Klien desktop AI sumber terbuka Cherry Studio mengalami celah desain privasi yang ditemukan oleh pengguna: setelah mematikan opsi “mengirim laporan kesalahan dan statistik data secara anonim”, klien terus mengirim data identifikasi yang berisi ID perangkat, informasi sistem, dan arsitektur CPU. Pengguna GitHub Yuerchu memposting tangkapan layar hasil penangkapan paket di Issue #14387 , lalu pengembang kangfenmao mengakui dalam komentar bahwa masalahnya memang benar.
Struktur masalah: kepatuhan terhadap pengaturan “nonaktif” untuk tiga jenis kejadian tidaklah sama
(Sumber: Github)
Berdasarkan audit kode, klien Cherry Studio melaporkan tiga jenis kejadian, tetapi terdapat ketidakkonsistenan mendasar dalam perilaku ketiga kejadian tersebut:
Obrolan AI:secara normal mematuhi sakelar pengguna; setelah dimatikan, tidak melaporkan.
Peluncuran aplikasi:langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Pemeriksaan pembaruan:juga langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Setiap permintaan yang dikirim membawa ID perangkat khusus, ditambah dengan versi sistem operasi, arsitektur CPU, dan nomor versi aplikasi, membentuk kombinasi identifikasi pelacakan jangka panjang untuk perangkat tersebut.
Audit kode: sakelar secara sengaja dihapus pada 22 Maret
Dari penelusuran komunitas terhadap kode, ditemukan bahwa ketika mekanisme pelaporan ini baru ditambahkan pada Februari 2026, sakelar tersebut berlaku untuk ketiga jenis kejadian. Namun pada 22 Maret, maintainer kangfenmao sendiri mengirimkan sebuah modifikasi: bukan hanya menghapus logika penilaian sakelar untuk peluncuran aplikasi dan pemeriksaan pembaruan, tetapi juga menyelipkan lebih banyak informasi identifikasi perangkat ke dalam header permintaan.
Kode masalah ini dijalankan secara beruntun selama sekitar satu bulan pada empat versi, yaitu v1.8.3, v1.8.4, v1.9.0, dan v1.9.1, sebelum akhirnya ditemukan dan diungkapkan secara terbuka oleh komunitas.
Kekurangan lama yang lebih awal: skrip tersembunyi untuk memicu ulang “mulai ulang senyap” pada saat upgrade
Saat komunitas melacak kode versi lama, mereka juga menemukan lapisan masalah lain: ketika fungsi analitik pertama kali ditambahkan pada Februari 2025, sekaligus disisipkan sebuah skrip upgrade—selama pengguna melakukan upgrade dari versi lama, sakelar “statistik anonim” akan otomatis diaktifkan sekali. Setelah itu, backend layanan analitik sempat berganti dari Google Analytics ke PostHog dan Sentry, lalu ke analytics.cherry-ai.com yang kini dikelola sendiri, tetapi skrip yang otomatis mengaktifkan sakelar ini tidak pernah dihapus.
Dampak nyatanya adalah: pengguna yang telah memasang Cherry Studio sebelum Februari 2025 dan kemudian melakukan upgrade apa pun, terlepas dari apakah sebelumnya pernah mematikan pengaturan tersebut secara manual, akan selalu diaktifkan kembali secara senyap setiap kali setelah upgrade. Mereka perlu mematikannya kembali secara manual setelah upgrade.
FAQ
Informasi perangkat spesifik apa yang dikumpulkan Cherry Studio?
Berdasarkan audit kode, setiap permintaan pelaporan berisi: ID perangkat unik (melanjutkan pelacakan lintas sesi), versi sistem operasi, arsitektur CPU, serta nomor versi aplikasi. Kombinasi informasi ini memungkinkan backend analitik melakukan identifikasi dan pelacakan jangka panjang terhadap perangkat tertentu; meskipun tanpa nama atau informasi akun, tetap dapat membentuk sidik jari perangkat yang efektif.
Apakah data sensitif seperti isi obrolan, kunci API, dll. juga ikut terkirim?
kangfenmao selaku pengembang menyatakan dengan jelas bahwa data sensitif seperti isi obrolan, input pengguna, dokumen, dan kunci API tidak melewati jalur pelaporan ini, dan berada di luar cakupan data yang terdampak. Saat ini yang terkirim hanya metadata berupa identifikasi perangkat.
Tindakan apa yang harus dilakukan pengguna yang terdampak sekarang?
Versi perbaikan sudah digabungkan melalui PR #14390, dan disarankan untuk segera memperbarui ke versi terbaru. Setelah pembaruan, seharusnya konfirmasi secara manual bahwa sakelar statistik privasi dalam keadaan mati—karena masalah skrip upgrade lama, proses upgrade itu sendiri dapat berpotensi mengaktifkan sakelar lagi. Jika Anda memiliki persyaratan privasi yang lebih tinggi, disarankan untuk memverifikasi setelah pembaruan apakah permintaan ke analytics.cherry-ai.com telah benar-benar berhenti melalui alat pemantauan jaringan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Dropbox Memperluas Integrasi ChatGPT dengan Tiga Aplikasi Tempat Kerja Baru
Dropbox telah meningkatkan kemitraannya dengan OpenAI dengan menghadirkan tiga aplikasi baru di ChatGPT, sehingga memudahkan akses file, pencarian konten di tempat kerja, dan manajemen kalender. Langkah ini bertujuan untuk mengubah Dropbox menjadi platform kecerdasan (intelligence) di tengah penurunan jumlah pelanggan dan meningkatnya persaingan di lanskap AI.
GateNews2jam yang lalu
Hong Kong Gas Utility Towngas Bermitra dengan Tencent untuk Memperluas Sistem Cloud dan AI
Towngas telah bermitra dengan Tencent untuk meningkatkan sistem cloud dan aplikasi AI-nya, mengembangkan kerja sama mereka pada 2020. Kemitraan ini berfokus pada platform energi cerdas dan analitik data untuk merampingkan operasi serta meningkatkan layanan pelanggan di sektor energi.
GateNews2jam yang lalu
Cobo Meluncurkan Agentic Wallet Berbasis AI untuk Transaksi On-Chain Otonom yang Aman
Cobo telah meluncurkan Cobo Agentic Wallet, memungkinkan agen AI melakukan transaksi on-chain di bawah kontrol yang ditentukan pengguna. Dengan memanfaatkan Multi-Party Computation untuk keamanan serta menggabungkan protokol Pact dan Recipes, ia mendukung berbagai mode operasional untuk tingkat risiko yang beragam.
GateNews4jam yang lalu
iQiyi Meluncurkan Alat Produksi AI, Memperbarui Platform saat Persaingan Streaming Makin Memanas
iQiyi sedang melakukan perombakan platformnya untuk fokus pada konten yang dihasilkan AI, meluncurkan alat Nadou Pro guna mendukung produksi. Meski menghadapi kesulitan keuangan dan tantangan regulasi, perusahaan menargetkan merilis film AI yang sukses pada 2026 sambil mengelola krisis likuiditas yang signifikan.
GateNews5jam yang lalu
Alibaba Meluncurkan Model Generasi Video AI HappyHorse, Membuka Pengujian 27 April
Model generasi video AI Alibaba, HappyHorse-1.0, akan mulai pengujian API pada 27 April untuk pelanggan perusahaan dan resmi diluncurkan pada bulan Mei, dikembangkan oleh Divisi Inovasi ATH-nya dan tim internal lainnya.
GateNews5jam yang lalu
Cursor menjalin kesepakatan pendanaan 20 miliar dolar AS, valuasi menembus 50 miliar: dalam tiga tahun dari nol menjadi 2 miliar ARR, mencetak rekor tercepat dalam sejarah perangkat lunak B2B
Editor program AI Cursor dari perusahaan pengembang Anysphere sedang dalam pembicaraan untuk putaran pendanaan baru sebesar 2 miliar dolar AS, dengan estimasi valuasi akan mencapai 50 miliar dolar AS. Cursor dalam tiga tahun berhasil meningkat dari nol menjadi 2 miliar dolar AS pendapatan tahunan, menjadi contoh kasus pertumbuhan tercepat perangkat lunak B2B. Nvidia ikut berinvestasi dalam putaran pendanaan ini, menegaskan integrasi infrastruktur AI, serta menunjukkan meningkatnya minat pasar terhadap lapisan aplikasi AI. Perusahaan rintisan dari Taiwan dapat meniru pola keberhasilan ini.
ChainNewsAbmedia10jam yang lalu
