Открытый AI-десктоп-клиент Cherry Studio столкнулся с проблемой недостатков в дизайне приватности: после отключения опции «анонимно отправлять отчёты об ошибках и статистику данных» клиент продолжает отправлять идентификационные данные, включая ID устройства, информацию о системе и архитектуру CPU. Пользователь GitHub Yuerchu разместил в Issue #14387 скриншот перехвата после анализа сетевого трафика; в комментариях разработчик kangfenmao признал, что проблема действительно имеет место.
Структура проблемы: разная степень соблюдения настройки «выключено» для трёх типов событий
(Источник:Github)
Согласно аудиту кода, клиент Cherry Studio отправляет три типа событий, но в поведении этих трёх типов есть принципиальная несогласованность:
AI-диалог: в обычном режиме соблюдает переключатель пользователя; после отключения не отправляет.
Запуск приложения: напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Проверка обновлений: также напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Каждый запрос, который передаётся, содержит уникальный ID устройства, а также версию операционной системы, архитектуру CPU и номер версии приложения, формируя комбинацию для долгосрочного отслеживания идентичности этой машины.
Аудит кода: переключатель был намеренно удалён 22 марта
Общество, изучив код, обнаружило, что когда этот механизм отчётности был добавлен в феврале 2026 года, переключатель для всех трёх типов событий работал корректно. Однако 22 марта поддерживающий разработчик kangfenmao сам отправил правку: он не только удалил логику проверок переключателя для запуска приложения и проверки обновлений, но и заодно добавил в заголовки запросов больше сведений об идентификации устройств.
Этот проблемный код непрерывно работал примерно месяц в версиях v1.8.3, v1.8.4, v1.9.0 и v1.9.1, пока сообщество не обнаружило его и не опубликовало информацию.
Более ранняя старая уязвимость: скрытый скрипт для тихого включения после обновления
При отслеживании кода старых версий сообщество также нашло ещё один слой проблемы: когда в феврале 2025 года впервые добавили функцию аналитики, туда одновременно встроили скрипт обновления — он автоматически один раз включает переключатель «анонимная статистика» для пользователей, которые переходят с более старой версии. Затем, хотя бэкенд аналитического сервиса последовательно менял Google Analytics на PostHog и Sentry, а затем — на текущий самовведённый analytics.cherry-ai.com, этот скрипт, автоматически включающий переключатель, так и не был удалён.
Фактическое влияние следующее: для пользователей, которые установили Cherry Studio до февраля 2025 года, а затем выполняли любые обновления, переключатель после каждого обновления будет снова без уведомления включаться независимо от того, вручную выключали ли они эту настройку ранее. После обновления нужно снова вручную выключить.
Частые вопросы
Какие именно сведения об устройствах собирает Cherry Studio?
Согласно аудиту кода, каждый отчётный запрос содержит: уникальный ID устройства (для отслеживания между сессиями), версию операционной системы, архитектуру CPU и номер версии приложения. Эти сведения в сочетании позволяют аналитическому бэкенду проводить долгосрочную идентификацию и отслеживание конкретных устройств; даже без имени или данных учётной записи они могут формировать эффективный отпечаток устройства.
Также ли передаются чувствительные данные вроде содержания чатов и API-ключей?
Разработчик kangfenmao однозначно заявил, что чувствительные данные, такие как содержание чатов, пользовательский ввод, документы и API-ключи, не передаются по этому каналу отчётности и не входят в затронутую область данных. Передаются только метаданные идентификационного типа (metadata).
Какие действия должны предпринять сейчас пользователи, которые затронуты?
Исправленная версия была объединена через PR #14390; рекомендуется немедленно обновиться до последней версии. После обновления следует вручную подтвердить, что переключатель приватной статистики находится в состоянии «выключено» — из-за проблемы со старым скриптом обновления само обновление может снова включить переключатель. Если у вас высокие требования к приватности, рекомендуется после обновления проверить с помощью инструмента сетевого мониторинга, что запросы в analytics.cherry-ai.com больше не отправляются.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
PwC Singapore инвестирует $3.15M в Центр торгового консалтинга с поддержкой ИИ
PwC Singapore инвестирует S$4m более чем за 3 года, чтобы при поддержке EDB создать Центр торгового консалтинга, предлагая консультации по торговле, цепочкам поставок и налогам с использованием ИИ; расширяет команду специалистов APAC численностью 100+ на фоне растущей сложности мировой торговли.
Аннотация: PwC Singapore создаст Центр торгового консалтинга, поддержанный S$4 миллионами за три года при содействии сингапурской EDB, чтобы помогать местным и транснациональным компаниям ориентироваться в меняющихся правилах торговли, управлении цепочками поставок и международной экспансии. Инициатива включает найм специалистов и разработку инструментов на базе ИИ для услуг по торговле, цепочкам поставок и налоговому консультированию, опираясь на уже существующую практику PwC в Азиатско-Тихоокеанском регионе в области таможенных и торговых консультаций — более 100 консультантов. Разработка отвечает растущему спросу на усовершенствованные решения для планирования торговли на фоне меняющихся нормативных требований, роста электронной коммерции и все более сложных глобальных цепочек поставок.
GateNews43м назад
Sandoll запускает Sandoll Square: платформу AI-Web3 для управления децентрализованными цифровыми активами
Sandoll представляет Sandoll Square — новое подразделение в области ИИ и Web3, чтобы создать децентрализованную экосистему платформ, объединяющую обработку контента, управляемую ИИ, с блокчейном для бесшовного управления данными и совместимости; идут наборы на роли CEO и CTO.
GateNews2ч назад
Soluna в сотрудничестве с Blockware расширяет мощность в четвертый раз: мощность ветряной электростанции в Западном Техасе для майнинга биткойнов превысила 17 МВт
Компания по майнингу биткойнов и ИИ-вычислительных мощностей Soluna Holdings (NASDAQ: SLNH) 21 апреля объявила о подписании с Blockware четвертого соглашения о расширении. На проекте Dorothy 1B по ветроэнергетике-данным в Западном Техасе добавлено 3,3 МВт установленной мощности, что довело общую мощность Blockware на объектах Soluna до более чем 17 МВт.
MarketWhisper3ч назад
ProCap Financial и Kalshi запускают продукт для исследований рынков прогнозов
Сообщение Gate News, 22 апреля — ProCap Financial, поддерживаемая крипто-предпринимателем Энтони Помплиано, объединилась с оператором рынка прогнозов Kalshi, чтобы запустить профессиональный исследовательский продукт, адаптированный под рынки прогнозов. ProCap будет получать доступ к данным Kalshi через прямой канал и использовать ИИ-агентов для анализа рынков прогнозов, формируя инвестиционные выводы, точки данных по рынку акций и интегрируя данные по акциям в рынки прогнозов. Продукт будет предоставляться через финансовую исследовательскую службу ProCap, запущенную ранее в этом месяце, с охватом акций, тематических трендов и макроэкономического анализа.
GateNews3ч назад
Snowflake расширяет линейку AI-продуктов: новые коннекторы и инструменты для разработчиков
Сообщение Gate News, 22 апреля — Snowflake объявила о расширении своих AI-продуктов Snowflake Intelligence и Cortex Code, поскольку компании ускоряют внедрение ИИ: от пилотных программ до производственных сред.
Snowflake Intelligence добавила коннекторы для Gmail, Google Calendar, Google Docs, Jira,
GateNews3ч назад
Маск X запускает Grok с настраиваемой временной шкалой, криптосообщество получает независимый канал потока информации
X(бывший Twitter)22 апреля объявила о запуске функции настраиваемой временной шкалы (Customizable Timeline), которая позволяет платным iOS-подписчикам уровня Premium закреплять на главной вкладке более 75 тем, создавая ленту с уникальным алгоритмом, ориентированную вокруг одной темы. Эта функция работает совместно за счет модели ИИ Grok и персонализированной системы X.
MarketWhisper5ч назад
