Klien desktop AI sumber terbuka Cherry Studio mengalami celah desain privasi yang ditemukan oleh pengguna: setelah mematikan opsi “mengirim laporan kesalahan dan statistik data secara anonim”, klien terus mengirim data identifikasi yang berisi ID perangkat, informasi sistem, dan arsitektur CPU. Pengguna GitHub Yuerchu memposting tangkapan layar hasil penangkapan paket di Issue #14387 , lalu pengembang kangfenmao mengakui dalam komentar bahwa masalahnya memang benar.
Struktur masalah: kepatuhan terhadap pengaturan “nonaktif” untuk tiga jenis kejadian tidaklah sama
(Sumber: Github)
Berdasarkan audit kode, klien Cherry Studio melaporkan tiga jenis kejadian, tetapi terdapat ketidakkonsistenan mendasar dalam perilaku ketiga kejadian tersebut:
Obrolan AI:secara normal mematuhi sakelar pengguna; setelah dimatikan, tidak melaporkan.
Peluncuran aplikasi:langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Pemeriksaan pembaruan:juga langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Setiap permintaan yang dikirim membawa ID perangkat khusus, ditambah dengan versi sistem operasi, arsitektur CPU, dan nomor versi aplikasi, membentuk kombinasi identifikasi pelacakan jangka panjang untuk perangkat tersebut.
Audit kode: sakelar secara sengaja dihapus pada 22 Maret
Dari penelusuran komunitas terhadap kode, ditemukan bahwa ketika mekanisme pelaporan ini baru ditambahkan pada Februari 2026, sakelar tersebut berlaku untuk ketiga jenis kejadian. Namun pada 22 Maret, maintainer kangfenmao sendiri mengirimkan sebuah modifikasi: bukan hanya menghapus logika penilaian sakelar untuk peluncuran aplikasi dan pemeriksaan pembaruan, tetapi juga menyelipkan lebih banyak informasi identifikasi perangkat ke dalam header permintaan.
Kode masalah ini dijalankan secara beruntun selama sekitar satu bulan pada empat versi, yaitu v1.8.3, v1.8.4, v1.9.0, dan v1.9.1, sebelum akhirnya ditemukan dan diungkapkan secara terbuka oleh komunitas.
Kekurangan lama yang lebih awal: skrip tersembunyi untuk memicu ulang “mulai ulang senyap” pada saat upgrade
Saat komunitas melacak kode versi lama, mereka juga menemukan lapisan masalah lain: ketika fungsi analitik pertama kali ditambahkan pada Februari 2025, sekaligus disisipkan sebuah skrip upgrade—selama pengguna melakukan upgrade dari versi lama, sakelar “statistik anonim” akan otomatis diaktifkan sekali. Setelah itu, backend layanan analitik sempat berganti dari Google Analytics ke PostHog dan Sentry, lalu ke analytics.cherry-ai.com yang kini dikelola sendiri, tetapi skrip yang otomatis mengaktifkan sakelar ini tidak pernah dihapus.
Dampak nyatanya adalah: pengguna yang telah memasang Cherry Studio sebelum Februari 2025 dan kemudian melakukan upgrade apa pun, terlepas dari apakah sebelumnya pernah mematikan pengaturan tersebut secara manual, akan selalu diaktifkan kembali secara senyap setiap kali setelah upgrade. Mereka perlu mematikannya kembali secara manual setelah upgrade.
FAQ
Informasi perangkat spesifik apa yang dikumpulkan Cherry Studio?
Berdasarkan audit kode, setiap permintaan pelaporan berisi: ID perangkat unik (melanjutkan pelacakan lintas sesi), versi sistem operasi, arsitektur CPU, serta nomor versi aplikasi. Kombinasi informasi ini memungkinkan backend analitik melakukan identifikasi dan pelacakan jangka panjang terhadap perangkat tertentu; meskipun tanpa nama atau informasi akun, tetap dapat membentuk sidik jari perangkat yang efektif.
Apakah data sensitif seperti isi obrolan, kunci API, dll. juga ikut terkirim?
kangfenmao selaku pengembang menyatakan dengan jelas bahwa data sensitif seperti isi obrolan, input pengguna, dokumen, dan kunci API tidak melewati jalur pelaporan ini, dan berada di luar cakupan data yang terdampak. Saat ini yang terkirim hanya metadata berupa identifikasi perangkat.
Tindakan apa yang harus dilakukan pengguna yang terdampak sekarang?
Versi perbaikan sudah digabungkan melalui PR #14390, dan disarankan untuk segera memperbarui ke versi terbaru. Setelah pembaruan, seharusnya konfirmasi secara manual bahwa sakelar statistik privasi dalam keadaan mati—karena masalah skrip upgrade lama, proses upgrade itu sendiri dapat berpotensi mengaktifkan sakelar lagi. Jika Anda memiliki persyaratan privasi yang lebih tinggi, disarankan untuk memverifikasi setelah pembaruan apakah permintaan ke analytics.cherry-ai.com telah benar-benar berhenti melalui alat pemantauan jaringan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
PwC Singapore Akan Menginvestasikan $3.15M ke Trade Advisory Hub Berbasis AI
PwC Singapore akan berinvestasi S$4m selama lebih dari 3 tahun untuk membangun Trade Advisory Hub dengan dukungan EDB, menawarkan layanan konsultasi perdagangan, rantai pasok, dan pajak berbasis AI; memperluas tim APAC yang berisi 100+ spesialis di tengah meningkatnya kompleksitas perdagangan global.
Abstrak: PwC Singapore akan mendirikan Trade Advisory Hub yang didukung oleh S$4 juta selama tiga tahun bersama dukungan Singapore EDB untuk membimbing perusahaan lokal dan multinasional mengenai peraturan perdagangan yang terus berkembang, pengelolaan rantai pasok, dan ekspansi internasional. Inisiatif ini mencakup perekrutan spesialis dan pengembangan alat berbasis AI untuk layanan perdagangan, rantai pasok, dan pajak, dengan memanfaatkan praktik konsultasi bea cukai dan perdagangan APAC yang sudah ada dari firma tersebut, yang memiliki lebih dari 100 konsultan. Pengembangan ini menanggapi meningkatnya kebutuhan akan solusi perencanaan perdagangan yang lebih canggih seiring perubahan regulasi, pertumbuhan e-commerce, dan semakin kompleksnya rantai pasok global.
GateNews35menit yang lalu
Sandoll Meluncurkan Sandoll Square, Platform AI-Web3 untuk Memungkinkan Pengelolaan Aset Digital Terdesentralisasi
Sandoll meluncurkan Sandoll Square, divisi AI dan Web3 baru untuk membangun ekosistem platform terdesentralisasi, dengan menggabungkan pemrosesan konten berbasis AI dengan blockchain untuk manajemen data yang mulus dan interoperabilitas; peran CEO dan CTO sedang direkrut.
GateNews2jam yang lalu
Soluna melakukan kerja sama ekspansi empat kali lipat dengan Blockware, kapasitas pembangkit listrik tenaga angin West Texas untuk pertambangan Bitcoin menembus 17 megawatt
Perusahaan penambangan Bitcoin dan komputasi AI Soluna Holdings (NASDAQ: SLNH) pada 21 April mengumumkan bahwa mereka menandatangani perjanjian ekspansi keempat dengan Blockware, menambahkan kapasitas perangkat 3,3 megawatt ke proyek pusat data angin Dorothy 1B yang berlokasi di Texas Barat, sehingga total kapasitas Blockware di seluruh stasiun Soluna melampaui 17 megawatt.
MarketWhisper3jam yang lalu
ProCap Financial dan Kalshi Meluncurkan Produk Riset Pasar Prediksi
Gate News, 22 April — ProCap Financial, yang didukung oleh pengusaha kripto Anthony Pompliano, telah bermitra dengan operator pasar prediksi Kalshi untuk meluncurkan produk riset profesional yang disesuaikan untuk pasar prediksi. ProCap akan mengakses data Kalshi melalui pipeline langsung dan menggunakan agen AI untuk menganalisis pasar prediksi, menghasilkan wawasan investasi, poin data pasar ekuitas, serta mengintegrasikan data saham ke dalam pasar prediksi. Produk ini
GateNews3jam yang lalu
Snowflake Mengembangkan Produk AI dengan Konektor Baru dan Alat untuk Pengembang
Pesan dari Gate News, 22 April — Snowflake mengumumkan pengembangan untuk produk AI-nya, Snowflake Intelligence dan Cortex Code, karena perusahaan-perusahaan mempercepat adopsi AI dari program percontohan ke lingkungan produksi.
Snowflake Intelligence menambahkan konektor untuk Gmail, Google Calendar, Google Docs, Jira,
GateNews3jam yang lalu
Musk X menghadirkan fitur Grok dengan garis waktu yang dapat disesuaikan, komunitas kripto mendapatkan jalur arus informasi yang independen
X (dulu Twitter) pada 22 April mengumumkan peluncuran fitur timeline yang dapat disesuaikan (Customizable Timeline), yang memungkinkan pengguna iOS berlangganan premium untuk menyematkan lebih dari 75 topik di tab beranda, sehingga membangun arus informasi algoritmik khusus yang berpusat pada satu topik. Fitur ini digerakkan bersama oleh model AI Grok dan sistem personalisasi milik X.
MarketWhisper5jam yang lalu
