تم الإبلاغ عن ثغرة في تصميم الخصوصية في عميل سطح مكتب مفتوح المصدر للذكاء الاصطناعي Cherry Studio بعد أن اكتشفها المستخدمون: بعد إيقاف خيار «إرسال تقارير الأخطاء والإحصاءات بشكل مجهول»، يواصل العميل إرسال بيانات تعريف تتضمن معرف الجهاز ومعطيات النظام وبنية وحدة المعالجة المركزية. بعد أن نشر مستخدم GitHub Yuerchu لقطة شاشة لعملية التقاط الحزم ضمن Issue #14387 ، اعترف المطور kangfenmao في التعليقات بأن المشكلة حقيقية.
بنية المشكلة: ثلاث حالات أحداث بدرجات متفاوتة من الالتزام بإعداد «الإيقاف»
(المصدر:Github)
وفقًا لتدقيق الشيفرة، يقوم عميل Cherry Studio بالإبلاغ عن ثلاث أنواع من الأحداث، لكن سلوك الأنواع الثلاثة غير متسق جذريًا:
محادثة الذكاء الاصطناعي: يلتزم عادةً بإعدادات المستخدم، ولا يتم الإبلاغ بعد الإيقاف.
بدء التطبيق: يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
فحص التحديثات: كذلك يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
تتضمن كل طلبات الإرسال معرف جهاز مخصص، بالإضافة إلى إصدار نظام التشغيل وبنية وحدة المعالجة المركزية ورقم إصدار التطبيق، ما يشكل مجموعة تعريفية للتعقب طويل الأمد لهذا الجهاز.
تدقيق الشيفرة: تم إزالة التبديل عمدًا في 22 مارس
عند مراجعة الشيفرة التي تم مشاركتها من المجتمع، تبين أنه عندما تم إدخال آلية الإبلاغ هذه لأول مرة في فبراير 2026 كانت التبديلات فعّالة لجميع أنواع الأحداث الثلاثة. ومع ذلك، في 22 مارس، قدم الصيانة kangfenmao بنفسه تعديلًا، إذ لم يقتصر الأمر على حذف منطق التحقق من تبديل بدء التطبيق وفحص التحديثات، بل قام أيضًا بإدخال المزيد من معلومات تعريف الجهاز في رؤوس الطلبات.
تم تشغيل هذا الرمز المعيب بشكل متواصل في الإصدارات الأربعة v1.8.3 وv1.8.4 وv1.9.0 وv1.9.1 لمدة تقارب شهر، قبل أن يكتشفه المجتمع ويتم الكشف عنه علنًا.
ثغرة أقدم: سكربت خفي لإعادة تشغيل التبديل عند الترقية بشكل صامت
عند تتبع كود الإصدارات الأقدم، اكتشف المجتمع طبقة أخرى من المشكلة: عندما تمت إضافة ميزة التحليل لأول مرة في فبراير 2025، تم أيضًا تضمين سكربت ترقية — بحيث عند الترقية من إصدار قديم، يتم تشغيل تبديل «الإحصاءات المجهولة» تلقائيًا مرة واحدة. بعد ذلك، ورغم أن خادم خدمة التحليل الخلفي انتقل لاحقًا من Google Analytics إلى PostHog وSentry، ثم إلى analytics.cherry-ai.com الحالي الذي تم بناؤه ذاتيًا، فإن هذا السكربت الذي يقوم بتشغيل التبديل تلقائيًا لم تتم إزالته.
الأثر الفعلي هو: المستخدمون الذين قاموا بتثبيت Cherry Studio قبل فبراير 2025 ثم أجروا أي ترقية بعد ذلك، بغض النظر عما إذا كانوا قد أغلقوا الإعداد يدويًا سابقًا، سيتم تشغيله مرة أخرى بهدوء بعد كل ترقية، ما يتطلب إيقافه يدويًا مرة ثانية بعد الترقية.
الأسئلة الشائعة
ما هي معلومات الأجهزة التي تجمعها Cherry Studio بالتحديد؟
وفقًا لتدقيق الشيفرة، تتضمن كل طلبات الإبلاغ ما يلي: معرف جهاز فريد (للتعقب المستمر عبر الجلسات)، وإصدار نظام التشغيل، وبنية وحدة المعالجة المركزية، ورقم إصدار التطبيق. يمكن أن تتيح هذه المعلومات مجتمعة إجراء تعريف وتتبع طويل الأمد لجهاز محدد على خادم التحليل، وحتى بدون الاسم أو معلومات الحساب يمكنها تكوين بصمة جهاز فعّالة.
هل يتم إرسال بيانات حساسة مثل محتوى الدردشة ومفاتيح API؟
صرّح المطور kangfenmao بشكل واضح بأن البيانات الحساسة مثل محتوى الدردشة ومدخلات المستخدم والملفات ومفاتيح API لا تمر عبر مسار الإبلاغ هذا، وبالتالي لا تقع ضمن نطاق البيانات المتأثرة. ما يتم إرساله حاليًا هو فقط بيانات تعريفية من نوع الأجهزة (metadata).
ما الإجراء الذي يجب على المستخدمين المتأثرين اتخاذه الآن؟
تم دمج نسخة الإصلاح عبر PR #14390، ويُنصح بتحديثها فورًا إلى أحدث إصدار. بعد التحديث، يجب التأكد يدويًا من أن تبديل إحصاءات الخصوصية في وضع الإيقاف—نظرًا لمشكلة سكربتات الترقية القديمة، قد تؤدي عملية الترقية نفسها مرة أخرى إلى تشغيل التبديل. إذا كانت متطلبات الخصوصية لديك مرتفعة، يُنصح بعد التحديث بالتحقق عبر أدوات مراقبة الشبكة من أن إرسال الطلبات إلى analytics.cherry-ai.com قد توقف.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
CoinGecko 推出 AI 市场洞察、投资组合追踪以及项目合作伙伴平台
CoinGecko 推出 AI 市场摘要、图表、一款钱包追踪器以及一个合作伙伴平台,超越价格数据,面向分析和日常使用扩展;随着流量下滑,可能在接近 $500M 的价格出售。
摘要:CoinGecko 推出由 AI 驱动的市场摘要、更高级的图表、一款钱包追踪器,用于在 EVM 网络上监控公开地址,并显示盈亏(P&L)与平均买入价格,以及一个面向项目列表和广告的合作伙伴平台。该套件与 GeckoTerminal 携手,旨在从单纯价格数据迈向日常分析与互动,回应 AI 竞争与用户行为变化,同时试图在流量下降以及可能接近 $500 百万美元出售的情况下,保护收入来源。
GateNewsمنذ 14 د
تخطط Core Scientific لزيادة ديون بقيمة 3.3 مليار دولار لتسريع التحول نحو الذكاء الاصطناعي
تسعى شركة Core Scientific إلى جمع 3.3 مليار دولار عبر إصدار ديون، بينما تتحول نحو مراكز بيانات تركز على الذكاء الاصطناعي. وتؤكد هذه الخطوة تحولًا أوسع بعيدًا عن تعدين البيتكوين.
الاستنتاجات الرئيسية:
تخطط شركة Core Scientific لطرح ديون بقيمة 3.3 مليار دولار لسندات عام 2031، مع التحول عن تعدين البيتكوين.
Coinpediaمنذ 42 د
Gensyn تطلق Delphi، منصة أسواق معلومات يتم تسويتها عبر الذكاء الاصطناعي
رسالة أخبار بوابة، 22 أبريل — أطلقت Gensyn، وهي شبكة بنية تحتية لا مركزية للذكاء الاصطناعي مدعومة من a16z crypto، منتجها الرئيسي Delphi، وهي عبارة عن منصة أسواق معلومات يتم تسويتها عبر الذكاء الاصطناعي، تتيح لأي شخص إنشاء أسواق وكسب رسوم بناءً على حجم التداول.
يختار منشئو الأسواق نماذج ذكاء اصطناعي ثابتة الوزن مسبقًا لتعمل كـ "أوراكل ذكية" للتسوية، مع التحقق من النتائج عبر بيئات تنفيذ قابلة لإعادة الإنتاج REE. يتم توزيع عائدات التسوية تلقائيًا في USDC. يجمع البروتوكول 0.5% من إجمالي حجم التداول لإعادة شراء وتدمير رمز الذكاء الاصطناعي غير المُعلن عنه، بينما يحصل منشئو الأسواق على 1.5% من حجم التداول عند نجاح تسوية السوق.
سجلت شبكة اختبار Delphi ملايين الدولارات في حجم التداول منذ ديسمبر من العام الماضي. تعمل المنصة حاليًا وفق نموذج قائم على الدعوات فقط للمنشئين، ومن المتوقع إطلاقها على شبكة mainnet خلال أسابيع.
GateNewsمنذ 1 س
PicWe 推出具备设备端密钥管理的 AI 代理钱包
PicWe 宣布 PicWe 钱包的公开测试版,该钱包是一种由 AI 代理赋能、支持离线设备端密钥管理的钱包,并且无需恢复短语。它支持多链资产、兑换、AI 可访问的自动化,并旨在统一 RWA 基础设施。
PicWe 已推出 PicWe 钱包的公开测试版:这是一款由 AI 代理赋能的钱包,会将密钥存储在设备端,消除恢复短语,并使关键操作保持在本地。测试版支持多链资产管理、兑换,以及基于稳定币的费用,同时支持可编程的 AI 交互。更广泛的 PicWe 计划将该平台定位为面向真实世界资产的统一基础设施,使其能够用于发行、流通、结算、跨境支付、代币化以及企业用例的供应链协同。
GateNewsمنذ 2 س
普华永道新加坡拟投资$3.15M建设AI驱动的贸易咨询枢纽
普华永道新加坡将投资S$4m ,三年内创建一个贸易咨询枢纽,并在新加坡经济发展局支持下提供贸易、供应链和税务咨询;在全球贸易复杂度不断上升之际,APAC团队将扩展至100+名专家。
摘要:普华永道新加坡将设立一个贸易咨询枢纽,在新加坡经济发展局支持下,未来三年投入S$4 百万资金,并将指导本地和跨国企业应对不断演变的贸易规则、供应链管理以及国际扩张。该举措包括招聘专家并开发用于贸易、供应链和税务服务的AI驱动工具,依托该事务所在亚太地区现有的海关与贸易咨询业务(拥有100多名顾问)。该项开发回应了在监管变化、电子商务增长以及日益复杂的全球供应链背景下,对先进贸易规划解决方案的日益增长的需求。
GateNewsمنذ 4 س
特斯拉在中国提交AI语音助手;大众、Rivian紧随其后,因电动汽车AI竞赛而步入同一赛道
Gate News消息,4月22日——特斯拉已向中国国家网信办提交其由生成式AI驱动的语音助手,加入了已完成该国官方注册流程的158个AI工具。此举体现了在中国严格的AI功能监管环境中进行合规的例行步骤
GateNewsمنذ 5 س
