Um cliente de secretária de IA open source, o Cherry Studio, foi identificado pelos utilizadores como tendo uma falha de privacidade no desenho: ao desligar a opção “Enviar anonimamente relatórios de erros e estatísticas de dados”, o cliente continua a enviar dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura da CPU. Após o utilizador do GitHub Yuerchu publicar capturas de ecrã da análise de tráfego na Issue #14387 , o programador kangfenmao reconheceu nos comentários que o problema é real.
Estrutura do problema: diferentes níveis de conformidade com a definição de “desligar” para três tipos de eventos
(Fonte: Github)
De acordo com uma auditoria ao código, o cliente do Cherry Studio reporta três tipos de eventos, mas há inconsistências fundamentais no comportamento de cada um:
Conversas de IA: segue normalmente as definições do utilizador; quando está desligado, não reporta.
Início da aplicação: contorna diretamente a definição, independentemente de como o utilizador a configure.
Verificação de atualizações: igualmente contorna diretamente a definição, independentemente de como o utilizador a configure.
Cada pedido enviado inclui um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação, formando uma combinação de identificação para rastrear esta máquina ao longo do tempo.
Auditoria ao código: a opção foi removida propositadamente a 22 de março
Ao rever o código na comunidade, descobriu-se que, quando este mecanismo de reporte foi adicionado pela primeira vez em fevereiro de 2026, a opção era efetiva para os três tipos de eventos. Contudo, em 22 de março, o mantenedor kangfenmao submeteu uma alteração: não apenas removeu a lógica de verificação da opção para Início da aplicação e Verificação de atualizações, como também adicionou ainda mais informações de identificação do dispositivo aos cabeçalhos dos pedidos.
Este código com o problema esteve em execução de forma contínua em quatro versões — v1.8.3, v1.8.4, v1.9.0 e v1.9.1 — durante cerca de um mês, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga mais precoce: script oculto para reiniciar silenciosamente após a atualização
Ao acompanhar o código de versões antigas, a comunidade descobriu outra camada do problema: quando a funcionalidade de análise foi introduzida pela primeira vez em fevereiro de 2025, foi também embutido um script de atualização — sempre que um utilizador sobe a partir de uma versão antiga, a opção “estatísticas anónimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado de Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atualmente auto-hospedado, este script que reativa automaticamente a opção nunca foi removido.
O impacto real é o seguinte: utilizadores que instalaram o Cherry Studio antes de fevereiro de 2025 e que, posteriormente, fizeram quaisquer upgrades — independentemente de terem ou não desligado manualmente a definição anteriormente — terão a opção reativada silenciosamente após cada atualização, e terão de voltar a desligá-la manualmente após atualizar.
Problemas comuns
Que informações de dispositivos específicas o Cherry Studio recolhe?
De acordo com a auditoria ao código, cada pedido de reporte inclui: um ID de dispositivo único (rastreamento contínuo entre sessões), a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação. Esta combinação de informações permite uma identificação e rastreio de longo prazo de dispositivos específicos no backend de análise; mesmo sem nome ou informações de conta, consegue formar uma impressão digital válida do dispositivo.
O conteúdo das conversas, chaves de API e outros dados sensíveis também são enviados?
O programador kangfenmao afirmou claramente que dados sensíveis como o conteúdo das conversas, entradas do utilizador, ficheiros e chaves de API não passam por este canal de reporte, não se encontram no âmbito dos dados afetados. O que está a ser transmitido atualmente são apenas metadados de identificação do dispositivo (metadata).
Que ação os utilizadores afetados devem tomar agora?
A versão corrigida foi integrada através da PR #14390, pelo que se recomenda atualizar imediatamente para a versão mais recente. Após a atualização, deve confirmar manualmente que a opção de estatísticas de privacidade está desligada — devido ao problema do script de upgrades antigos, a própria atualização pode voltar a ativar a opção. Se tiver requisitos elevados de privacidade, recomenda-se que, após a atualização, verifique através de uma ferramenta de monitorização de rede se foi interrompido o envio de pedidos para analytics.cherry-ai.com.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A MetaComp de Singapura Lança uma Framework de Agentes de IA para Conformidade Financeira e Pagamentos
A MetaComp lança o StableX Know Your Agent para uma IA regulamentada em pagamentos, combinando análises multi-fornecedor para reduzir drasticamente as taxas de “clean” falsas, com o suporte de AgentX Skills para o Claude; pretende permitir uma finança transfronteiriça auditável através de AI Skills transferíveis.
Resumo: A MetaComp apresenta a framework StableX Know Your Agent para governar agentes de IA em pagamentos e gestão de património regulamentados, cobrindo identidade, permissões, monitorização, auditoria e interações entre agentes. Reduz falsos positivos com análises em paralelo de múltiplos fornecedores e permite uma finança transfronteiriça auditável através de AI Skills transferíveis (AgentX), começando com suporte para Claude e expansão em todas as regiões.
GateNews21m atrás
A DeepX e o Grupo Hyundai Motor desenvolvem uma plataforma de chip de IA de baixo consumo para robôs
A DeepX da Coreia do Sul e o Laboratório de Robótica do Grupo Hyundai Motor estão a colaborar num plataforma de computação de IA de baixo consumo para aplicações robóticas em tempo real. Tirando partido do chip DX-M2 da DeepX, a parceria pretende otimizar a robótica com custos e consumo de energia reduzidos, refletindo uma tendência para chips especializados na indústria.
GateNews2h atrás
Standard Chartered e A*STAR lançam o Laboratório de Inovação em IA para Bancos de $11.8M
A Standard Chartered e a A*STAR estabeleceram uma parceria por três anos, investindo S$15 milhões para criar um Laboratório de Inovação em IA para Bancos, com foco na deteção de fraudes e no processamento de linguagem natural, reforçando as capacidades bancárias enquanto mantêm uma abordagem centrada na segurança.
GateNews4h atrás
LG Electronics Revela Unidade de Arrefecimento Direct-to-Chip de 1,4MW para Centros de Dados de IA
A LG Electronics revelou soluções avançadas de arrefecimento e de energia para centros de dados de IA na Data Center World 2026, apresentando várias tecnologias para melhorar a eficiência energética e reduzir o tempo de implementação, alinhando-se com uma estratégia de investimento de $70 bilião em infraestruturas de IA.
GateNews4h atrás
A Xiaomi abre testes em versão beta limitada para o Xiaomi miclaw em PC, Mac e colunas inteligentes
A Xiaomi lançou uma versão beta limitada do Xiaomi miclaw para PC, Mac e colunas inteligentes no dia 21 de abril. Esta funcionalidade melhora tarefas a nível do sistema, como a organização de documentos e a análise de dados, promovendo a colaboração entre dispositivos. Os utilizadores podem candidatar-se para testes através da Comunidade Xiaomi.
GateNews6h atrás
A Adobe Lança a Suíte de IA CX Enterprise para Automatizar o Marketing Corporativo com Parcerias OpenAI e Anthropic
A Adobe apresentou o CX Enterprise, um conjunto de IA destinado a automatizar e personalizar o marketing digital para empresas. Integra-se com as principais plataformas e é adoptado por agências de publicidade líderes para melhorar as interações com os clientes e potenciar o desempenho do marketing.
GateNews7h atrás
