Cherry Studio: перемикач конфіденційності не працює належним чином; навіть після вимкнення статистики продовжує передаватися інформація про пристрій

Cherry Studio設計缺陷

Відкритий AI-настільний клієнт Cherry Studio натрапив на проблему: користувачі виявили недолік у приватнісному проєктуванні. Після вимкнення опції «Анонімно надсилати звіти про помилки та статистику даних» клієнт безперервно надсилає ідентифікаційні дані, що містять ID пристрою, системну інформацію та архітектуру CPU. Користувач GitHub Yuerchu у Issue #14387 опублікував скріншот із перехопленням трафіку, після чого розробник kangfenmao в коментарях визнав, що проблема є дійсною.

Структура проблеми: різний рівень дотримання налаштування «вимкнено» для трьох типів подій

Cherry Studio隱私開關失效

(Джерело: Github)

Згідно з аудитом коду, клієнт Cherry Studio звітує про три типи подій, однак у поведінці цих трьох подій є принципові розбіжності:

AI-діалоги: звичайно дотримується перемикача користувача; після вимкнення не надсилає дані.

Запуск застосунку: безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.

Перевірка оновлень: так само безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.

Кожен запит, що відправляється, має власний ID пристрою, а також версію операційної системи, архітектуру CPU та номер версії застосунку, формуючи комбінацію ідентифікації для тривалого відстеження цієї конкретної системи.

Аудит коду: перемикач умисно видалили 22 березня

Спільнота перевірила код і з’ясувала, що коли механізм звітування було додано в лютому 2026 року, перемикач працював для всіх трьох типів подій. Однак 22 березня maintainer kangfenmao сам подав зміни: він не лише видалив логіку перевірки перемикачів для запуску застосунку та перевірки оновлень, а й заодно «впхнув» більше ідентифікаційної інформації пристрою в заголовки запитів.

Цей проблемний фрагмент коду безперервно працював у чотирьох версіях — v1.8.3, v1.8.4, v1.9.0 та v1.9.1 — приблизно протягом місяця, доки спільнота не виявила його й не оприлюднила.

Ще давніший прихований баг: прихований скрипт, який тихо вмикає перемикач після оновлення

Під час відстеження старішого коду спільнота також знайшла ще один рівень проблеми: коли аналітичні функції вперше додали в лютому 2025 року, туди одночасно вбудували скрипт оновлення. Він автоматично вмикає перемикач «Анонімна статистика» один раз для користувачів, які оновилися з попередньої версії.

Пізніше аналітичний сервіс бекенду змінювався — спочатку з Google Analytics на PostHog і Sentry, а потім на поточний власний analytics.cherry-ai.com — однак цей скрипт, який автоматично вмикає перемикач, так і не було видалено.

Фактичний вплив такий: користувачі, які встановили Cherry Studio до лютого 2025 року і згодом виконували будь-які оновлення, незалежно від того, чи раніше вручну вимикали цей параметр, після кожного оновлення отримують його тихе повторне вмикання. Потрібно знову вручну вимикати після оновлення.

Поширені запитання

Яку інформацію про пристрої саме збирає Cherry Studio?

Згідно з аудитом коду, кожен запит звітування містить: унікальний ID пристрою (для тривалого відстеження між сесіями), версію операційної системи, архітектуру CPU та номер версії застосунку. У комбінації ці відомості можуть дозволяти аналітичному бекенду здійснювати тривале розпізнавання й відстеження конкретних пристроїв. Навіть без імені або даних облікового запису це здатне сформувати ефективний відбиток пристрою.

Чи також надсилають конфіденційні дані на кшталт вмісту чатів, API-ключів тощо?

Розробник kangfenmao прямо заявив, що конфіденційні дані, зокрема вміст чатів, введення користувача, документи та API-ключі, не проходять через цей канал звітування й не входять до сфери уражених даних. Наразі надсилаються лише службові метадані категорії «ідентифікація пристрою» (metadata).

Які дії мають зробити зараз постраждалі користувачі?

Виправлену версію вже об’єднано через PR #14390. Рекомендується негайно оновити до найновішої версії. Після оновлення слід вручну підтвердити, що перемикач приватнісної статистики перебуває у стані «вимкнено» — через проблему зі старим скриптом оновлення саме оновлення може знову ввімкнути перемикач. Якщо до приватності висуваються підвищені вимоги, після оновлення радимо перевірити за допомогою інструментів мережевого моніторингу, чи припинилися запити до analytics.cherry-ai.com.

Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.

Пов'язані статті

PwC Singapore інвестує $3.15M у Trade Advisory Hub, керований ШІ

PwC Singapore інвестуватиме S$4m понад 3 роки, щоб створити Trade Advisory Hub за підтримки EDB, пропонуючи консультації з торгівлі, ланцюгів постачання та оподаткування, керовані ШІ; розширює команду APAC на 100+ спеціалістів на тлі зростання глобальної складності торгівлі. Анотація: PwC Singapore створить Trade Advisory Hub, підкріплений S$4 мільйонами протягом трьох років за підтримки Singapore EDB, щоб допомогти місцевим і багатонаціональним компаніям орієнтуватися в динамічних правилах торгівлі, управлінні ланцюгами постачання та міжнародному розширенні. Ініціатива передбачає найм спеціалістів і розробку інструментів на основі ШІ для торгових, ланцюгових і податкових консультацій, спираючись на наявну практику PwC у сфері митного та торгового консультування в APAC — понад 100 консультантів. Розробка реагує на зростаючий попит на передові рішення для планування торгівлі на тлі змін у регуляторних вимогах, розвитку електронної комерції та дедалі складніших глобальних ланцюгів постачання.

GateNews34хв. тому

Sandoll запускає Sandoll Square: платформа AI-Web3 для забезпечення децентралізованого керування цифровими активами

Sandoll розкриває Sandoll Square — новий підрозділ у сфері ШІ та Web3, щоб створити децентралізовану платформну екосистему, поєднуючи обробку контенту, керовану ШІ, з блокчейном для безшовного керування даними та взаємодії; посади CEO та CTO наразі набираються.

GateNews2год тому

Soluna співпрацює з Blockware для четвертого розширення потужностей: у вітроенергетичному біткоїн-майнінг-майданчику на Західному Техасі потужність перевищує 17 МВт

Компанія з майнінгу біткоїна та обчислювальних потужностей для AI Soluna Holdings (NASDAQ: SLNH) 21 квітня оголосила про підписання з Blockware четвертої угоди про розширення потужностей, згідно з якою в проєкті вітроелектростанції Dorothy 1B у Західному Техасі буде додано 3,3 МВт потужності обладнання, що дає Blockware змогу перевищити загальну потужність 17 МВт на всіх майданчиках Soluna.

MarketWhisper3год тому

ProCap Financial і Kalshi запускають продукт досліджень для ринків прогнозів

Повідомлення Gate News, 22 квітня — ProCap Financial, підтримувана криптоентузіастом Ентоні Помпліано, уклала партнерство з оператором ринку прогнозів Kalshi, щоб запустити професійний дослідницький продукт, створений спеціально для ринків прогнозів. ProCap отримуватиме доступ до даних Kalshi через прямий конвеєр і використовуватиме AI-агентів для аналізу ринків прогнозів, формуючи інвестиційні висновки, точки даних щодо ринку акцій та інтегруючи дані про акції в ринки прогнозів.

GateNews3год тому

Snowflake Розширює AI-Продукти Новими Конекторами та Інструментами для Розробників

Повідомлення Gate News, 22 квітня — Snowflake оголосила про розширення своїх AI-продуктів, Snowflake Intelligence і Cortex Code, оскільки підприємства пришвидшують впровадження ШІ від пілотних програм до виробничих середовищ. Snowflake Intelligence додала конектори для Gmail, Google Calendar, Google Docs, Jira,

GateNews3год тому

Маск X запустив Grok із налаштованою часовою шкалою, криптоспільнота отримує незалежний канал інформаційного потоку

X (колишній Twitter) 22 квітня оголосив про запуск функції настроюваної шкали часу (Customizable Timeline), яка дає змогу платним підписникам iOS Premium закріплювати на вкладці «Головна» понад 75 тем, створюючи власну алгоритмічну стрічку інформації навколо однієї теми. Ця функція працює завдяки спільній взаємодії AI-моделі Grok та персоналізованої системи X.

MarketWhisper5год тому
Прокоментувати
0/400
Немає коментарів