Cherry Studio被曝关闭「匿名统计」后仍在偷传设备信息，作者承认开关失效

ME News Новости, 20 апреля (UTC+8), согласно мониторингу 动察 Beating, обнаружено, что у открытого AI-клиента Cherry Studio у пользователей не работает переключатель конфиденциальности. Пользователь GitHub Yuerchu разместил скриншот захвата пакета в Issue #14387: после отключения «Анонимной отправки ошибок и сбора данных» клиент продолжает отправлять запросы на analytics.cherry-ai.com. Cherry Studio разрабатывается отечественным разработчиком kangfenmao, поддерживает агрегирование нескольких крупных моделей и локальную базу знаний, и является одним из самых популярных открытых AI-десктопных клиентов в стране. Клиент в целом отправляет три типа событий: каждый диалог с AI, каждый запуск приложения, каждую проверку обновлений. Только диалог зависит от настроек пользователя, два других типа запросов отправляются независимо от переключателя. Каждый запрос содержит уникальный идентификатор устройства, а также информацию о системе, архитектуре CPU, версии приложения — фактически, это долгосрочное отслеживание этого компьютера. Анализ кода показывает, что при добавлении этой системы отчетности в феврале 2026 года переключатель работал корректно. К 22 марта 2026 года разработчик kangfenmao самостоятельно внес изменения, удалив проверку переключателя и добавив больше информации об устройстве в заголовки запросов. Эти изменения были реализованы в версиях v1.8.3, v1.8.4, v1.9.0, v1.9.1, и работали месяц. Kangfenmao признал проблему в Issue, объяснив, что разные события используют разные логики проверки переключателя, и после его отключения запросы на запуск приложения и проверку обновлений не блокируются; при этом чувствительные данные, такие как содержимое чатов, пользовательский ввод, файлы, API-ключи, по-прежнему не передаются через этот канал. Исправление в PR #14390 было принято и объединено, чтобы все три типа событий использовали один и тот же переключатель. В ситуации есть и более ранний аспект. Сообщество обнаружило в старом коде, что в феврале 2025 года, когда впервые добавлялась аналитическая функция, одновременно внедрялся скрипт обновления: для пользователей, обновляющихся с более старых версий, этот «Анонимный сбор статистики» переключатель автоматически включался один раз. После этого аналитическая служба перешла с Google Analytics на PostHog, Sentry, а затем на собственный analytics.cherry-ai.com, и этот автоматический включающий код так и не был удален. То есть, пользователи, устанавлившие Cherry Studio до февраля 2025 года и затем обновлявшие его, независимо от того, отключали ли они переключатель вручную изначально, при обновлении снова активируют его — чтобы отключить, нужно обновиться и отключить вручную повторно. (Источник: BlockBeats)