オープンソースのAIデスクトップクライアント「Cherry Studio」が、ユーザーによってプライバシー設計上の欠陥が発見されました。「匿名で誤ったエラーレポートとデータ統計を送信する」オプションをオフにした後も、クライアントは引き続き、デバイスID、システム情報、CPUアーキテクチャを含む識別データを送信し続けます。 GitHubのユーザーYuerchuがIssue #14387 にパケットキャプチャのスクリーンショットを投稿した後、開発者のkangfenmaoがコメント欄で問題が事実であることを認めました。

問題の構造：「オフ」設定に対する遵守度が3種類のイベントで異なる

（出所：Github）

コード監査によると、Cherry Studioクライアントは3種類のイベントを報告していますが、3種類のイベントの挙動には根本的な不一致があります：

AIチャット：通常はユーザーのスイッチ設定に正しく従い、オフにした後は報告しない。

アプリ起動：スイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

アップデート確認：同じくスイッチ設定を直接迂回し、ユーザーがどのように設定しても常に報告する。

送信される各リクエストには専用のデバイスIDが含まれ、さらにOSバージョン、CPUアーキテクチャ、アプリバージョン番号が加わることで、このデバイスに対する長期追跡の識別の組み合わせが形成されます。

コード監査：スイッチは3月22日に意図的に削除された

コミュニティがコードを調べたところ、2026年2月にこの報告メカニズムが導入された当初は、スイッチが3種類のイベントすべてに対して有効でした。しかし3月22日、メンテナーのkangfenmao自身が修正を1回提出し、アプリ起動とアップデート確認のスイッチ判定ロジックを削除しただけでなく、ついでにより多くのデバイス識別情報をリクエストヘッダーに詰め込みました。

この問題のあるコードは、v1.8.3、v1.8.4、v1.9.0、v1.9.1の4つのバージョンで約1か月間継続して実行され、その後コミュニティによって発見され公開で報告されました。

それより前の古い穴：アップグレード時にサイレント再起動するスイッチの隠しスクリプト

コミュニティが旧バージョンのコードを追跡すると、別の問題の層も見つかりました。 2025年2月に分析機能が初めて追加された際、同時にアップグレードスクリプトが埋め込まれていました。それは、旧バージョンからアップグレードしてきたユーザーであれば、「匿名統計」スイッチが自動的に一度オンになるというものです。その後、分析サービスのバックエンドはGoogle Analyticsから順にPostHogとSentryへ、そして現在の自前のanalytics.cherry-ai.comへと入れ替わりましたが、この自動でスイッチをオンにするスクリプトはずっと削除されていません。

実際の影響は、2025年2月より前にCherry Studioをインストールし、その後いかなるアップグレードも行ったユーザーについてです。それまでに当該設定を手動でオフにしていたかどうかに関わらず、アップグレードのたびにサイレントに再度オンになり、アップグレード後にもう一度手動でオフにする必要があります。

よくある質問

Cherry Studioは具体的にどのようなデバイス情報を収集していますか？

コード監査によれば、各報告リクエストには以下が含まれます：一意のデバイスID（セッションをまたいで継続追跡）、OSバージョン、CPUアーキテクチャ、そしてアプリのバージョン番号。これらの情報の組み合わせにより、分析バックエンドで特定のデバイスを長期的に識別・追跡でき、氏名やアカウント情報がなくても有効なデバイス指紋を形成できます。

チャット内容、APIキーなどの機密データも送信されますか？

開発者のkangfenmaoは、チャット内容、ユーザー入力、ファイル、APIキーなどの機密データはこの報告チャネルを経由せず、影響を受けるデータ範囲には含まれないと明確に述べています。現在送信されているのは、デバイス識別系のメタデータ（metadata）のみです。

影響を受けたユーザーは現在どのような行動を取るべきですか？

修復バージョンはPR #14390としてマージ済みで、最新バージョンへの速やかな更新が推奨されます。更新後は、プライバシー統計スイッチがオフになっていることを手動で確認してください。旧アップグレードスクリプトの問題により、アップグレード自体がスイッチを再度オンにする可能性があります。プライバシーへの要求が高い場合は、更新後にネットワーク監視ツールを通じて、analytics.cherry-ai.comへのリクエストが停止したことを検証することを推奨します。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

スタンダード・チャータードとA*STARが$11.8MのAI銀行イノベーション・ラボを発表

AIツール・アプリ

スタンダード・チャータードとA*STARは3年間提携し、S$15 百万ドルを投資して、詐欺検知と自然言語処理に焦点を当てる「AI for Banking Innovation Lab（銀行のイノベーション向けAIラボ）」を構築します。安全性を最優先する方針を維持しつつ、銀行の能力を強化します。

GateNews48分前

LGエレクトロニクス、AIデータセンター向け1.4MWダイレクト・トゥ・チップ冷却ユニットを発表

AIツール・アプリ

LGエレクトロニクスは、Data Center World 2026においてAIデータセンター向けの高度な冷却およびエネルギーソリューションを発表し、省エネ性能の向上と導入期間の短縮を目的としたさまざまな技術を紹介した。AIインフラへの$70 0億ドルの投資戦略に沿った内容となっている。

GateNews1時間前

Xiaomi、PC、Mac、スマートスピーカー向けのXiaomi miclawで限定ベータテストを開始

AIツール・アプリ

Xiaomiは4月21日にPC、Mac、スマートスピーカー向けのXiaomi miclawの限定ベータを提供開始しました。ドキュメントの整理やデータ分析といったシステムレベルのタスクを強化し、デバイス間の連携を促進します。ユーザーはXiaomi Communityからテスト申請を行えます。

GateNews3時間前

アドビ、OpenAIおよびAnthropicとの提携で法人向けマーケティングを自動化するCX Enterprise AIスイートを発表

AIエージェント AIツール・アプリ

アドビは、企業向けのデジタルマーケティングを自動化しパーソナライズすることを目的としたAIスイート「CX Enterprise」を導入しました。主要なプラットフォームと連携し、顧客とのやり取りを強化してマーケティング成果を改善するために、大手広告代理店で採用されています。

GateNews3時間前

Artlistが$300M ARRに到達、KKRの支援でAI動画スタジオをローンチ

AIツール・アプリ

イスラエルの動画制作会社Artlistは、2026年の年間継続収益（ARR）が$300 百万に増加したと報告した。新規ユーザーが600%成長したことが要因。AIを搭載した動画制作プラットフォーム「Artlist Studio」のローンチは、これまでの買収に続くさらなる拡大を後押しする。

GateNews3時間前

AINFT、TRONおよびEVMネットワークでワンクリックログインのためにTrust Walletを統合

パートナーシップ・エコシステム AIツール・アプリ

AINFTはTrust Walletと統合し、TRONおよびEVMネットワーク上でAIモデルに簡単に接続できるようにしました。これによりWeb3のアイデンティティのやり取りが強化され、新規ユーザーには10,000 AINFTポイントのウェルカムボーナスが提供されます。

GateNews15時間前

0/400

コメントなし