ME News Notícias, 20 de abril (UTC+8), de acordo com o monitoramento do Beating, o cliente de IA de código aberto Cherry Studio foi descoberto pelos usuários com a função de privacidade desativada. O usuário do GitHub Yuerchu publicou uma captura de tela de captura de pacote na Issue #14387: após desligar "Enviar relatórios de erro anônimos e estatísticas de dados", o cliente ainda enviava solicitações continuamente para analytics.cherry-ai.com. Cherry Studio é liderado pelo desenvolvedor doméstico kangfenmao, suporta agregação de múltiplos grandes modelos e bancos de dados de conhecimento locais, sendo um dos clientes de IA de código aberto mais utilizados no país. O cliente relata três tipos de eventos: cada conversa de IA, cada inicialização de aplicativo e cada verificação de atualização. Apenas a conversa verifica as configurações do usuário, os outros dois enviam diretamente ignorando a função de desligar. Cada solicitação contém um ID de dispositivo exclusivo, além de sistema, arquitetura de CPU, versão do aplicativo, etc., o que equivale a um rastreamento de longo prazo dessa máquina. Ao analisar o código, é possível ver que, em fevereiro de 2026, quando essa mecânica de relatório foi adicionada, a função de desligar era eficaz. Até 22 de março, o mantenedor kangfenmao modificou uma versão, removendo a verificação da função de desligar e, de quebra, inserindo mais informações do dispositivo no cabeçalho da solicitação. Essas mudanças foram executadas por um mês nas versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1. Kangfenmao admitiu a questão na issue, explicando que diferentes eventos usavam lógica de verificação de funções distintas; após desligar, as solicitações de inicialização do aplicativo e verificação de atualização não foram bloqueadas; dados sensíveis como conteúdo de chat, entradas do usuário, arquivos e chaves API não passam por esse canal. A PR #14390 de correção foi mesclada, unificando o uso da mesma função de desligar para os três tipos de eventos. Há uma camada ainda mais antiga na história. Comunidades que revisaram códigos antigos descobriram que, em fevereiro de 2025, quando o projeto adicionou pela primeira vez a funcionalidade de análise, uma rotina de atualização também foi inserida: qualquer usuário que atualizasse de uma versão antiga teria a função de estatísticas anônimas ativada automaticamente uma vez. Desde então, o backend do serviço de análise mudou do Google Analytics para PostHog, Sentry, e agora para o analytics.cherry-ai.com, e esse código de ativação automática nunca foi removido. Ou seja, usuários que instalaram Cherry Studio antes de fevereiro de 2025 e depois atualizaram, independentemente de terem desligado ou não essa função inicialmente, terão ela ativada novamente na atualização, e para desativar, precisarão fazer isso manualmente após a atualização. (Fonte: BlockBeats)

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.

1 Curtidas