O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Roblox lança software de IA para desafiar Unity e Epic Games
De acordo com a Bloomberg, a Roblox está lançando um novo software de IA para competir com a Unity Technologies e a Epic Games, cujos motores dominam o desenvolvimento de jogos com grandes orçamentos. O CEO Dave Baszucki afirmou que a ferramenta tem como objetivo ajudar os criadores a construir jogos multiplayer com gráficos fotorrealistas de forma mais fácil, impulsionada por ar
GateNews35m atrás
Marinha dos EUA assina contrato de quase US$ 100 milhões de IA com a Domino Data Lab para detecção de minas no Estreito de Ormuz
De acordo com a Agência de Notícias Xinhua, o Comando de Sistemas de Guerra de Informação da Marinha dos EUA assinou recentemente um contrato com a empresa de IA Domino Data Lab, com sede em San Francisco, para adquirir e implantar soluções de software de aprendizado de máquina. O contrato, avaliado em quase US$ 100 milhões se for totalmente executado, tem como objetivo a
GateNews2h atrás
XAI Grok lança vozes personalizadas: clonagem de 2 minutos e verificação de identidade em duas etapas
xAI lança Grok Custom Voices: grava cerca de 1 minuto de áudio no console e, em até 2 minutos, gera um modelo de voz personalizado utilizável para a API de TTS e Voice Agent. Em paralelo, lança Grok 4.3 e a Voice Library. Para evitar clonagem, adota autenticação em duas etapas: primeiro, a pessoa lê uma frase de verificação e, em seguida, o sistema compara o speaker embedding para garantir que apenas o mesmo indivíduo possa gerar a voz. A Voice Library consolida o gerenciamento de vozes feitas sob medida e de vozes pré-construídas, com 80+ tipos e 28 idiomas, com expansão prevista no futuro.
ChainNewsAbmedia4h atrás
OpenAI Codex versão desktop ganha recurso de “animal de estimação”: 3 estados de prompt, incubação com base no idioma de uso
A versão de desktop do OpenAI Codex lançou recentemente a funcionalidade “Pets”, permitindo que desenvolvedores acompanhem em tempo real o status das tarefas do Codex durante a codificação por meio de um personagem animado em forma de pop-up. De acordo com a documentação oficial da OpenAI, o overlay de pets alterna com base no status atual do Codex em 3
ChainNewsAbmedia5h atrás
MoonPay Lança o Cartão MoonAgents, uma Mastercard Virtual para Agentes de IA, na sexta-feira
De acordo com a The Block, a MoonPay lançou a MoonAgents Card, um cartão de débito virtual Mastercard, na sexta-feira. O cartão foi projetado tanto para agentes de IA quanto para usuários, convertendo stablecoins em moeda fiduciária no momento do pagamento e permitindo gastos em qualquer comerciante online global que aceite Mastercard.
O cartão i
GateNews16h atrás
Análise do GEPA do Berkeley: a IA aprende novas tarefas sem atualizar pesos, com 35 vezes menos custo de treinamento do que o RL
GEPA é um novo método de treinamento de IA proposto pela equipe da UC Berkeley: não atualiza os pesos, não exige GPU e usa a reflexão para fazer o LLM ler registros completos das tarefas e reescrever os prompts, em vez de apenas fornecer feedback por pontuação. Em seis tarefas, a média de vitória contra GRPO foi de 6%, com máximo de 20%; os rollouts de treinamento foram reduzidos em 35 vezes. Com integração ao DSPy, o Full Program Adapter melhora significativamente o trabalho em matemática e fluxos de trabalho multimodais, com 93% de precisão. O código é de código aberto, e os autores incluem Matei Zaharia, entre outros.
ChainNewsAbmedia05-02 05:48
