Cherry Studio після повідомлень про закриття «анонімної статистики» все ще передає інформацію про пристрої, автор визнав, що перемикач не працює

ME News Новини, 20 квітня (UTC+8), згідно з моніторингом 动察 Beating, відкритий клієнт штучного інтелекту Cherry Studio був виявлений користувачами з несправністю перемикача приватності. Користувач GitHub Yuerchu опублікував скріншот перехоплення пакету в Issue #14387: після вимкнення «анонімної відправки звітів про помилки та статистики даних», клієнт все одно продовжував надсилати запити на analytics.cherry-ai.com. Cherry Studio розробляється вітчизняним розробником kangfenmao, підтримує агрегування кількох великих моделей та локальні бази знань, і є одним із найбільших відкритих клієнтів AI для настільних комп’ютерів у країні. Клієнт надсилає три типи подій: кожен діалог з AI, кожне запуск застосунку, кожну перевірку оновлень. Лише діалог враховує налаштування користувача, інші два обхідно обходять перемикач і відправляються. Кожен запит містить унікальний ідентифікатор пристрою, а також системну інформацію, архітектуру CPU, версію застосунку тощо, що фактично дозволяє довгострокове відстеження цієї комп’ютерної системи. Аналізуючи код, можна побачити, що у лютому 2026 року, коли ця система звітності була вперше додана, перемикач був активним. До 22 березня, коли підтримувач kangfenmao зробив оновлення, він видалив перевірку перемикача і додав більше інформації про пристрій у заголовки запитів. Ці зміни були присутні у версіях v1.8.3, v1.8.4, v1.9.0, v1.9.1 протягом місяця. Kangfenmao підтвердив у Issue, що проблема справжня, пояснивши, що різні події використовують різну логіку перевірки перемикача, і після його вимкнення запити на запуск застосунку та перевірку оновлень не блокуються; при цьому чутливі дані, такі як зміст чатів, введення користувачів, файли, API-ключі, не передаються цим каналом. Виправлення PR #14390 вже об’єднано, і всі три типи подій тепер використовують один і той самий перемикач. Ще одна історія має більш раннє походження. Спільнота, переглядаючи старий код, виявила, що у лютому 2025 року, коли цей проект вперше додав функцію аналізу, одночасно вставлявся скрипт оновлення: будь-який користувач, що оновлювався з старої версії, автоматично отримував увімкнений перемикач «анонімічної статистики». Після цього бекенд аналітики перейшов з Google Analytics на PostHog, Sentry, а потім на власний analytics.cherry-ai.com, і цей автоматичний увімкнення перемикача залишився в коді. Тобто, користувачі, які встановлювали Cherry Studio до лютого 2025 року і потім оновлювали його, незалежно від того, чи вимикали вони цей перемикач раніше, при оновленні знову його активували. Щоб його вимкнути, потрібно оновити і вручну вимкнути ще раз. (Джерело: BlockBeats)