O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
CoinGecko Lança Insights de Mercado com IA, Rastreamento de Portfólio e Plataforma Parceira de Projetos
O CoinGecko lança resumos de mercado com IA, gráficos, um rastreador de carteira e uma plataforma parceira, expandindo-se além dos dados de preço para análise e uso diário à medida que o tráfego cai, com potencial de venda perto de $500M.
Resumo: O CoinGecko lançou resumos de mercado com IA, gráficos avançados, um rastreador de carteira que monitora endereços públicos em redes EVM com P&L e preço médio de compra, e uma plataforma parceira para listagens de projetos e anúncios. Junto com o GeckoTerminal, o pacote tem como objetivo ir além dos dados de preço, rumo a análises diárias e engajamento, lidando com a concorrência da IA e com a mudança no comportamento dos usuários, enquanto busca proteger fontes de receita diante da queda de tráfego e de uma possível venda perto de $500 milhões.
GateNews14m atrás
Core Scientific Planeja Captação de Dívida de US$ 3,3 Bilhões para Acelerar a Virada para IA
A Core Scientific está buscando levantar US$ 3,3 bilhões por meio de uma oferta de dívida enquanto faz a transição para data centers focados em IA. A medida destaca uma mudança mais ampla para longe da mineração de bitcoin.
Principais pontos:
A Core Scientific planeja levantar US$ 3,3 bilhões em dívida para notas com vencimento em 2031, fazendo a transição da mineração de bitcoin.
Coinpedia42m atrás
Gensyn lança Delphi, plataforma de mercado de informações com liquidação por IA
Mensagem do Gate News, 22 de abril — A Gensyn, uma rede descentralizada de infraestrutura de IA apoiada pela cripto da a16z, lançou seu principal produto, o Delphi, uma plataforma de mercado de informações com liquidação por IA que permite que qualquer pessoa crie mercados e ganhe taxas com base no volume de negociação.
Os criadores de mercado pré-selecionam modelos de IA de peso fixo para atuar como "oráculos inteligentes" de liquidação, com resultados verificados por meio de ambientes de execução reproduzíveis REE. Os valores de liquidação são distribuídos automaticamente em USDC. O protocolo coleta 0,5% de todo o volume de negociação para recompra e queima do seu token de IA ainda não liberado, enquanto os criadores de mercado ganham 1,5% do volume de negociação quando o mercado é liquidado com sucesso.
A testnet do Delphi registrou milhões de dólares em volume de negociação desde dezembro do ano passado. A plataforma atualmente opera com um modelo apenas por convite para criadores e deve ser lançada na mainnet nas próximas semanas.
GateNews1h atrás
PicWe Lança Carteira com Agente de IA com Gerenciamento de Chaves no Dispositivo
PicWe anuncia o beta público do PicWe Wallet, uma carteira de chaves no dispositivo habilitada por agentes de IA, sem frases de recuperação. Ela oferece suporte a ativos multi-chain, swaps, automação acessível por IA e tem como objetivo unificar a infraestrutura de RWA.
A PicWe lançou o beta público do PicWe Wallet, uma carteira com habilitação de Agente de IA que armazena as chaves no dispositivo, elimina frases de recuperação e mantém operações críticas localmente. O beta oferece suporte ao gerenciamento de ativos multi-chain, swaps e ao pagamento de taxas em stablecoins, ao mesmo tempo em que habilita interações programáveis com IA. As iniciativas mais amplas da PicWe posicionam a plataforma como infraestrutura unificada para ativos do mundo real, possibilitando emissão, circulação, liquidação, pagamentos transfronteiriços, tokenização e coordenação da cadeia de suprimentos para casos de uso empresariais.
GateNews2h atrás
PwC Singapura vai Investir $3.15M em um Trade Advisory Hub com IA
PwC Singapura vai investir S$4m ao longo de mais de 3 anos para criar um Trade Advisory Hub com apoio da EDB, oferecendo consultoria de comércio, cadeia de suprimentos e impostos orientada por IA; expande a equipe APAC com 100+ especialistas em meio ao aumento da complexidade do comércio global.
Resumo: A PwC Singapura vai estabelecer um Trade Advisory Hub respaldado por S$4 milhões ao longo de três anos, com apoio da EDB de Singapura, para orientar empresas locais e multinacionais sobre regras de comércio em evolução, gestão de cadeias de suprimentos e expansão internacional. A iniciativa inclui a contratação de especialistas e o desenvolvimento de ferramentas com IA para serviços de comércio, cadeia de suprimentos e impostos, aproveitando a prática existente da empresa de consultoria aduaneira e de comércio na APAC, com mais de 100 consultores. O desenvolvimento responde à crescente demanda por soluções avançadas de planejamento de comércio diante de mudanças regulatórias, crescimento do e-commerce e cadeias globais de suprimentos cada vez mais complexas.
GateNews4h atrás
Tesla registra assistente de voz com IA na China; Volkswagen, Rivian seguem a mesma linha em meio à corrida de IA para EVs
Mensagem do Gate News, 22 de abril — a Tesla registrou seu assistente de voz generativo com IA junto à Administração Estatal de Ciberespaço da China, juntando-se a 158 ferramentas de IA que concluíram o processo oficial de registro do país. A medida representa uma etapa rotineira de conformidade no rigoroso ambiente regulatório da China
GateNews5h atrás
