Thông tin ME News, ngày 20 tháng 4 (UTC+8), theo theo dõi của Động Chấn Beating, khách hàng AI mã nguồn mở Cherry Studio bị phát hiện không thể tắt chức năng riêng tư. Người dùng GitHub Yuerchu đã đăng ảnh chụp gói dữ liệu trong Issue #14387: sau khi tắt 「Gửi báo cáo lỗi ẩn danh và thống kê dữ liệu」, khách hàng vẫn liên tục gửi yêu cầu đến analytics.cherry-ai.com. Cherry Studio do nhà phát triển trong nước kangfenmao dẫn dắt, hỗ trợ tổng hợp nhiều mô hình lớn và kho kiến thức địa phương, là một trong những khách hàng AI mã nguồn mở trên desktop phổ biến nhất trong nước. Khách hàng sẽ gửi báo cáo ba loại sự kiện: mỗi lần trò chuyện AI, mỗi lần khởi động ứng dụng, mỗi lần kiểm tra cập nhật. Chỉ có sự kiện trò chuyện dựa vào cài đặt của người dùng, hai sự kiện còn lại bỏ qua chức năng tắt và gửi đi trực tiếp. Mỗi yêu cầu đều kèm theo một ID thiết bị riêng, cùng hệ thống, kiến trúc CPU, phiên bản ứng dụng, tương đương theo dõi lâu dài máy tính này. Khi xem mã nguồn, có thể thấy, vào tháng 2 năm 2026, khi lần đầu thêm cơ chế báo cáo này, chức năng tắt vẫn hoạt động. Đến ngày 22 tháng 3, người duy trì kangfenmao đã tự sửa lại, loại bỏ kiểm tra chức năng tắt, đồng thời thêm nhiều thông tin thiết bị vào tiêu đề yêu cầu. Thay đổi này đã chạy trong bốn phiên bản v1.8.3, v1.8.4, v1.9.0, v1.9.1 trong vòng một tháng. Kangfenmao đã thừa nhận vấn đề trong issue, giải thích rằng các sự kiện sử dụng các logic kiểm tra chức năng tắt khác nhau, sau khi tắt, các yêu cầu khởi động ứng dụng và kiểm tra cập nhật không bị chặn; dữ liệu nhạy cảm như nội dung trò chuyện, nhập liệu của người dùng, tệp, API key không đi qua kênh này. PR #14390 đã được hợp nhất để sửa lỗi, ba loại sự kiện sẽ dùng chung một chức năng tắt. Còn có một tầng nữa trước đó. Cộng đồng phát hiện mã cũ, vào tháng 2 năm 2025, khi dự án lần đầu thêm chức năng phân tích, đồng thời chèn một đoạn script nâng cấp: bất kể người dùng nâng cấp từ phiên bản cũ, chức năng 「Thống kê ẩn danh」 này đều tự động mở một lần. Sau đó, dịch vụ phân tích phía sau từ Google Analytics chuyển sang PostHog, Sentry, rồi chuyển sang analytics.cherry-ai.com tự xây dựng, đoạn mã tự mở này vẫn chưa bị xóa. Nói cách khác, những người đã cài Cherry Studio trước tháng 2 năm 2025 và sau đó nâng cấp, dù ban đầu có tắt chức năng này hay không, khi nâng cấp sẽ bị mở lại một lần nữa, muốn tắt thì phải nâng cấp rồi tắt thủ công lần nữa. (Nguồn: BlockBeats)

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

1 thích