Cherry Studio foi exposta por continuar a transmitir informações do dispositivo após desativar a "Estatística Anónima", o autor admite que o interruptor falhou

ME News notícia, 20 de abril (UTC+8), de acordo com o monitoramento do Beating, o cliente de IA de código aberto Cherry Studio foi descoberto pelos usuários com o interruptor de privacidade inoperante. O usuário do GitHub Yuerchu publicou uma captura de tela de captura de pacotes na Issue #14387: após desligar a opção de “enviar relatórios de erro anônimos e estatísticas de dados”, o cliente ainda enviava solicitações continuamente para analytics.cherry-ai.com. Cherry Studio é liderado pelo desenvolvedor nacional kangfenmao, suporta agregação de múltiplos grandes modelos e bases de conhecimento locais, sendo um dos clientes de IA de desktop de código aberto mais utilizados no país. O cliente relata três tipos de eventos: cada conversa de IA, cada inicialização de aplicativo e cada verificação de atualização. Apenas a conversa leva em consideração as configurações do usuário, os outros dois ignoram o interruptor e enviam diretamente. Cada solicitação contém um ID de dispositivo exclusivo, além de sistema, arquitetura da CPU, versão do aplicativo, etc., o que equivale a um rastreamento de longo prazo dessa máquina. Analisando o código, pode-se ver que, em fevereiro de 2026, quando essa mecânica de relatório foi adicionada, o interruptor funcionava corretamente. Em 22 de março, o mantenedor kangfenmao modificou uma versão, removendo a verificação do interruptor e, ao mesmo tempo, inserindo mais informações do dispositivo no cabeçalho da solicitação. Essas mudanças foram implementadas nas versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, rodando por um mês. Kangfenmao admitiu a questão na issue, explicando que diferentes eventos usam lógica de verificação de interruptor distinta; após desligar, as solicitações de inicialização do aplicativo e verificação de atualização não foram bloqueadas. Dados sensíveis como conteúdo de chat, entradas do usuário, arquivos e chaves API não passam por esse canal. A PR #14390 de correção foi mesclada, unificando o uso do mesmo interruptor para os três tipos de evento. Há uma camada ainda mais antiga na história. Comunidade descobriu ao revisar o código antigo que, em fevereiro de 2025, quando o projeto adicionou pela primeira vez a funcionalidade de análise, uma rotina de atualização foi inserida: qualquer usuário que atualizasse de uma versão antiga tinha o interruptor de “estatísticas anônimas” ativado automaticamente uma vez. Desde então, o backend do serviço de análise mudou do Google Analytics para PostHog, Sentry e, atualmente, para o analytics.cherry-ai.com, e esse código de ativação automática nunca foi removido. Ou seja, usuários que instalaram Cherry Studio antes de fevereiro de 2025 e depois atualizaram, independentemente de terem desligado ou não o interruptor inicialmente, terão ele reativado na atualização, e para desativar, precisarão fazer isso manualmente após a atualização. (Fonte: BlockBeats)