Un client de bureau open source d’IA, Cherry Studio, a été signalé par des utilisateurs pour un défaut de conception en matière de confidentialité : après avoir désactivé l’option « envoyer anonymement par erreur des rapports d’erreurs et des statistiques de données », le client continue d’envoyer des données d’identification incluant l’identifiant de l’appareil, des informations système et l’architecture CPU. Après qu’un utilisateur GitHub, Yuerchu, a publié des captures d’analyse réseau dans un Issue #14387 , le développeur kangfenmao a admis dans un commentaire que le problème est bien réel.
Structure du problème : trois types d’événements n’obéissent pas de manière uniforme au paramètre de « désactivation »
(來源:Github)
D’après l’audit du code, le client Cherry Studio remonte trois types d’événements, mais les comportements de ces trois types présentent des incohérences fondamentales :
Dialogue IA : respecte normalement le réglage de l’utilisateur ; une fois désactivé, aucun rapport n’est envoyé.
Démarrage de l’application : contourne directement le réglage, quel que soit le paramètre choisi par l’utilisateur, des rapports sont toujours envoyés.
Vérification de mise à jour : contourne également directement le réglage, quel que soit le paramètre choisi par l’utilisateur, des rapports sont toujours envoyés.
Chaque requête transmise inclut un identifiant unique d’appareil, auquel s’ajoutent la version du système d’exploitation, l’architecture CPU et le numéro de version de l’application, formant ainsi une combinaison d’identification permettant un pistage à long terme de cet appareil.
Audit du code : le commutateur a été retiré volontairement le 22 mars
En fouillant dans le code, la communauté a constaté qu’au moment où ce mécanisme de remontée avait été ajouté en février 2026, le commutateur fonctionnait pour les trois types d’événements. Cependant, le 22 mars, le mainteneur kangfenmao a lui-même soumis une modification : non seulement il a supprimé la logique de vérification des commutateurs pour le démarrage de l’application et la vérification de mise à jour, mais il a aussi profité de l’occasion pour insérer davantage d’informations d’identification d’appareil dans les en-têtes des requêtes.
Ce code fautif a continué de tourner de manière consécutive pendant environ un mois dans quatre versions, v1.8.3, v1.8.4, v1.9.0 et v1.9.1, avant d’être découvert et divulgué publiquement par la communauté.
Des anciens trous plus tôt : un script caché pour réactiver silencieusement après mise à niveau
En retraçant le code des anciennes versions, la communauté a aussi découvert une autre couche de problème : lorsque la fonctionnalité d’analyse a été introduite pour la première fois en février 2025, une portion de script de mise à niveau a été intégrée en même temps. Tant que l’utilisateur provenait d’une ancienne version, le commutateur « statistiques anonymes » se retrouve automatiquement activé une fois. Par la suite, bien que le backend du service d’analyse ait changé successivement, passant de Google Analytics à PostHog et Sentry, puis à l’analytics.cherry-ai.com auto-hébergé actuel, ce script d’activation automatique du commutateur n’a jamais été supprimé.
L’impact réel est le suivant : pour les utilisateurs qui avaient installé Cherry Studio avant février 2025 puis effectué ensuite n’importe quelle mise à niveau, quel que soit le fait qu’ils aient ou non désactivé manuellement ce paramètre auparavant, après chaque mise à niveau, le commutateur est réactivé silencieusement ; il faut ensuite le désactiver manuellement à nouveau après la mise à niveau.
Questions fréquentes
Quelles informations d’appareil Cherry Studio collecte-t-il concrètement ?
D’après l’audit du code, chaque requête de remontée contient : un identifiant unique d’appareil (qui permet un suivi continu sur plusieurs sessions), la version du système d’exploitation, l’architecture CPU, et le numéro de version de l’application. L’association de ces informations peut permettre au backend d’analyse d’effectuer une identification et un suivi à long terme d’un appareil spécifique ; même sans nom ni informations de compte, cela forme une empreinte d’appareil efficace.
Le contenu des discussions, les clés API et autres données sensibles sont-ils aussi envoyés ?
Le développeur kangfenmao indique clairement que le contenu des conversations, les saisies des utilisateurs, les fichiers et les clés API, entre autres données sensibles, ne passent pas par ce canal de remontée, et ne font pas partie de la portée des données affectées. À ce qui est effectivement transmis, il s’agit uniquement de métadonnées de type identification d’appareil (metadata).
Quelles actions les utilisateurs concernés doivent-ils prendre maintenant ?
La version corrigée a été fusionnée via PR #14390 ; il est recommandé de mettre à jour immédiatement vers la dernière version. Après la mise à jour, il faut vérifier manuellement que le commutateur de statistiques de confidentialité est bien sur « désactivé » — en raison du problème du script d’activation lors des mises à niveau, la mise à niveau elle-même pourrait à nouveau activer le commutateur. Si vous avez des exigences élevées en matière de confidentialité, il est recommandé, après la mise à jour, de vérifier via un outil de surveillance réseau que les requêtes vers analytics.cherry-ai.com ont bien cessé.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
PwC Singapour investira 3,15 M$ dans un Hub d’Advisory Commercial propulsé par l’IA
PwC Singapour investira plus de S$4m sur trois ans pour créer un Hub d’Advisory Commercial avec le soutien de l’EDB, offrant un conseil en commerce, chaîne d’approvisionnement et fiscalité piloté par l’IA ; étend son équipe APAC de 100+ spécialistes au moment où la complexité des échanges mondiaux augmente.
Résumé : PwC Singapour mettra en place un Hub d’Advisory Commercial financé par S$4 millions sur trois ans avec le soutien de l’EDB singapourienne afin d’aider les entreprises locales et multinationales à faire face à l’évolution des règles commerciales, à la gestion des chaînes d’approvisionnement et à l’expansion internationale. L’initiative prévoit le recrutement de spécialistes et le développement d’outils alimentés par l’IA pour les services de commerce, de chaîne d’approvisionnement et de conseil fiscal, en s’appuyant sur la pratique existante de PwC en Asie-Pacifique en matière de conseils douaniers et commerciaux, qui compte plus de 100 consultants. Le développement répond à la demande croissante de solutions avancées de planification commerciale face à l’évolution de la réglementation, à la croissance du e-commerce et à des chaînes d’approvisionnement mondiales de plus en plus complexes.
GateNewsIl y a 56m
Sandoll lance Sandoll Square, une plateforme IA-Web3 pour permettre la gestion décentralisée des actifs numériques
Sandoll dévoile Sandoll Square, une nouvelle division IA et Web3 destinée à construire un écosystème de plateforme décentralisé, en fusionnant le traitement de contenu piloté par l’IA avec la blockchain pour une gestion et une interopérabilité des données sans friction ; les postes de PDG et de CTO sont en cours de recrutement.
GateNewsIl y a 2h
Soluna augmente sa capacité pour la quatrième fois en s’associant à Blockware ; la capacité de la ferme minière de Bitcoin à l’énergie éolienne dans le West Texas dépasse 17 mégawatts
La société minière de Bitcoin et d’IA, Soluna Holdings (NASDAQ : SLNH), a annoncé le 21 avril avoir signé avec Blockware le quatrième accord d’extension. Le projet de centre de données éolien Dorothy 1B, situé au Texas occidental, ajoute une capacité d’installation de 3,3 mégawatts, ce qui porte la capacité totale de Blockware dans les sites de Soluna à plus de 17 mégawatts.
MarketWhisperIl y a 3h
ProCap Financial et Kalshi lancent un produit de recherche sur les marchés de prédiction
Message de Gate News, 22 avril — ProCap Financial, soutenu par l’entrepreneur crypto Anthony Pompliano, s’est associé à l’opérateur de marchés de prédiction Kalshi pour lancer un produit de recherche professionnel conçu pour les marchés de prédiction. ProCap accédera aux données de Kalshi via un pipeline direct et utilisera des agents IA pour analyser les marchés de prédiction, en générant des informations d’investissement, des points de données sur les marchés actions, et en intégrant des données boursières dans les marchés de prédiction. Le produit sera livré via le service de recherche financière de ProCap, lancé plus tôt ce mois-ci, couvrant les actions, les tendances thématiques et l’analyse macroéconomique.
GateNewsIl y a 3h
Snowflake étend ses produits d’IA grâce à de nouveaux connecteurs et outils pour développeurs
Message des actualités Gate, 22 avril — Snowflake a annoncé des extensions de ses produits d’IA, Snowflake Intelligence et Cortex Code, alors que les entreprises accélèrent l’adoption de l’IA, passant des programmes pilotes aux environnements de production.
Snowflake Intelligence a ajouté des connecteurs pour Gmail, Google Calendar, Google Docs, Jira,
GateNewsIl y a 4h
Musk X pousse Grok à personnaliser la chronologie, les communautés crypto obtiennent un canal d’informations indépendant
X (anciennement Twitter) a annoncé le 22 avril le lancement de la fonctionnalité de chronologie personnalisable (Customizable Timeline), qui permet aux utilisateurs iOS abonnés premium d’épingler plus de 75 sujets sur l’onglet Accueil, afin de créer un flux d’informations d’algorithme dédié centré sur un seul thème. Cette fonctionnalité est pilotée conjointement par le modèle d’IA Grok et le système de personnalisation de X.
MarketWhisperIl y a 5h
