開源 AI 桌面客戶端 Cherry Studio 遭用戶發現隱私設計缺陷:將「匿名發送錯誤報告和數據統計」選項關閉後,客戶端持續傳送包含設備 ID、系統資訊和 CPU 架構的識別數據。GitHub 用戶 Yuerchu 在 Issue #14387 貼出抓包截圖後,開發者 kangfenmao 在評論中承認問題屬實。
問題結構:三種事件對「關閉」設定的遵守程度不一
(來源:Github)
根據代碼審計,Cherry Studio 客戶端上報三種事件,但三種事件的行為存在根本性的不一致:
AI 對話:正常遵守用戶開關設定,關閉後不上報。
應用啟動:直接繞過開關設定,無論用戶如何設定均會上報。
更新檢查:同樣直接繞過開關設定,無論用戶如何設定均會上報。
每條傳出的請求都帶有一個專屬設備 ID,加上操作系統版本、CPU 架構和應用版本號,形成對這台設備的長期追蹤識別組合。
代碼審計:開關在 3 月 22 日被刻意移除
社群翻查代碼發現,2026 年 2 月這套上報機制剛加入時,開關對三種事件均有效。然而,3 月 22 日,維護者 kangfenmao 自己提交了一次修改,不僅刪除了應用啟動和更新檢查的開關判斷邏輯,還順帶將更多設備識別資訊塞進了請求頭。
這份問題代碼在 v1.8.3、v1.8.4、v1.9.0、v1.9.1 四個版本中連續運行了約一個月,才被社群發現並公開披露。
更早的舊洞:升級靜默重啟開關的隱藏腳本
社群追蹤舊版代碼時又發現了另一層問題:2025 年 2 月分析功能第一次加入時,同時埋入了一段升級腳本——只要是從舊版本升級上來的用戶,「匿名統計」開關都會被自動打開一次。此後分析服務後端雖從 Google Analytics 先後換至 PostHog 和 Sentry,再換到目前自建的 analytics.cherry-ai.com,但這段自動打開開關的腳本始終未被刪除。
實際影響是:2025 年 2 月之前安裝過 Cherry Studio 且之後進行過任何升級的用戶,無論此前是否手動關閉過該設定,每次升級後都會被靜默重新打開,需要在升級後再次手動關閉。
常見問題
Cherry Studio 具體收集了哪些設備資訊?
根據代碼審計,每條上報請求包含:唯一設備 ID(跨會話持續追蹤)、操作系統版本、CPU 架構,以及應用版本號。這些資訊組合可以在分析後端對特定設備進行長期識別和追蹤,即使沒有姓名或帳號資訊,也能形成有效的設備指紋。
聊天內容、API 金鑰等敏感數據是否也被傳出?
開發者 kangfenmao 明確表示,聊天內容、用戶輸入、文件和 API 金鑰等敏感數據不走這條上報通道,不在受影響的數據範圍之內。目前被傳出的僅為設備識別類的元數據(metadata)。
受影響用戶現在應採取什麼行動?
修復版本已通過 PR #14390 合併,建議立即更新至最新版本。更新後應手動確認隱私統計開關處於關閉狀態——由於舊的升級腳本問題,升級本身可能再次將開關打開。若對隱私有較高要求,建議在更新後透過網路監控工具驗證是否已停止向 analytics.cherry-ai.com 的請求。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
普華永道新加坡將投資 $3.15M 於由 AI 驅動的貿易諮詢樞紐
普華永道新加坡將在 S$4m 超過 3 年投資,並在 EDB 支持下建立一個貿易諮詢樞紐,提供由 AI 驅動的貿易、供應鏈與稅務諮詢;在全球貿易複雜度上升之際,擴大 100+ 名專家組成的亞太團隊。
摘要:普華永道新加坡將投入 S$4 百萬、為期三年,並獲新加坡 EDB 支持,建立一個貿易諮詢樞紐,協助本地與跨國企業因應不斷演變的貿易規則、供應鏈管理與國際擴張。該舉措包含招募專家並開發用於貿易、供應鏈與稅務服務的 AI 驅動工具,藉由該事務所既有的亞太海關與貿易諮詢業務(擁有超過 100 名顧問)來發揮優勢。此項發展回應在法規變動、電子商務成長,以及愈加錯綜複雜的全球供應鏈之下,對更進階貿易規劃解決方案不斷增長的需求。
GateNews42分鐘前
Sandoll 推出 Sandoll Square:AI-Web3 平台,實現去中心化數位資產管理
Sandoll 揭曉 Sandoll Square,成立新的 AI 與 Web3 部門,以打造去中心化的平台生態系,將由 AI 驅動的內容處理與區塊鏈整合,實現無縫的資料管理與互通性;目前正在招募 CEO 與 CTO 職務。
GateNews2小時前
Soluna 四度擴容 Blockware 合作,西德州風電比特幣礦場容量破 17 兆瓦
比特幣挖礦和 AI 算力公司 Soluna Holdings(納斯達克:SLNH)於 4 月 21 日宣布與 Blockware 簽署第四份擴容協議,在位於西德克薩斯州的 Dorothy 1B 風電數據中心項目新增 3.3 兆瓦裝置容量,使 Blockware 在 Soluna 各場站的總容量突破 17 兆瓦。
Market Whisper3小時前
ProCap Financial 與 Kalshi 推出預測市場研究產品
Gate 新聞訊息,4 月 22 日——由加密貨幣企業家 Anthony Pompliano 支援的 ProCap Financial,已與預測市場營運商 Kalshi 合作,推出一款量身打造預測市場的專業研究產品。ProCap 將透過直接管線存取 Kalshi 的數據,並運用 AI 代理來分析預測市場,產生投資洞見、股權市場數據要點,並將股票數據整合到預測市場中。
GateNews3小時前
Snowflake 以新連接器與開發者工具擴展 AI 產品
閘門新聞訊息,4月22日——Snowflake 宣布擴展其 AI 產品 Snowflake Intelligence 和 Cortex Code,因企業加速將 AI 從試點計畫導入到生產環境。
Snowflake Intelligence 新增了 Gmail、Google Calendar、Google Docs、Jira 的連接器,
GateNews3小時前
馬斯克 X 推 Grok 自訂時間軸,加密社群獲得獨立資訊流管道
X(前 Twitter)於 4 月 22 日宣布推出自訂時間軸(Customizable Timeline)功能,允許高級 iOS 訂閱用戶在首頁標籤頁固定超過 75 個主題,打造圍繞單一話題的專屬演算法資訊流。該功能由 AI 模型 Grok 和 X 的個人化系統共同驅動。
Market Whisper5小時前
