Ứng dụng AI máy tính để bàn mã nguồn mở Cherry Studio bị người dùng phát hiện lỗ hổng về thiết kế quyền riêng tư: sau khi tắt tùy chọn “Gửi sai báo cáo lỗi và thống kê dữ liệu ẩn danh”, ứng dụng khách vẫn tiếp tục gửi dữ liệu nhận dạng bao gồm ID thiết bị, thông tin hệ thống và kiến trúc CPU. Người dùng GitHub Yuerchu đã đăng ảnh chụp bắt gói trong Issue #14387 , sau đó nhà phát triển kangfenmao thừa nhận trong phần bình luận rằng vấn đề là có thật.
Cấu trúc vấn đề: ba loại sự kiện có mức độ tuân thủ với cài đặt “tắt” khác nhau
(Nguồn:Github)
Theo phân tích mã, ứng dụng khách Cherry Studio báo cáo ba loại sự kiện, nhưng hành vi của ba loại sự kiện lại có sự không nhất quán mang tính cốt lõi:
Cuộc đối thoại AI: bình thường tuân thủ đúng theo công tắc của người dùng; sau khi tắt thì không báo cáo.
Khởi chạy ứng dụng: trực tiếp vượt qua công tắc, bất kể người dùng đã thiết lập thế nào đều vẫn báo cáo.
Kiểm tra cập nhật: tương tự, trực tiếp vượt qua công tắc, bất kể người dùng đã thiết lập thế nào đều vẫn báo cáo.
Mỗi yêu cầu được gửi đi đều kèm theo một ID thiết bị riêng, cùng với phiên bản hệ điều hành, kiến trúc CPU và mã phiên bản ứng dụng, tạo thành một tổ hợp nhận diện để theo dõi dài hạn chiếc thiết bị này.
Phân tích mã: công tắc bị cố tình xóa vào ngày 22 tháng 3
Nhìn lại mã nguồn trong cộng đồng cho thấy, khi cơ chế báo cáo này vừa được thêm vào vào tháng 2 năm 2026, công tắc đối với cả ba loại sự kiện đều có hiệu lực. Tuy nhiên đến ngày 22 tháng 3, người phụ trách bảo trì kangfenmao tự tay gửi một thay đổi: không chỉ xóa logic phán đoán công tắc của khởi chạy ứng dụng và kiểm tra cập nhật, mà còn nhét thêm nhiều thông tin nhận dạng thiết bị hơn vào phần đầu (header) của yêu cầu.
Đoạn mã lỗi này đã chạy liên tục trong bốn phiên bản v1.8.3, v1.8.4, v1.9.0, v1.9.1 trong khoảng một tháng, trước khi bị cộng đồng phát hiện và công khai tiết lộ.
Lỗ hổng cũ sớm hơn: script ẩn tự bật lại công tắc khởi động sau nâng cấp
Khi theo dõi mã của các bản cũ, cộng đồng lại phát hiện thêm một lớp vấn đề khác: vào thời điểm tháng 2 năm 2025, khi chức năng phân tích được thêm lần đầu, một đoạn script nâng cấp cũng đã được nhúng vào—chỉ cần người dùng nâng cấp từ phiên bản cũ lên thì “công tắc thống kê ẩn danh” sẽ được tự động bật lên một lần. Sau đó, backend dịch vụ phân tích lần lượt chuyển từ Google Analytics sang PostHog và Sentry, rồi sang hiện tại là analytics.cherry-ai.com do tự xây dựng, nhưng đoạn script tự động bật công tắc này vẫn không bị xóa.
Tác động thực tế là: với những người đã cài Cherry Studio trước tháng 2 năm 2025 và sau đó có bất kỳ lần nâng cấp nào, bất kể trước đó họ đã từng tự tay tắt cài đặt này hay chưa, thì sau mỗi lần nâng cấp công tắc sẽ bị lặng lẽ bật lại; họ cần phải thủ công tắt lại công tắc sau khi nâng cấp.
Các câu hỏi thường gặp
Cherry Studio cụ thể thu thập những thông tin thiết bị nào?
Theo phân tích mã, mỗi yêu cầu báo cáo bao gồm: ID thiết bị duy nhất (duy trì theo dõi xuyên suốt các phiên), phiên bản hệ điều hành, kiến trúc CPU, và mã phiên bản ứng dụng. Tổ hợp các thông tin này có thể dùng ở backend phân tích để nhận diện và theo dõi dài hạn một thiết bị cụ thể; ngay cả khi không có thông tin tên hoặc tài khoản, vẫn có thể tạo ra một dấu vân tay thiết bị hiệu quả.
Dữ liệu nhạy cảm như nội dung trò chuyện, khóa API… có cũng bị gửi đi không?
Nhà phát triển kangfenmao khẳng định rõ rằng nội dung trò chuyện, thao tác nhập của người dùng, tài liệu và các khóa API—những dữ liệu nhạy cảm—không đi theo kênh báo cáo này, và không nằm trong phạm vi dữ liệu bị ảnh hưởng. Hiện chỉ có những siêu dữ liệu dạng nhận diện thiết bị (metadata) được gửi đi.
Người dùng bị ảnh hưởng hiện nên làm gì?
Phiên bản đã được sửa đã được hợp nhất thông qua PR #14390; khuyến nghị cập nhật ngay lên phiên bản mới nhất. Sau khi cập nhật, cần tự tay xác nhận công tắc thống kê quyền riêng tư đang ở trạng thái tắt—do lỗi của script nâng cấp cũ, bản thân quá trình nâng cấp có thể lại bật công tắc lên. Nếu yêu cầu về quyền riêng tư cao hơn, khuyến nghị sau khi cập nhật hãy xác minh bằng công cụ giám sát mạng rằng việc gửi yêu cầu tới analytics.cherry-ai.com đã dừng hẳn.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
PwC Singapore sẽ đầu tư $3.15M vào Trung tâm Tư vấn Thương mại ứng dụng AI
PwC Singapore sẽ đầu tư S$4m trong hơn 3 năm để thành lập một Trung tâm Tư vấn Thương mại với sự hỗ trợ của EDB, cung cấp tư vấn thương mại, chuỗi cung ứng và thuế dựa trên AI; mở rộng đội ngũ chuyên gia APAC hơn 100 người giữa bối cảnh độ phức tạp thương mại toàn cầu gia tăng.
Tóm tắt: PwC Singapore sẽ thành lập một Trung tâm Tư vấn Thương mại được hậu thuẫn bởi S$4 triệu đô la trong ba năm với sự hỗ trợ của EDB Singapore, nhằm hướng dẫn các doanh nghiệp trong nước và đa quốc gia về các quy định thương mại đang thay đổi, quản lý chuỗi cung ứng và mở rộng quốc tế. Sáng kiến này bao gồm việc tuyển dụng các chuyên gia và phát triển các công cụ ứng dụng AI cho các dịch vụ thương mại, chuỗi cung ứng và thuế, dựa trên hoạt động tư vấn hải quan và thương mại hiện có của công ty tại khu vực châu Á - Thái Bình Dương với hơn 100 tư vấn viên. Việc phát triển này nhằm đáp ứng nhu cầu ngày càng tăng đối với các giải pháp lập kế hoạch thương mại tiên tiến trong bối cảnh quy định thay đổi, tăng trưởng thương mại điện tử và các chuỗi cung ứng toàn cầu ngày càng phức tạp.
GateNews56phút trước
Sandoll ra mắt Sandoll Square, nền tảng AI-Web3 để hỗ trợ quản lý tài sản số phi tập trung
Sandoll công bố Sandoll Square, một bộ phận AI và Web3 mới để xây dựng hệ sinh thái nền tảng phi tập trung, kết hợp xử lý nội dung do AI điều khiển với blockchain để quản lý dữ liệu liền mạch và khả năng tương tác; các vị trí CEO và CTO đang được tuyển dụng.
GateNews2giờ trước
Soluna mở rộng quy mô lần thứ tư hợp tác với Blockware, công suất trang trại khai thác bitcoin điện gió Tây Texas vượt 17 megawatt
Công ty khai thác Bitcoin và AI về năng lực tính toán Soluna Holdings (Nasdaq: SLNH) vào ngày 21 tháng 4 đã công bố ký kết thỏa thuận mở rộng lần thứ tư với Blockware, bổ sung 3,3 MW công suất thiết bị cho dự án trung tâm dữ liệu điện gió Dorothy 1B tại Tây Texas, giúp tổng công suất của Blockware tại tất cả các cơ sở của Soluna vượt 17 MW.
MarketWhisper3giờ trước
ProCap Financial và Kalshi Ra mắt Sản phẩm Nghiên cứu Thị trường Dự đoán
Tin tức Gate ngày 22 tháng 4 — ProCap Financial, được hậu thuẫn bởi doanh nhân crypto Anthony Pompliano, đã hợp tác với nhà điều hành thị trường dự đoán Kalshi để ra mắt một sản phẩm nghiên cứu chuyên nghiệp được thiết kế riêng cho các thị trường dự đoán. ProCap sẽ truy cập dữ liệu của Kalshi thông qua một đường ống trực tiếp và sử dụng các tác nhân AI để phân tích các thị trường dự đoán, tạo ra các thông tin chi tiết cho đầu tư, các điểm dữ liệu của thị trường vốn chủ sở hữu, và tích hợp dữ liệu cổ phiếu vào các thị trường dự đoán. Sản phẩm sẽ được triển khai thông qua dịch vụ nghiên cứu tài chính của ProCap, ra mắt sớm hơn trong tháng này, bao gồm cổ phiếu, các xu hướng theo chủ đề và phân tích kinh tế vĩ mô.
GateNews3giờ trước
Snowflake Mở Rộng Các Sản Phẩm AI Với Các Kết Nối Mới Và Công Cụ Dành Cho Nhà Phát Triển
Tin tức từ Gate, ngày 22 tháng 4 — Snowflake đã công bố mở rộng cho các sản phẩm AI của mình, Snowflake Intelligence và Cortex Code, khi các doanh nghiệp đẩy nhanh việc áp dụng AI từ giai đoạn thí điểm sang môi trường triển khai sản xuất.
Snowflake Intelligence đã bổ sung các kết nối cho Gmail, Google Calendar, Google Docs, Jira,
GateNews4giờ trước
Musk X ra mắt Grok tùy chỉnh dòng thời gian, cộng đồng crypto có được kênh luồng thông tin độc lập
X (trước đây là Twitter) vào ngày 22 tháng 4 đã công bố ra mắt tính năng dòng thời gian có thể tùy chỉnh (Customizable Timeline), cho phép người dùng đăng ký iOS cao cấp ghim hơn 75 chủ đề trên tab trang chủ, tạo ra một dòng thông tin thuật toán riêng xoay quanh một chủ đề duy nhất. Tính năng này được vận hành đồng thời bởi mô hình AI Grok và hệ thống cá nhân hóa của X.
MarketWhisper5giờ trước
