 20 de abril (UTC+8), de acordo com o monitoramento do Beating, o cliente de IA de código aberto Cherry Studio foi descoberto pelos usuários com o interruptor de privacidade inoperante. O usuário do GitHub Yuerchu postou uma captura de tela de captura de pacote na Issue #14387: após desligar "Enviar relatórios de erro anônimos e estatísticas de dados", o cliente ainda enviava solicitações continuamente para analytics.cherry-ai.com. Cherry Studio é liderado pelo desenvolvedor doméstico kangfenmao, suporta agregação de múltiplos grandes modelos e bancos de dados de conhecimento locais, sendo um dos clientes de IA de código aberto para desktop mais utilizados no país. O cliente relata três tipos de eventos: cada conversa de IA, cada inicialização de aplicativo e cada verificação de atualização. Apenas a conversa verifica as configurações do usuário, os outros dois enviam diretamente ignorando o interruptor. Cada solicitação carrega um ID de dispositivo exclusivo, além de sistema, arquitetura de CPU, versão do aplicativo, etc., o que equivale a rastreamento de longo prazo desta máquina. Analisando o código, pode-se ver que, quando o mecanismo de relatório foi adicionado em fevereiro de 2026, o interruptor funcionava corretamente. Até 22 de março, o mantenedor kangfenmao modificou uma versão, removendo a verificação do interruptor e, ao mesmo tempo, inserindo mais informações do dispositivo no cabeçalho da solicitação. Essas mudanças foram testadas por um mês nas versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1. Kangfenmao admitiu a questão na issue, explicando que diferentes eventos usam lógica de julgamento de interruptores diferentes; após desligar, as solicitações de inicialização do aplicativo e verificação de atualização não foram bloqueadas; dados sensíveis como conteúdo de chat, entradas do usuário, arquivos e chaves de API não passam por esse canal. A PR #14390 de correção foi mesclada, unificando o uso do mesmo interruptor para os três tipos de evento. Há uma camada ainda mais antiga na história. Comunidades que revisaram códigos antigos descobriram que, em fevereiro de 2025, quando o projeto adicionou pela primeira vez a funcionalidade de análise, uma rotina de atualização também foi inserida: qualquer usuário que atualizasse de uma versão antiga teria o "relatório anônimo" ativado automaticamente uma vez. Desde então, o serviço de análise backend mudou do Google Analytics para PostHog, Sentry, e agora para o analytics.cherry-ai.com autogerenciado, e esse código de ativação automática nunca foi removido. Ou seja, usuários que instalaram Cherry Studio antes de fevereiro de 2025 e depois atualizaram, independentemente de terem desligado manualmente o interruptor inicialmente, terão o interruptor reativado na atualização, e precisarão desligá-lo manualmente após a atualização se quiserem parar. (Fonte: BlockBeats)

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

1 Curtidas