Відкритий AI-настільний клієнт Cherry Studio натрапив на проблему: користувачі виявили недолік у приватнісному проєктуванні. Після вимкнення опції «Анонімно надсилати звіти про помилки та статистику даних» клієнт безперервно надсилає ідентифікаційні дані, що містять ID пристрою, системну інформацію та архітектуру CPU. Користувач GitHub Yuerchu у Issue #14387 опублікував скріншот із перехопленням трафіку, після чого розробник kangfenmao в коментарях визнав, що проблема є дійсною.
Структура проблеми: різний рівень дотримання налаштування «вимкнено» для трьох типів подій
(Джерело: Github)
Згідно з аудитом коду, клієнт Cherry Studio звітує про три типи подій, однак у поведінці цих трьох подій є принципові розбіжності:
AI-діалоги: звичайно дотримується перемикача користувача; після вимкнення не надсилає дані.
Запуск застосунку: безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.
Перевірка оновлень: так само безпосередньо обходить перемикач; незалежно від того, як налаштовано користувачем, завжди надсилає.
Кожен запит, що відправляється, має власний ID пристрою, а також версію операційної системи, архітектуру CPU та номер версії застосунку, формуючи комбінацію ідентифікації для тривалого відстеження цієї конкретної системи.
Аудит коду: перемикач умисно видалили 22 березня
Спільнота перевірила код і з’ясувала, що коли механізм звітування було додано в лютому 2026 року, перемикач працював для всіх трьох типів подій. Однак 22 березня maintainer kangfenmao сам подав зміни: він не лише видалив логіку перевірки перемикачів для запуску застосунку та перевірки оновлень, а й заодно «впхнув» більше ідентифікаційної інформації пристрою в заголовки запитів.
Цей проблемний фрагмент коду безперервно працював у чотирьох версіях — v1.8.3, v1.8.4, v1.9.0 та v1.9.1 — приблизно протягом місяця, доки спільнота не виявила його й не оприлюднила.
Ще давніший прихований баг: прихований скрипт, який тихо вмикає перемикач після оновлення
Під час відстеження старішого коду спільнота також знайшла ще один рівень проблеми: коли аналітичні функції вперше додали в лютому 2025 року, туди одночасно вбудували скрипт оновлення. Він автоматично вмикає перемикач «Анонімна статистика» один раз для користувачів, які оновилися з попередньої версії.
Пізніше аналітичний сервіс бекенду змінювався — спочатку з Google Analytics на PostHog і Sentry, а потім на поточний власний analytics.cherry-ai.com — однак цей скрипт, який автоматично вмикає перемикач, так і не було видалено.
Фактичний вплив такий: користувачі, які встановили Cherry Studio до лютого 2025 року і згодом виконували будь-які оновлення, незалежно від того, чи раніше вручну вимикали цей параметр, після кожного оновлення отримують його тихе повторне вмикання. Потрібно знову вручну вимикати після оновлення.
Поширені запитання
Яку інформацію про пристрої саме збирає Cherry Studio?
Згідно з аудитом коду, кожен запит звітування містить: унікальний ID пристрою (для тривалого відстеження між сесіями), версію операційної системи, архітектуру CPU та номер версії застосунку. У комбінації ці відомості можуть дозволяти аналітичному бекенду здійснювати тривале розпізнавання й відстеження конкретних пристроїв. Навіть без імені або даних облікового запису це здатне сформувати ефективний відбиток пристрою.
Чи також надсилають конфіденційні дані на кшталт вмісту чатів, API-ключів тощо?
Розробник kangfenmao прямо заявив, що конфіденційні дані, зокрема вміст чатів, введення користувача, документи та API-ключі, не проходять через цей канал звітування й не входять до сфери уражених даних. Наразі надсилаються лише службові метадані категорії «ідентифікація пристрою» (metadata).
Які дії мають зробити зараз постраждалі користувачі?
Виправлену версію вже об’єднано через PR #14390. Рекомендується негайно оновити до найновішої версії. Після оновлення слід вручну підтвердити, що перемикач приватнісної статистики перебуває у стані «вимкнено» — через проблему зі старим скриптом оновлення саме оновлення може знову ввімкнути перемикач. Якщо до приватності висуваються підвищені вимоги, після оновлення радимо перевірити за допомогою інструментів мережевого моніторингу, чи припинилися запити до analytics.cherry-ai.com.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
NotebookLM що це? Повний навчальний курс 2026: функції, ціноутворення, використання
NotebookLM — що це? NotebookLM — це AI дослідницький і навчальний помічник, представлений Google, який працює на базі моделі Gemini. Його ключова логіка — «єдиним джерелом відповіді є ті дані, які ви надаєте» — ви завантажуєте PDF, Word, PPT, відео, вебсторінки та інші матеріали, NotebookLM об’єднує їх в один notebook, а потім, коли ви ставите будь-яке запитання, він знаходить відповіді у ваших матеріалах і додає цитати, не так, як звичайні AI, які вигадують (галюцинують). У цій статті зібрано інформацію про те, що таке NotebookLM, п’ять основних функцій, підтримувані файли, відмінності між чотирма тарифними планами підписки, інтеграцію з Gemini, а також найпоширеніші сценарії використання серед читачів у Тайвані. Офіційний вхід знаходиться на notebooklm.google。
NotebookLM — що це
ChainNewsAbmedia13хв. тому
Суттєвий запуск CEX: Smart Money Signal Suite із даними 1,000+ трейдерів
Повідомлення Gate News, 27 квітня — Велика централізована біржа запустила "Smart Money Signal Suite" (набір сигналів «розумних грошей»), який інтегрує дані про поточні холдинги в реальному часі, коефіцієнти виграшів та прибуток/збиток від понад 1,000 популярних трейдерів. Набір інструментів, доступний через Agent Trade Kit платформи, інкапсулює сигнали трейдерів як
GateNews16хв. тому
Робототехнічний софтверний стартап Sereact залучив $110M Series B під проводом Headline
Повідомлення Gate News, 27 квітня — Стартап із робототехнічного програмного забезпечення Sereact оголосив 27 квітня, що залучив $110 мільйон у раунді Series B під проводом Headline, щоб розширити операції та розробити передові моделі ШІ для промислових роботів.
У фінансуванні також взяли участь Bullhound Capital, Felix Capital і Daphni.
GateNews26хв. тому
DeepSeek V4 Pro на Ollama Cloud: Claude Code одним кліком
Згідно з твітом Ollama, DeepSeek V4 Pro було випущено 4/24, уже додано в каталог Ollama в режимі хмари, і лише однією командою можна викликати такі інструменти, як Claude Code, Hermes, OpenClaw, OpenCode, Codex тощо. В4 Pro1.6T params, 1M context, Mixture-of-Experts; хмарний висновок не завантажує локальні ваги. Щоб запускати локально, потрібно самостійно отримати ваги й виконувати їх з INT4/GGUF та кількома GPU. Ранні тести швидкості були впливом хмарного навантаження: у звичайному режимі приблизно 30 tok/s, у піку 1.1tok/s; рекомендується спочатку використовувати хмарний прототип, а для офіційного серійного виробництва — виконувати власний висновок або використовувати комерційне API.
ChainNewsAbmedia2год тому
Toku запускає відкритий код (open-source) AI Makimoto для Азійсько-Тихоокеанського регіону
Току, компанія з програмного забезпечення для клієнтського досвіду, котра котирується в Сінгапурі, запустила Makimoto — ініціативу відкритого програмного забезпечення зі штучного інтелекту для розмов, орієнтовану на Азійсько-Тихоокеанський регіон, як повідомляє компанія. Перша версія, API для транскрипції, запланована на 1 липня 2026 року та розміщуватиметься в Сінгапурі.
Деталі запуску продукту
Mak
CryptoFrontier3год тому
Хмарне середовище Tencent Cloud QClaw інтегрує фреймворк Hermes, підтримує перемикання між кількома моделями, зокрема DeepSeek-V4 Pro
Згідно з офіційним оголошенням Tencent Cloud від 27 квітня, настільний інструмент QClaw для AI-агентів Tencent Cloud офіційно випущено у версії v0.2.14. Tencent Cloud заявила, що це найбільше за масштабом оновлення QClaw за весь час; ключові оновлення включають підключення фреймворку Hermes Agent, оновлення базової моделі до режиму вільного перемикання, а також повне оновлення «Інспіраційної площі» до «Площі експертів».
MarketWhisper3год тому
