O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
AINFT Integra o Trust Wallet para Login com Um Clique em Redes TRON e EVM
AINFT se integrou ao Trust Wallet, permitindo que os usuários se conectem facilmente a modelos de IA em redes TRON e EVM. Isso aprimora as interações de identidade Web3 e oferece aos novos usuários um bônus de boas-vindas de 10.000 pontos AINFT.
GateNews5h atrás
Dropbox amplia integração com o ChatGPT com três novos apps de ambiente de trabalho
O Dropbox aprimorou sua parceria com a OpenAI ao introduzir três novos aplicativos no ChatGPT, facilitando o acesso a arquivos, a busca de conteúdo no ambiente de trabalho e o gerenciamento de calendário. A medida busca fazer a transição do Dropbox para uma plataforma de inteligência em meio à queda no número de clientes e ao aumento da concorrência no cenário de IA.
GateNews10h atrás
A Utility de Gás de Hong Kong, Towngas, faz parceria com a Tencent para expandir sistemas de nuvem e IA
Towngas fez parceria com a Tencent para aprimorar seus sistemas de nuvem e aplicativos de IA, expandindo sua colaboração de 2020. A parceria se concentra em uma plataforma inteligente de energia e em análises de dados para agilizar as operações e melhorar o atendimento ao cliente no setor de energia.
GateNews10h atrás
Cobo Lança Wallet Agentic com IA para Transações On-Chain Autônomas e Seguras
A Cobo lançou a Cobo Agentic Wallet, permitindo que agentes de IA realizem transações on-chain sob controles definidos pelo usuário. Utilizando Computação Multipartes (Multi-Party Computation) para segurança e incorporando os protocolos Pact e Recipes, ela oferece diversos modos de operação para níveis de risco variados.
GateNews12h atrás
iQiyi Lança Ferramenta de Produção com IA, Reformula Plataforma à medida que a Concorrência no Streaming se Intensifica
A iQiyi está reformulando sua plataforma para focar em conteúdo gerado por IA, lançando a ferramenta Nadou Pro para apoiar a produção. Apesar das dificuldades financeiras e desafios regulatórios, a empresa pretende lançar um filme de IA bem-sucedido até 2026, enquanto administra uma crise significativa de liquidez.
GateNews13h atrás
Alibaba Lança Modelo de Geração de Vídeo com IA HappyHorse e Abre Testes em 27 de Abril
O modelo de geração de vídeo com IA da Alibaba, HappyHorse-1.0, começará a fazer testes de API em 27 de abril para clientes corporativos e será lançado oficialmente em maio, desenvolvido pela sua Divisão de Inovação ATH e outras equipes internas.
GateNews13h atrás
