Um cliente de secretária de IA open source, o Cherry Studio, foi identificado pelos utilizadores como tendo uma falha de privacidade no desenho: ao desligar a opção “Enviar anonimamente relatórios de erros e estatísticas de dados”, o cliente continua a enviar dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura da CPU. Após o utilizador do GitHub Yuerchu publicar capturas de ecrã da análise de tráfego na Issue #14387 , o programador kangfenmao reconheceu nos comentários que o problema é real.
Estrutura do problema: diferentes níveis de conformidade com a definição de “desligar” para três tipos de eventos
(Fonte: Github)
De acordo com uma auditoria ao código, o cliente do Cherry Studio reporta três tipos de eventos, mas há inconsistências fundamentais no comportamento de cada um:
Conversas de IA: segue normalmente as definições do utilizador; quando está desligado, não reporta.
Início da aplicação: contorna diretamente a definição, independentemente de como o utilizador a configure.
Verificação de atualizações: igualmente contorna diretamente a definição, independentemente de como o utilizador a configure.
Cada pedido enviado inclui um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação, formando uma combinação de identificação para rastrear esta máquina ao longo do tempo.
Auditoria ao código: a opção foi removida propositadamente a 22 de março
Ao rever o código na comunidade, descobriu-se que, quando este mecanismo de reporte foi adicionado pela primeira vez em fevereiro de 2026, a opção era efetiva para os três tipos de eventos. Contudo, em 22 de março, o mantenedor kangfenmao submeteu uma alteração: não apenas removeu a lógica de verificação da opção para Início da aplicação e Verificação de atualizações, como também adicionou ainda mais informações de identificação do dispositivo aos cabeçalhos dos pedidos.
Este código com o problema esteve em execução de forma contínua em quatro versões — v1.8.3, v1.8.4, v1.9.0 e v1.9.1 — durante cerca de um mês, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga mais precoce: script oculto para reiniciar silenciosamente após a atualização
Ao acompanhar o código de versões antigas, a comunidade descobriu outra camada do problema: quando a funcionalidade de análise foi introduzida pela primeira vez em fevereiro de 2025, foi também embutido um script de atualização — sempre que um utilizador sobe a partir de uma versão antiga, a opção “estatísticas anónimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado de Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atualmente auto-hospedado, este script que reativa automaticamente a opção nunca foi removido.
O impacto real é o seguinte: utilizadores que instalaram o Cherry Studio antes de fevereiro de 2025 e que, posteriormente, fizeram quaisquer upgrades — independentemente de terem ou não desligado manualmente a definição anteriormente — terão a opção reativada silenciosamente após cada atualização, e terão de voltar a desligá-la manualmente após atualizar.
Problemas comuns
Que informações de dispositivos específicas o Cherry Studio recolhe?
De acordo com a auditoria ao código, cada pedido de reporte inclui: um ID de dispositivo único (rastreamento contínuo entre sessões), a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação. Esta combinação de informações permite uma identificação e rastreio de longo prazo de dispositivos específicos no backend de análise; mesmo sem nome ou informações de conta, consegue formar uma impressão digital válida do dispositivo.
O conteúdo das conversas, chaves de API e outros dados sensíveis também são enviados?
O programador kangfenmao afirmou claramente que dados sensíveis como o conteúdo das conversas, entradas do utilizador, ficheiros e chaves de API não passam por este canal de reporte, não se encontram no âmbito dos dados afetados. O que está a ser transmitido atualmente são apenas metadados de identificação do dispositivo (metadata).
Que ação os utilizadores afetados devem tomar agora?
A versão corrigida foi integrada através da PR #14390, pelo que se recomenda atualizar imediatamente para a versão mais recente. Após a atualização, deve confirmar manualmente que a opção de estatísticas de privacidade está desligada — devido ao problema do script de upgrades antigos, a própria atualização pode voltar a ativar a opção. Se tiver requisitos elevados de privacidade, recomenda-se que, após a atualização, verifique através de uma ferramenta de monitorização de rede se foi interrompido o envio de pedidos para analytics.cherry-ai.com.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A xAI Lança API de Clonagem de Voz com Suporte a 80+ Vozes em 28 Línguas
De acordo com a PANews, a xAI lançou a sua API de Voice Cloning a 2 de maio, permitindo aos utilizadores criar vozes personalizadas em aproximadamente 2 minutos ou selecionar entre mais de 80 vozes predefinidas que abrangem 28 línguas para aplicações, incluindo assistentes de voz, audiolivros e personagens de jogos. A funcionalidade está atualmente
GateNews1h atrás
A MoonPay lança o MoonAgents Card, uma Mastercard virtual para agentes de IA e utilizadores, na sexta-feira
Segundo a The Block, a MoonPay lançou a MoonAgents Card, um cartão de débito Mastercard virtual para agentes de IA e utilizadores, na sexta-feira. O cartão converte stablecoins em moeda fiduciária no momento do pagamento e pode ser utilizado em qualquer comerciante online a nível global que aceite Mastercard. Emitido através da Monavate, um pagamento regulado
GateNews10h atrás
A MoonPay Lança o Cartão MoonAgents na Rede Mastercard Sexta-feira
De acordo com a The Block, a MoonPay lançou a MoonAgents Card na sexta-feira — um cartão de débito virtual Mastercard que permite a agentes de IA e aos utilizadores gastar stablecoins diretamente a partir de carteiras onchain. O cartão é emitido através da Monavate, uma plataforma global de pagamentos regulamentada e membro principal da Mastercard, em
GateNews12h atrás
Nubank planeia um investimento de 8,2 mil milhões de dólares no Brasil para 2026, duplicando a despesa com IA e expandindo o crédito
De acordo com a Crowdfundinsider, a Nubank anunciou planos para investir 8,2 mil milhões de dólares no mercado brasileiro em 2026, quase duplicando o seu investimento face a dois anos antes. Os fundos irão concentrar-se em sistemas de avaliação de crédito impulsionados por IA, produtos financeiros digitais, expansão de equipas, infraestruturas
GateNews14h atrás
A MARA Holdings adquire a Long Ridge Energy por 1,5 mil milhões de dólares para um centro de dados de IA
A MARA Holdings está a adquirir a Long Ridge Energy numa operação de 1,5 mil milhões de dólares para expandir a sua capacidade de infraestruturas de IA e TI. O negócio inclui uma central a gás de 505 MW e 1.600 acres no Ohio, disponibilizando mais de 1 GW de capacidade de energia para futuros investimentos em IA e TI.
Detalhes da operação
A aquisição
CryptoFrontier19h atrás
Coinpost Terminal Faz Recentemente Parceria com a RootData para Melhorar a Inteligência de Mercado para Investidores Japoneses
De acordo com a ChainCatcher, a Coinpost Terminal, a plataforma de IA do setor de media cripto japonês Coinpost, anunciou recentemente uma parceria com a plataforma de dados de ativos Web3 RootData. Através da API da RootData, a Coinpost Terminal irá fornecer uma melhoria
GateNews19h atrás
