暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
tag
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
SpaceX Pre-IPOs
報酬

Cherry Studio プライバシースイッチが無効化されています。統計をオフにしても、デバイス情報が外部に送信されます。

MarketWhisper
AIツール・アプリ

Cherry Studio設計缺陷

オープンソースのAIデスクトップクライアント「Cherry Studio」が、ユーザーによってプライバシー設計上の欠陥が発見されました。 「匿名で誤ったエラーレポートとデータ統計を送信する」オプションをオフにした後も、クライアントは引き続き、デバイスID、システム情報、CPUアーキテクチャを含む識別データを送信し続けます。 GitHubのユーザーYuerchuがIssue #14387 にパケットキャプチャのスクリーンショットを投稿した後、開発者のkangfenmaoがコメント欄で問題が事実であることを認めました。

問題の構造:「オフ」設定に対する遵守度が3種類のイベントで異なる

Cherry Studio隱私開關失效

(出所:Github)

コード監査によると、Cherry Studioクライアントは3種類のイベントを報告していますが、3種類のイベントの挙動には根本的な不一致があります:

AIチャット:通常はユーザーのスイッチ設定に正しく従い、オフにした後は報告しない。

アプリ起動:スイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

アップデート確認:同じくスイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

送信される各リクエストには専用のデバイスIDが含まれ、さらにOSバージョン、CPUアーキテクチャ、アプリバージョン番号が加わることで、このデバイスに対する長期追跡の識別の組み合わせが形成されます。

コード監査:スイッチは3月22日に意図的に削除された

コミュニティがコードを調べたところ、2026年2月にこの報告メカニズムが導入された当初は、スイッチが3種類のイベントすべてに対して有効でした。 しかし3月22日、メンテナーのkangfenmao自身が修正を1回提出し、アプリ起動とアップデート確認のスイッチ判定ロジックを削除しただけでなく、ついでにより多くのデバイス識別情報をリクエストヘッダーに詰め込みました。

この問題のあるコードは、v1.8.3、v1.8.4、v1.9.0、v1.9.1の4つのバージョンで約1か月間継続して実行され、その後コミュニティによって発見され公開で報告されました。

それより前の古い穴:アップグレード時にサイレント再起動するスイッチの隠しスクリプト

コミュニティが旧バージョンのコードを追跡すると、別の問題の層も見つかりました。 2025年2月に分析機能が初めて追加された際、同時にアップグレードスクリプトが埋め込まれていました。 それは、旧バージョンからアップグレードしてきたユーザーであれば、「匿名統計」スイッチが自動的に一度オンになるというものです。 その後、分析サービスのバックエンドはGoogle Analyticsから順にPostHogとSentryへ、そして現在の自前のanalytics.cherry-ai.comへと入れ替わりましたが、この自動でスイッチをオンにするスクリプトはずっと削除されていません。

実際の影響は、2025年2月より前にCherry Studioをインストールし、その後いかなるアップグレードも行ったユーザーについてです。 それまでに当該設定を手動でオフにしていたかどうかに関わらず、アップグレードのたびにサイレントに再度オンになり、アップグレード後にもう一度手動でオフにする必要があります。

よくある質問

Cherry Studioは具体的にどのようなデバイス情報を収集していますか?

コード監査によれば、各報告リクエストには以下が含まれます:一意のデバイスID(セッションをまたいで継続追跡)、OSバージョン、CPUアーキテクチャ、そしてアプリのバージョン番号。 これらの情報の組み合わせにより、分析バックエンドで特定のデバイスを長期的に識別・追跡でき、氏名やアカウント情報がなくても有効なデバイス指紋を形成できます。

チャット内容、APIキーなどの機密データも送信されますか?

開発者のkangfenmaoは、チャット内容、ユーザー入力、ファイル、APIキーなどの機密データはこの報告チャネルを経由せず、影響を受けるデータ範囲には含まれないと明確に述べています。 現在送信されているのは、デバイス識別系のメタデータ(metadata)のみです。

影響を受けたユーザーは現在どのような行動を取るべきですか?

修復バージョンはPR #14390としてマージ済みで、最新バージョンへの速やかな更新が推奨されます。 更新後は、プライバシー統計スイッチがオフになっていることを手動で確認してください。 旧アップグレードスクリプトの問題により、アップグレード自体がスイッチを再度オンにする可能性があります。 プライバシーへの要求が高い場合は、更新後にネットワーク監視ツールを通じて、analytics.cherry-ai.comへのリクエストが停止したことを検証することを推奨します。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

PwCシンガポール、AIを活用した貿易アドバイザリー・ハブに$3.15Mを投資

AIツール・アプリ

PwCシンガポールは、EDBの支援を受けて3年超でS$4m を投資し、貿易アドバイザリー・ハブを創設する。AIを活用した貿易、サプライチェーン、税務アドバイザリーを提供し、世界的な貿易の複雑化が進む中で、100人超の専門家からなるAPACチームを拡大する。 概要:PwCシンガポールは、シンガポールのEDBの支援を受けて、3年間でS$4 百万を原資に、貿易アドバイザリー・ハブを設立する。変化する貿易ルール、サプライチェーン管理、国際的な展開について、国内企業および多国籍企業を導くことが目的だ。この取り組みには、専門家の採用と、貿易・サプライチェーン・税務サービス向けのAIを活用したツールの開発が含まれる。既存のAPACにおける税関および貿易アドバイザリーの実務(100人超のコンサルタント)を活用する。規制の変化、ECの成長、そしてますます複雑化する世界のサプライチェーンに伴い、より高度な貿易計画ソリューションへの需要の高まりに対応するものだ。

GateNews56分前

SandollがSandoll Squareを発表:分散型デジタル資産管理を可能にするAI-Web3プラットフォーム

プロジェクト進捗パートナーシップ・エコシステムAIツール・アプリ

Sandollは、分散型プラットフォーム・エコシステムを構築するために、AIとWeb3の新部門「Sandoll Square」を公開しました。AI主導のコンテンツ処理とブロックチェーンを統合し、シームレスなデータ管理と相互運用性を実現します。CEOおよびCTOの役職は現在採用中です。

GateNews2時間前

Soluna、Blockwareと4度目の増資で提携。西テキサスの風力発電によるビットコインマイニング施設の容量が17メガワットを突破

パートナーシップ・エコシステム株式AIツール・アプリ

ビットコインのマイニングと AI 計算資源企業の Soluna Holdings(NASDAQ:SLNH)は 4 月 21 日、Blockware と第 4 回の増設契約を締結したと発表した。テキサス州西部にある Dorothy 1B の風力発電データセンター・プロジェクトに 3.3 メガワットの設備容量を追加し、Soluna 各拠点における Blockware の総容量を 17 メガワット超に引き上げた。

MarketWhisper3時間前

ProCap FinancialとKalshiが予測市場リサーチ製品をローンチ

予測市場株式指数AIエージェントAIツール・アプリ

Gate Newsのメッセージ、4月22日――暗号資産起業家アンソニー・ポムプリアーノの支援を受けるProCap Financialは、予測市場オペレーターのKalshiと提携し、予測市場向けに調整されたプロフェッショナルなリサーチ製品を立ち上げました。ProCapは直接パイプラインを通じてKalshiのデータにアクセスし、予測市場を分析するためにAIエージェントを活用し、投資インサイト、市場データポイントを生成し、株式データを予測市場に統合します。

GateNews3時間前

新しいコネクタと開発者向けツールでスノーフレークがAI製品を拡大

AIツール・アプリ

ゲートニュース(4月22日)— スノーフレークは、AI製品であるSnowflake IntelligenceとCortex Codeの拡張を発表しました。企業は、AI導入を試験段階から本番環境へと加速させています。 Snowflake Intelligenceは、Gmail、Google Calendar、Google Docs、Jiraのコネクタを追加し、

GateNews4時間前

マスク氏XがGrokのカスタム・タイムラインを提供し、暗号資産コミュニティが独立した情報フローの導線を獲得

AIツール・アプリ

X(元Twitter)は4月22日、自分用にカスタマイズできるタイムライン(Customizable Timeline)機能の提供を開始すると発表し、高度なiOSサブスクライバーがホームタブで75以上のトピックを固定して、単一の話題を中心とした専用のアルゴリズム情報フィードを作れるようにしました。この機能は、AIモデルGrokとXのパーソナライズ・システムが共同で駆動します。

MarketWhisper5時間前
コメント
0/400
コメントなし