El cliente de escritorio de IA de código abierto Cherry Studio presenta una falla de privacidad tras ser descubierto por usuarios: al desactivar la opción de “enviar informes de errores y estadísticas de datos de forma anónima”, el cliente sigue enviando datos de identificación que incluyen el ID del dispositivo, información del sistema y la arquitectura de la CPU. El usuario de GitHub Yuerchu publicó capturas del tráfico en Issue #14387 , y el desarrollador kangfenmao reconoció en los comentarios que el problema es real.
Estructura del problema: distintos niveles de cumplimiento de la opción de “desactivar” para tres tipos de eventos
(Fuente:Github)
Según una auditoría del código, el cliente de Cherry Studio informa tres tipos de eventos, pero el comportamiento de los tres es fundamentalmente inconsistente:
Diálogos de IA: cumple normalmente con la configuración del usuario; después de desactivarlo, no se informa.
Inicio de la aplicación: elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Comprobación de actualizaciones: también elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Cada solicitud enviada incluye un ID de dispositivo exclusivo, además de la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación, formando una combinación de identificación de seguimiento a largo plazo de ese dispositivo.
Auditoría del código: el interruptor se eliminó a propósito el 22 de marzo
Al revisar el código, la comunidad encontró que cuando el mecanismo de reporte se añadió por primera vez en febrero de 2026, el interruptor era efectivo para los tres tipos de eventos. Sin embargo, el 22 de marzo, el mantenedor kangfenmao envió una modificación: no solo eliminó la lógica de verificación del interruptor de inicio de la aplicación y de comprobación de actualizaciones, sino que también, de paso, introdujo más información de identificación del dispositivo en los encabezados de la solicitud.
Este código con el problema se ejecutó continuamente durante aproximadamente un mes en cuatro versiones: v1.8.3, v1.8.4, v1.9.0 y v1.9.1, hasta que la comunidad lo descubrió y lo divulgó públicamente.
Fallos antiguos aún más tempranos: un script oculto que reabre en silencio el interruptor al actualizar
Al rastrear el código de versiones anteriores, la comunidad también descubrió otra capa de problemas: cuando la función de análisis se incorporó por primera vez en febrero de 2025, también se incrustó un script de actualización. Solo para los usuarios que vienen de una versión anterior, el interruptor de “estadísticas anónimas” se activa automáticamente una vez. Después, aunque el backend del servicio de análisis cambió sucesivamente de Google Analytics a PostHog y a Sentry, y luego a analytics.cherry-ai.com, el script que vuelve a abrir automáticamente el interruptor nunca se eliminó.
El impacto real es este: los usuarios que instalaron Cherry Studio antes de febrero de 2025 y luego realizaron cualquier actualización, sin importar si anteriormente lo habían apagado manualmente, después de cada actualización el interruptor vuelve a abrirse en silencio, y es necesario cerrarlo manualmente de nuevo tras la actualización.
Preguntas frecuentes
¿Qué información de dispositivos recopila específicamente Cherry Studio?
Según la auditoría del código, cada solicitud de reporte contiene: un ID de dispositivo único (seguimiento continuo entre sesiones), la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación. La combinación de esta información permite realizar identificación y seguimiento a largo plazo de dispositivos específicos en el backend de análisis; incluso sin datos de nombre o cuenta, puede formar una huella de dispositivo efectiva.
¿También se envía contenido del chat, claves de API u otros datos sensibles?
El desarrollador kangfenmao indica con claridad que los datos sensibles como el contenido del chat, las entradas del usuario, los documentos y las claves de API no pasan por este canal de reporte, y no están dentro del alcance de los datos afectados. Por el momento, lo que se transmite únicamente son metadatos de tipo identificación de dispositivos (metadata).
¿Qué acción deben tomar ahora los usuarios afectados?
La versión corregida se ha fusionado mediante PR #14390, y se recomienda actualizar de inmediato a la versión más reciente. Después de actualizar, se debe confirmar manualmente que el interruptor de estadísticas de privacidad está en estado de apagado. Debido al problema del script de actualización anterior, la propia actualización podría volver a abrir el interruptor. Si tiene requisitos más estrictos de privacidad, se recomienda verificar después de la actualización, mediante herramientas de monitoreo de red, si se ha detenido el envío de solicitudes a analytics.cherry-ai.com.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
PwC新加坡将投资$3.15M建设AI驱动的贸易咨询中心
PwC新加坡计划在$4m 年内投资超过3年,借助EDB支持建立一个贸易咨询中心,提供由AI驱动的贸易、供应链和税务咨询;在全球贸易复杂性上升之际,扩大全亚太团队规模至100+名专家。
摘要:PwC新加坡将在三年内投入S$4 百万资金,并获得新加坡EDB支持,建立一个贸易咨询中心,帮助本地和跨国企业应对不断演变的贸易规则、供应链管理以及国际扩张。该举措包括招聘专家并开发用于贸易、供应链和税务服务的AI驱动工具,利用事务所现有的全亚太海关与贸易咨询业务(已有100多名顾问)。该开发回应了在法规变化、电商增长以及日益复杂的全球供应链背景下,对更先进的贸易规划解决方案不断增长的需求。
GateNewsHace34m
Sandoll lanza Sandoll Square, una plataforma de IA-Web3 para habilitar la gestión descentralizada de activos digitales
Sandoll dévoile Sandoll Square, una nueva división de IA y Web3 para construir un ecosistema de plataforma descentralizada, combinando el procesamiento de contenido impulsado por IA con blockchain para una gestión de datos fluida e interoperabilidad; se está reclutando a los cargos de CEO y CTO.
GateNewshace2h
Soluna amplía el acceso por cuarta vez con una colaboración con Blockware; la capacidad de la granja minera de Bitcoin impulsada por energía eólica en el oeste de Texas supera los 17 megavatios
La empresa de minería de Bitcoin y de computación de IA Soluna Holdings (NASDAQ: SLNH) anunció el 21 de abril la firma de su cuarta ampliación de capacidad con Blockware, añadiendo 3.3 megavatios de capacidad instalada al proyecto de centro de datos de energía eólica Dorothy 1B en el estado de Texas Occidental, lo que permite que la capacidad total de Blockware en todas las sedes de Soluna supere los 17 megavatios.
MarketWhisperhace3h
ProCap Financial y Kalshi lanzan un producto de investigación de mercados de predicción
Mensaje de Gate News, 22 de abril — ProCap Financial, respaldada por el empresario cripto Anthony Pompliano, se ha asociado con el operador de mercados de predicción Kalshi para lanzar un producto de investigación profesional adaptado a los mercados de predicción. ProCap accederá a los datos de Kalshi mediante un canal directo y empleará agentes de IA para analizar los mercados de predicción, generando perspectivas de inversión, puntos de datos del mercado de renta variable e integrando datos de acciones en los mercados de predicción.
GateNewshace3h
Snowflake Amplía sus Productos de IA con Nuevos Conectores y Herramientas para Desarrolladores
Mensaje de Gate News, 22 de abril — Snowflake anunció expansiones de sus productos de IA, Snowflake Intelligence y Cortex Code, a medida que las empresas aceleran la adopción de IA pasando de programas piloto a entornos de producción.
Snowflake Intelligence agregó conectores para Gmail, Google Calendar, Google Docs, Jira,
GateNewshace3h
Musk X lanza un Grok con una línea de tiempo personalizable; la comunidad cripto obtiene un canal de flujo de información independiente
X (ex Twitter) anunció el 22 de abril el lanzamiento de la función de línea de tiempo personalizable (Customizable Timeline), que permite a los usuarios avanzados con suscripción de iOS fijar más de 75 temas en la pestaña de inicio, creando un flujo de información de algoritmos dedicado en torno a un solo tema. Esta función está impulsada conjuntamente por el modelo de IA Grok y el sistema de personalización de X.
MarketWhisperhace5h
