Открытый AI-десктоп-клиент Cherry Studio столкнулся с проблемой недостатков в дизайне приватности: после отключения опции «анонимно отправлять отчёты об ошибках и статистику данных» клиент продолжает отправлять идентификационные данные, включая ID устройства, информацию о системе и архитектуру CPU. Пользователь GitHub Yuerchu разместил в Issue #14387 скриншот перехвата после анализа сетевого трафика; в комментариях разработчик kangfenmao признал, что проблема действительно имеет место.
Структура проблемы: разная степень соблюдения настройки «выключено» для трёх типов событий
(Источник:Github)
Согласно аудиту кода, клиент Cherry Studio отправляет три типа событий, но в поведении этих трёх типов есть принципиальная несогласованность:
AI-диалог: в обычном режиме соблюдает переключатель пользователя; после отключения не отправляет.
Запуск приложения: напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Проверка обновлений: также напрямую обходит настройки переключателя; независимо от того, как пользователь настроил, отправляет.
Каждый запрос, который передаётся, содержит уникальный ID устройства, а также версию операционной системы, архитектуру CPU и номер версии приложения, формируя комбинацию для долгосрочного отслеживания идентичности этой машины.
Аудит кода: переключатель был намеренно удалён 22 марта
Общество, изучив код, обнаружило, что когда этот механизм отчётности был добавлен в феврале 2026 года, переключатель для всех трёх типов событий работал корректно. Однако 22 марта поддерживающий разработчик kangfenmao сам отправил правку: он не только удалил логику проверок переключателя для запуска приложения и проверки обновлений, но и заодно добавил в заголовки запросов больше сведений об идентификации устройств.
Этот проблемный код непрерывно работал примерно месяц в версиях v1.8.3, v1.8.4, v1.9.0 и v1.9.1, пока сообщество не обнаружило его и не опубликовало информацию.
Более ранняя старая уязвимость: скрытый скрипт для тихого включения после обновления
При отслеживании кода старых версий сообщество также нашло ещё один слой проблемы: когда в феврале 2025 года впервые добавили функцию аналитики, туда одновременно встроили скрипт обновления — он автоматически один раз включает переключатель «анонимная статистика» для пользователей, которые переходят с более старой версии. Затем, хотя бэкенд аналитического сервиса последовательно менял Google Analytics на PostHog и Sentry, а затем — на текущий самовведённый analytics.cherry-ai.com, этот скрипт, автоматически включающий переключатель, так и не был удалён.
Фактическое влияние следующее: для пользователей, которые установили Cherry Studio до февраля 2025 года, а затем выполняли любые обновления, переключатель после каждого обновления будет снова без уведомления включаться независимо от того, вручную выключали ли они эту настройку ранее. После обновления нужно снова вручную выключить.
Частые вопросы
Какие именно сведения об устройствах собирает Cherry Studio?
Согласно аудиту кода, каждый отчётный запрос содержит: уникальный ID устройства (для отслеживания между сессиями), версию операционной системы, архитектуру CPU и номер версии приложения. Эти сведения в сочетании позволяют аналитическому бэкенду проводить долгосрочную идентификацию и отслеживание конкретных устройств; даже без имени или данных учётной записи они могут формировать эффективный отпечаток устройства.
Также ли передаются чувствительные данные вроде содержания чатов и API-ключей?
Разработчик kangfenmao однозначно заявил, что чувствительные данные, такие как содержание чатов, пользовательский ввод, документы и API-ключи, не передаются по этому каналу отчётности и не входят в затронутую область данных. Передаются только метаданные идентификационного типа (metadata).
Какие действия должны предпринять сейчас пользователи, которые затронуты?
Исправленная версия была объединена через PR #14390; рекомендуется немедленно обновиться до последней версии. После обновления следует вручную подтвердить, что переключатель приватной статистики находится в состоянии «выключено» — из-за проблемы со старым скриптом обновления само обновление может снова включить переключатель. Если у вас высокие требования к приватности, рекомендуется после обновления проверить с помощью инструмента сетевого мониторинга, что запросы в analytics.cherry-ai.com больше не отправляются.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Запуск Aethir Claw V1: Развертывайте AI-агентов без кода менее чем за пять минут
Сообщение Gate News, 22 апреля — Aethir, поставщик децентрализованной GPU-инфраструктуры для облака, сегодня запустил версию 1.0 Aethir Claw, своей платформы для размещения AI-агентов. Платформа позволяет пользователям без технической подготовки развертывать и настраивать AI-агенты полностью в браузере менее чем за пять
GateNews2ч назад
CoinGecko 推出 AI 市场洞察、投资组合追踪以及项目合作伙伴平台
CoinGecko 推出 AI 市场摘要、图表、钱包跟踪器和合作伙伴平台,业务范围从价格数据扩展到分析与日常使用;随着流量下滑,交易可能在接近 $500M 的区间达成。
摘要:CoinGecko 上线了由 AI 驱动的市场摘要、更先进的图表工具、一个钱包跟踪器,可在 EVM 网络上监控公开地址,并提供盈亏计算与平均买入价格,以及面向项目方的合作伙伴平台,用于项目列表与广告投放。该套件与 GeckoTerminal 搭配,旨在从单纯的价格数据走向日常分析与用户互动,同时应对 AI 竞争与用户行为变化,并在流量下滑及潜在接近-$500 百万美元的出售背景下,力求保障收入来源。
GateNews4ч назад
Core Scientific планирует привлечь $3,3 млрд за счет повышения долговой нагрузки, чтобы ускорить переход к ИИ
Core Scientific стремится привлечь $3,3 млрд посредством долгового предложения, поскольку переориентируется на дата-центры, ориентированные на ИИ. Этот шаг подчеркивает более широкое изменение курса в сторону от майнинга биткоина.
Ключевые выводы:
Core Scientific планирует привлечь $3,3 млрд за счет размещения долга по нотам со сроком погашения в 2031 году, отходя от майнинга биткоина.
Coinpedia5ч назад
Gensyn запускает Delphi — платформу информационного рынка с расчётами, выполняемыми ИИ
Новостное сообщение Gate News, 22 апреля — Gensyn, децентрализованная сеть инфраструктуры для ИИ, поддерживаемая крипто-командой a16z, запустила свой флагманский продукт Delphi — платформу информационного рынка, расчёты по которому производит ИИ. Она позволяет любому создавать рынки и зарабатывать комиссии в зависимости от объёма торгов.
Создатели рынков заранее выбирают модели ИИ с фиксированным весом для работы в качестве «умных оракулов» для расчётов, а результаты проверяются через воспроизводимые среды выполнения REE. Средства от расчётов автоматически распределяются в USDC. Протокол собирает 0,5% от всего объёма торгов на выкуп и сжигание своего не выпущенного токена ИИ, при этом создатели рынков зарабатывают 1,5% от объёма торгов при успешном завершении расчётов по рынку.
Тестнет Delphi с декабря прошлого года зафиксировал миллионы долларов объёма торгов. Платформа в настоящее время работает по модели «только по приглашениям» для создателей и, как ожидается, будет запущена в основной сети в течение нескольких недель.
GateNews5ч назад
PicWe запускает кошелёк с AI Agent и управлением ключами на устройстве
PicWe объявляет о публичной бета-версии PicWe Wallet — кошелька с поддержкой AI-агентов, работающего на устройстве и не требующего recovery phrase (фраз восстановления). Он поддерживает мультичейн-активы, свопы, автоматизацию, доступную через AI, и нацелен на объединение инфраструктуры RWA.
PicWe запустила публичную бета-версию PicWe Wallet — кошелька, включающего AI Agent и хранящего ключи на устройстве, который исключает recovery phrase и оставляет критически важные операции локальными. Бета поддерживает управление активами в нескольких сетях, свопы и комиссии на основе стейблкоинов, одновременно позволяя программируемые взаимодействия с AI. Более широкие инициативы PicWe позиционируют платформу как единую инфраструктуру для реальных активов, обеспечивая выпуск, обращение, расчёты, платежи через границы, токенизацию и координацию цепочки поставок для корпоративных сценариев использования.
GateNews7ч назад
PwC Singapore инвестирует $3.15M в Центр торгового консалтинга с поддержкой ИИ
PwC Singapore инвестирует S$4m более чем за 3 года, чтобы при поддержке EDB создать Центр торгового консалтинга, предлагая консультации по торговле, цепочкам поставок и налогам с использованием ИИ; расширяет команду специалистов APAC численностью 100+ на фоне растущей сложности мировой торговли.
Аннотация: PwC Singapore создаст Центр торгового консалтинга, поддержанный S$4 миллионами за три года при содействии сингапурской EDB, чтобы помогать местным и транснациональным компаниям ориентироваться в меняющихся правилах торговли, управлении цепочками поставок и международной экспансии. Инициатива включает найм специалистов и разработку инструментов на базе ИИ для услуг по торговле, цепочкам поставок и налоговому консультированию, опираясь на уже существующую практику PwC в Азиатско-Тихоокеанском регионе в области таможенных и торговых консультаций — более 100 консультантов. Разработка отвечает растущему спросу на усовершенствованные решения для планирования торговли на фоне меняющихся нормативных требований, роста электронной коммерции и все более сложных глобальных цепочек поставок.
GateNews8ч назад
