暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

Cherry Studio プライバシースイッチが無効化されています。統計をオフにしても、デバイス情報が外部に送信されます。

MarketWhisper
AIツール・アプリ

Cherry Studio設計缺陷

オープンソースのAIデスクトップクライアント「Cherry Studio」が、ユーザーによってプライバシー設計上の欠陥が発見されました。 「匿名で誤ったエラーレポートとデータ統計を送信する」オプションをオフにした後も、クライアントは引き続き、デバイスID、システム情報、CPUアーキテクチャを含む識別データを送信し続けます。 GitHubのユーザーYuerchuがIssue #14387 にパケットキャプチャのスクリーンショットを投稿した後、開発者のkangfenmaoがコメント欄で問題が事実であることを認めました。

問題の構造:「オフ」設定に対する遵守度が3種類のイベントで異なる

Cherry Studio隱私開關失效

(出所:Github)

コード監査によると、Cherry Studioクライアントは3種類のイベントを報告していますが、3種類のイベントの挙動には根本的な不一致があります:

AIチャット:通常はユーザーのスイッチ設定に正しく従い、オフにした後は報告しない。

アプリ起動:スイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

アップデート確認:同じくスイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

送信される各リクエストには専用のデバイスIDが含まれ、さらにOSバージョン、CPUアーキテクチャ、アプリバージョン番号が加わることで、このデバイスに対する長期追跡の識別の組み合わせが形成されます。

コード監査:スイッチは3月22日に意図的に削除された

コミュニティがコードを調べたところ、2026年2月にこの報告メカニズムが導入された当初は、スイッチが3種類のイベントすべてに対して有効でした。 しかし3月22日、メンテナーのkangfenmao自身が修正を1回提出し、アプリ起動とアップデート確認のスイッチ判定ロジックを削除しただけでなく、ついでにより多くのデバイス識別情報をリクエストヘッダーに詰め込みました。

この問題のあるコードは、v1.8.3、v1.8.4、v1.9.0、v1.9.1の4つのバージョンで約1か月間継続して実行され、その後コミュニティによって発見され公開で報告されました。

それより前の古い穴:アップグレード時にサイレント再起動するスイッチの隠しスクリプト

コミュニティが旧バージョンのコードを追跡すると、別の問題の層も見つかりました。 2025年2月に分析機能が初めて追加された際、同時にアップグレードスクリプトが埋め込まれていました。 それは、旧バージョンからアップグレードしてきたユーザーであれば、「匿名統計」スイッチが自動的に一度オンになるというものです。 その後、分析サービスのバックエンドはGoogle Analyticsから順にPostHogとSentryへ、そして現在の自前のanalytics.cherry-ai.comへと入れ替わりましたが、この自動でスイッチをオンにするスクリプトはずっと削除されていません。

実際の影響は、2025年2月より前にCherry Studioをインストールし、その後いかなるアップグレードも行ったユーザーについてです。 それまでに当該設定を手動でオフにしていたかどうかに関わらず、アップグレードのたびにサイレントに再度オンになり、アップグレード後にもう一度手動でオフにする必要があります。

よくある質問

Cherry Studioは具体的にどのようなデバイス情報を収集していますか?

コード監査によれば、各報告リクエストには以下が含まれます:一意のデバイスID(セッションをまたいで継続追跡)、OSバージョン、CPUアーキテクチャ、そしてアプリのバージョン番号。 これらの情報の組み合わせにより、分析バックエンドで特定のデバイスを長期的に識別・追跡でき、氏名やアカウント情報がなくても有効なデバイス指紋を形成できます。

チャット内容、APIキーなどの機密データも送信されますか?

開発者のkangfenmaoは、チャット内容、ユーザー入力、ファイル、APIキーなどの機密データはこの報告チャネルを経由せず、影響を受けるデータ範囲には含まれないと明確に述べています。 現在送信されているのは、デバイス識別系のメタデータ(metadata)のみです。

影響を受けたユーザーは現在どのような行動を取るべきですか?

修復バージョンはPR #14390としてマージ済みで、最新バージョンへの速やかな更新が推奨されます。 更新後は、プライバシー統計スイッチがオフになっていることを手動で確認してください。 旧アップグレードスクリプトの問題により、アップグレード自体がスイッチを再度オンにする可能性があります。 プライバシーへの要求が高い場合は、更新後にネットワーク監視ツールを通じて、analytics.cherry-ai.comへのリクエストが停止したことを検証することを推奨します。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

RobloxがAIソフトウェアをローンチし、UnityとEpic Gamesに挑戦

AIツール・アプリ

Bloombergによると、RobloxはUnity TechnologiesやEpic Gamesと競合するための新しいAIソフトウェアを発表している。これらの企業のエンジンは、大規模予算のゲーム開発を支配している。CEOのデイブ・バズキ(Dave Baszucki)は、このツールが、ARによって駆動され、フォトリアルなグラフィックスをより簡単に用いてマルチプレイヤーゲームを作れるようにすることを目的としていると述べた。

GateNews1時間前

米海軍がホルムズ海峡での機雷探知のためにDomino Data Labと約1億ドル(約1億米ドル)のAI契約を締結

AIツール・アプリ

新華社によると、米海軍の情報戦システム司令部は最近、サンフランシスコを拠点とするAI企業Domino Data Labと契約を締結し、機械学習ソフトウェアのソリューションを調達して導入することになった。この契約は、完全に実行されれば約1億ドル($100 million)に達する規模で、狙いは以下の通りだ。

GateNews3時間前

XAI Grok 推進のカスタムボイス:2分間クローン、二段階の身分確認

AIツール・アプリ

xAI が Grok Custom Voices を提供開始。コンソールで約1分間の音声を録音し、2分以内に TTS および Voice Agent API で利用できるカスタム音声モデルを生成します。同時に Grok 4.3 と Voice Library も公開。なりすまし防止のため、二段階の認証を採用します。まず検証文を朗読し、次に speaker embedding を照合して、同一人物のみが生成できるようにします。Voice Library は、自作および事前構築済みの音声を統合して管理し、80種類以上・28言語を提供。今後さらに拡充予定です。

ChainNewsAbmedia5時間前

OpenAI Codex デスクトップ版にペット機能を追加:3つの状態表示、使用言語に応じて孵化

AIツール・アプリ

OpenAI Codex のデスクトップ版が最近公開した「ペット」(Pets)機能により、開発者はコーディング中にホバーで表示されるアニメーションキャラクターを通じて、Codex のタスク状況をリアルタイムで把握できます。OpenAI公式ドキュメントによれば、ペットのオーバーレイは Codex の現在の状態に応じて 3

ChainNewsAbmedia6時間前

MoonPayがAIエージェント向けの仮想マスターカード「MoonAgentsカード」を金曜日に提供開始

パートナーシップ・エコシステムAIエージェントAIツール・アプリ

The Blockによると、MoonPayは金曜日に、仮想マスターカードデビットカードであるMoonAgents Cardをローンチしました。このカードはAIエージェントとユーザーの両方向けに設計されており、決済時点でステーブルコインを法定通貨に換金し、マスターカードを受け付ける世界中のオンライン加盟店での支払いを可能にします。 The card i

GateNews16時間前

バークレーGEPA解析:重みを更新しなくてもAIは新しいタスクを学習でき、訓練コストを35倍も削減してRLに勝つ

AIツール・アプリ

GEPA は UCバークレーのチームが提案したAIトレーニングの新手法です。重みを更新せず、GPUも不要で、反省するLLMにタスクの記録を最初から最後まで読み込ませてプロンプトを書き換えさせることで、単にスコアのフィードバックだけを行うのではありません。6つのタスクの平均勝率はGRPOで6%、最高は20%で、トレーニングのrolloutsは35倍減少します。DSPyと統合したFull Program Adapterは、数学およびマルチモーダルのワークフローで大きく改善し、正確性は93%です。コードはオープンソースで、著者にはMatei Zahariaらが含まれています。

ChainNewsAbmedia05-02 05:48
コメント
0/400
コメントなし