Um cliente de secretária de IA open source, o Cherry Studio, foi identificado pelos utilizadores como tendo uma falha de privacidade no desenho: ao desligar a opção “Enviar anonimamente relatórios de erros e estatísticas de dados”, o cliente continua a enviar dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura da CPU. Após o utilizador do GitHub Yuerchu publicar capturas de ecrã da análise de tráfego na Issue #14387 , o programador kangfenmao reconheceu nos comentários que o problema é real.
Estrutura do problema: diferentes níveis de conformidade com a definição de “desligar” para três tipos de eventos
(Fonte: Github)
De acordo com uma auditoria ao código, o cliente do Cherry Studio reporta três tipos de eventos, mas há inconsistências fundamentais no comportamento de cada um:
Conversas de IA: segue normalmente as definições do utilizador; quando está desligado, não reporta.
Início da aplicação: contorna diretamente a definição, independentemente de como o utilizador a configure.
Verificação de atualizações: igualmente contorna diretamente a definição, independentemente de como o utilizador a configure.
Cada pedido enviado inclui um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação, formando uma combinação de identificação para rastrear esta máquina ao longo do tempo.
Auditoria ao código: a opção foi removida propositadamente a 22 de março
Ao rever o código na comunidade, descobriu-se que, quando este mecanismo de reporte foi adicionado pela primeira vez em fevereiro de 2026, a opção era efetiva para os três tipos de eventos. Contudo, em 22 de março, o mantenedor kangfenmao submeteu uma alteração: não apenas removeu a lógica de verificação da opção para Início da aplicação e Verificação de atualizações, como também adicionou ainda mais informações de identificação do dispositivo aos cabeçalhos dos pedidos.
Este código com o problema esteve em execução de forma contínua em quatro versões — v1.8.3, v1.8.4, v1.9.0 e v1.9.1 — durante cerca de um mês, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga mais precoce: script oculto para reiniciar silenciosamente após a atualização
Ao acompanhar o código de versões antigas, a comunidade descobriu outra camada do problema: quando a funcionalidade de análise foi introduzida pela primeira vez em fevereiro de 2025, foi também embutido um script de atualização — sempre que um utilizador sobe a partir de uma versão antiga, a opção “estatísticas anónimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado de Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atualmente auto-hospedado, este script que reativa automaticamente a opção nunca foi removido.
O impacto real é o seguinte: utilizadores que instalaram o Cherry Studio antes de fevereiro de 2025 e que, posteriormente, fizeram quaisquer upgrades — independentemente de terem ou não desligado manualmente a definição anteriormente — terão a opção reativada silenciosamente após cada atualização, e terão de voltar a desligá-la manualmente após atualizar.
Problemas comuns
Que informações de dispositivos específicas o Cherry Studio recolhe?
De acordo com a auditoria ao código, cada pedido de reporte inclui: um ID de dispositivo único (rastreamento contínuo entre sessões), a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação. Esta combinação de informações permite uma identificação e rastreio de longo prazo de dispositivos específicos no backend de análise; mesmo sem nome ou informações de conta, consegue formar uma impressão digital válida do dispositivo.
O conteúdo das conversas, chaves de API e outros dados sensíveis também são enviados?
O programador kangfenmao afirmou claramente que dados sensíveis como o conteúdo das conversas, entradas do utilizador, ficheiros e chaves de API não passam por este canal de reporte, não se encontram no âmbito dos dados afetados. O que está a ser transmitido atualmente são apenas metadados de identificação do dispositivo (metadata).
Que ação os utilizadores afetados devem tomar agora?
A versão corrigida foi integrada através da PR #14390, pelo que se recomenda atualizar imediatamente para a versão mais recente. Após a atualização, deve confirmar manualmente que a opção de estatísticas de privacidade está desligada — devido ao problema do script de upgrades antigos, a própria atualização pode voltar a ativar a opção. Se tiver requisitos elevados de privacidade, recomenda-se que, após a atualização, verifique através de uma ferramenta de monitorização de rede se foi interrompido o envio de pedidos para analytics.cherry-ai.com.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
MoonPay lança o cartão MoonAgents, uma Mastercard virtual para agentes de IA, na sexta-feira
De acordo com o The Block, a MoonPay lançou na sexta-feira o MoonAgents Card, um cartão de débito Mastercard virtual. O cartão foi concebido tanto para agentes de IA como para utilizadores, convertendo stablecoins em moeda fiduciária no momento do pagamento e permitindo a realização de compras em qualquer comerciante online a nível global que aceite Mastercard.
O cartão i
GateNews5h atrás
Análise GEPA de Berkeley: fazer com que a IA aprenda novas tarefas sem atualizar os pesos, 35 vezes menos custo de treino do que o RL
GEPA é uma nova abordagem de treino de IA proposta pela equipa da UC Berkeley: sem atualização de pesos, sem necessidade de GPUs, recorrendo a fazer com que um LLM faça a leitura completa do registo da tarefa, reflita e reescreva o prompt, em vez de apenas dar feedback via pontuações. As seis tarefas em média registaram uma vantagem de GRPO de 6%, com um máximo de 20%; os rollouts de treino foram reduzidos 35 vezes. A Full Program Adapter, integrada com DSPy, melhora de forma significativa o desempenho em tarefas matemáticas e em fluxos de trabalho multi-modais, atingindo 93% de exatidão. O código é open source, e os autores incluem Matei Zaharia, entre outros.
ChainNewsAbmedia13h atrás
A OpenAI Lança o Codex Pets, um Companheiro Virtual com IA e Geração Personalizada
Segundo o Beating, a OpenAI adicionou uma nova funcionalidade “Codex Pets” à aplicação de ambiente de trabalho do Codex, permitindo aos utilizadores gerar e interagir com um companheiro virtual animado. Os utilizadores podem ativar um animal de estimação escrevendo /pet no editor. A funcionalidade funciona como um indicador do estado do agente, mostrando a
GateNews14h atrás
MoonPay Lança o Cartão MoonAgents para Agentes de IA na Rede Mastercard
De acordo com a The Block, a MoonPay lançou a MoonAgents Card na sexta-feira, um cartão de débito Mastercard virtual que converte stablecoins em moeda fiduciária em tempo real no momento do pagamento. O cartão é emitido através da Monavate, uma plataforma de pagamentos regulada e membro principal da Mastercard, em parceria com a Exodus M
GateNews18h atrás
A xAI Lança API de Clonagem de Voz com Suporte a 80+ Vozes em 28 Línguas
De acordo com a PANews, a xAI lançou a sua API de Voice Cloning a 2 de maio, permitindo aos utilizadores criar vozes personalizadas em aproximadamente 2 minutos ou selecionar entre mais de 80 vozes predefinidas que abrangem 28 línguas para aplicações, incluindo assistentes de voz, audiolivros e personagens de jogos. A funcionalidade está atualmente
GateNews19h atrás
A MoonPay lança o MoonAgents Card, uma Mastercard virtual para agentes de IA e utilizadores, na sexta-feira
Segundo a The Block, a MoonPay lançou a MoonAgents Card, um cartão de débito Mastercard virtual para agentes de IA e utilizadores, na sexta-feira. O cartão converte stablecoins em moeda fiduciária no momento do pagamento e pode ser utilizado em qualquer comerciante online a nível global que aceite Mastercard. Emitido através da Monavate, um pagamento regulado
GateNews05-01 15:41
