O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
MagicBlock Lança Mirage, Ferramenta de Pagamento de Privacidade via Linha de Comando para Solana
Mensagem de Notícias da Gate, 23 de abril — A MagicBlock lançou o Mirage, uma ferramenta de pagamento de privacidade via linha de comando projetada para a rede Solana. A ferramenta permite que os usuários criem carteiras, depositem fundos e enviem transações privadas por meio de comandos de terminal, bots ou agentes de IA.
Mirage é construído sobre o Private
GateNews2h atrás
Principal CEX atualiza sistema de detecção de fraude com aprendizado de máquina e motor de regras, reduz tempo de resposta para horas
Mensagem da Gate News, 23 de abril — Uma grande exchange centralizada anunciou uma reformulação de seu sistema de antifraude ao integrar modelos de aprendizado de máquina com mecanismos baseados em regras, implementando uma estratégia de dupla via em que os modelos lidam com a defesa de longo prazo e as regras habilitam respostas rápidas. A estrutura unificada
GateNews4h atrás
Cluster Protocol arrecada $5M em financiamento, DAO5 lidera a rodada
Mensagem da Gate News, 23 de abril — O Cluster Protocol, uma empresa de infraestrutura Web3 e deep tech em IA, anunciou a conclusão de uma rodada de financiamento de $5 milhões liderada pela DAO5, com participação da Paper Ventures, JPEG Trading e Mapleblock Capital. O financiamento total da empresa até o momento chega a US$ 7,75 milhões
GateNews5h atrás
OristaPay Lança Gateway de Pagamentos de IA do Telegram com TON e BytePlus
Mensagem de Notícias da Gate, 23 de abril — A OristaPay, uma marca sob a Yuanbi Technology, anunciou hoje, no TON AI Builders Day e na Cúpula de Co-criação do ecossistema de IA do Telegram, em Hong Kong, que estabeleceu uma solução de pagamento ponta a ponta para agentes de IA operando no ecossistema do Telegram.
Durante uma demonstração ao vivo
GateNews7h atrás
FTX liquidou 5% das ações do Cursor com US$ 200 mil: a avaliação da SpaceX já está em US$ 3 bilhões
De acordo com a reportagem do CoinDesk em 23/4, o administrador da falência da FTX vendeu, em 2023, por 200 mil dólares, cerca de 5% do capital da Anysphere detida pela Alameda Research — a empresa desenvolvedora do editor de código de IA Cursor. Se considerarmos a avaliação de 60 bilhões de dólares discutida recentemente pela SpaceX, a participação hoje vale cerca de 3 bilhões de dólares, o que equivale a 15.000 vezes o preço de liquidação da época.
A Alameda adquiriu 5% de participação por 200 mil dólares em 2022
A CoinDesk aponta que a Alameda Research, em abril de 2022, participou de um investimento de 400 mil dólares na Anysphere
ChainNewsAbmedia7h atrás
