暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

Cherry Studio プライバシースイッチが無効化されています。統計をオフにしても、デバイス情報が外部に送信されます。

MarketWhisper
AIツール・アプリ

Cherry Studio設計缺陷

オープンソースのAIデスクトップクライアント「Cherry Studio」が、ユーザーによってプライバシー設計上の欠陥が発見されました。 「匿名で誤ったエラーレポートとデータ統計を送信する」オプションをオフにした後も、クライアントは引き続き、デバイスID、システム情報、CPUアーキテクチャを含む識別データを送信し続けます。 GitHubのユーザーYuerchuがIssue #14387 にパケットキャプチャのスクリーンショットを投稿した後、開発者のkangfenmaoがコメント欄で問題が事実であることを認めました。

問題の構造:「オフ」設定に対する遵守度が3種類のイベントで異なる

Cherry Studio隱私開關失效

(出所:Github)

コード監査によると、Cherry Studioクライアントは3種類のイベントを報告していますが、3種類のイベントの挙動には根本的な不一致があります:

AIチャット:通常はユーザーのスイッチ設定に正しく従い、オフにした後は報告しない。

アプリ起動:スイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

アップデート確認:同じくスイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

送信される各リクエストには専用のデバイスIDが含まれ、さらにOSバージョン、CPUアーキテクチャ、アプリバージョン番号が加わることで、このデバイスに対する長期追跡の識別の組み合わせが形成されます。

コード監査:スイッチは3月22日に意図的に削除された

コミュニティがコードを調べたところ、2026年2月にこの報告メカニズムが導入された当初は、スイッチが3種類のイベントすべてに対して有効でした。 しかし3月22日、メンテナーのkangfenmao自身が修正を1回提出し、アプリ起動とアップデート確認のスイッチ判定ロジックを削除しただけでなく、ついでにより多くのデバイス識別情報をリクエストヘッダーに詰め込みました。

この問題のあるコードは、v1.8.3、v1.8.4、v1.9.0、v1.9.1の4つのバージョンで約1か月間継続して実行され、その後コミュニティによって発見され公開で報告されました。

それより前の古い穴:アップグレード時にサイレント再起動するスイッチの隠しスクリプト

コミュニティが旧バージョンのコードを追跡すると、別の問題の層も見つかりました。 2025年2月に分析機能が初めて追加された際、同時にアップグレードスクリプトが埋め込まれていました。 それは、旧バージョンからアップグレードしてきたユーザーであれば、「匿名統計」スイッチが自動的に一度オンになるというものです。 その後、分析サービスのバックエンドはGoogle Analyticsから順にPostHogとSentryへ、そして現在の自前のanalytics.cherry-ai.comへと入れ替わりましたが、この自動でスイッチをオンにするスクリプトはずっと削除されていません。

実際の影響は、2025年2月より前にCherry Studioをインストールし、その後いかなるアップグレードも行ったユーザーについてです。 それまでに当該設定を手動でオフにしていたかどうかに関わらず、アップグレードのたびにサイレントに再度オンになり、アップグレード後にもう一度手動でオフにする必要があります。

よくある質問

Cherry Studioは具体的にどのようなデバイス情報を収集していますか?

コード監査によれば、各報告リクエストには以下が含まれます:一意のデバイスID(セッションをまたいで継続追跡)、OSバージョン、CPUアーキテクチャ、そしてアプリのバージョン番号。 これらの情報の組み合わせにより、分析バックエンドで特定のデバイスを長期的に識別・追跡でき、氏名やアカウント情報がなくても有効なデバイス指紋を形成できます。

チャット内容、APIキーなどの機密データも送信されますか?

開発者のkangfenmaoは、チャット内容、ユーザー入力、ファイル、APIキーなどの機密データはこの報告チャネルを経由せず、影響を受けるデータ範囲には含まれないと明確に述べています。 現在送信されているのは、デバイス識別系のメタデータ(metadata)のみです。

影響を受けたユーザーは現在どのような行動を取るべきですか?

修復バージョンはPR #14390としてマージ済みで、最新バージョンへの速やかな更新が推奨されます。 更新後は、プライバシー統計スイッチがオフになっていることを手動で確認してください。 旧アップグレードスクリプトの問題により、アップグレード自体がスイッチを再度オンにする可能性があります。 プライバシーへの要求が高い場合は、更新後にネットワーク監視ツールを通じて、analytics.cherry-ai.comへのリクエストが停止したことを検証することを推奨します。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

Worxphere、AI搭載の採用ツールでJobKoreaをリブランディング

AIエージェントAIツール・アプリ

ゲートニュース(4月26日)— 韓国のHRプラットフォームWorxphereは、従来型のオンライン求人ボードからAI駆動の採用ソリューションへ移行するにあたり、JobKoreaをブランド変更しました。同社は、JobKoreaやAlbamonを含むサービスを統合し、正社員雇用、ギグワーク、外国人労働者の採用を対象とする統一プラットフォームを構築しています。

GateNews16時間前

OlenoxはCS Digitalとマージし、低コストでオフグリッドのビットコインマイニング機会を開発することを発表

bitcoin newsパートナーシップ・エコシステムAIツール・アプリ

2社は合併で合意し、CS Digitalが株式の全額による取引で$55 百万ドルを受け取ることで、Olenoxのエネルギーに関する専門知識とCS Digitalのビットコインマイニングに関する専門知識を統合する。統合後の同社は、オフグリッドのマイニングおよびAIデータセンターの取り組みを近くで開発しようとするだろう

Coinpedia16時間前

Craft Ventures主導ラウンドで$30M 百万ドル評価のComfyUIが$500M を調達

AIツール・アプリ

ゲートニュース 4月25日 — AIクリエイター向けツールのスタートアップであるComfyUIは、Craft Venturesが主導した資金調達ラウンドで、$30 百万ドルの調達額と$500 百万ドルの評価額を実現しました。Pace Capital、Chemistry、TruArrowも投資に参加しており、2024年後半にChemistry Ventures、Cursor Capital、Vercel創業者のGuillermo Rauchが支援した$19 百万ドルのシリーズAラウンドに続く形です。Ch

GateNews04-25 02:51

XChatがApp Storeでローンチ:エンドツーエンド暗号化とGrok連携

AIツール・アプリ

ゲートニュース 4月25日 — X (旧 Twitter) のスタンドアロン・メッセージングアプリ「XChat」が、4月25日にAppleのApp Storeで正式にローンチされました。アプリは現在、iOS向けにダウンロードして利用可能で、Android版は近日提供予定です。 XChatでは、ユーザーが自分のXアカウントで直接ログインでき、電話番号やメールアドレスは不要です。このアプリにはエンドツーエンド暗号化が搭載されており、メッセージは双方にのみ表示され、プラットフォームには読めないようになっています。追加機能には、消えるメッセージや、あらゆるファイル形式の転送に対応していることが含まれます。 このアプリは xAI の Grok AI アシスタントと深く統合されており、アプリを切り替えることなく、チャット画面内で Grok を呼び出して質問したり、画像を生成したり、コンテンツを要約したりできます。

GateNews04-25 02:00

DeepSeek V4-Flash が Ollama Cloud に登場、米国ホスト:Claude Code、OpenClaw をワンクリックで接続

AI業界ニュースAIツール・アプリ

Ollama Cloud は DeepSeek V4-Flash を出品し、推論は米国ホストで行い、3組のワンクリック指示で Claude Code、OpenClaw、Hermes に接続できるようにしています。V4-Flash/V4-Pro は MoE アーキテクチャを採用し、1M のコンテキストをネイティブにサポートし、Token-wise 圧縮+DSA の疎な注意によりコストを削減します。1M のシーンでは、1トークンあたりの FLOPs が 27% 低下し、KV キャッシュが 10% 低下します。API は OpenAI ChatCompletions および Anthropic と互換で、複数のワークフロー間の切り替えが容易になり、コストとデータ主権リスクを低減します。

ChainNewsAbmedia04-24 10:45
コメント
0/400
コメントなし