O cliente desktop de IA open-source Cherry Studio foi identificado por usuários com uma falha de privacidade no design: depois de desligar a opção de “enviar relatórios de erros e estatísticas de dados anonimamente”, o cliente continua enviando dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura de CPU. O usuário do GitHub Yuerchu publicou capturas de tela do rastreamento em uma Issue #14387 e, após isso, o desenvolvedor kangfenmao admitiu nos comentários que o problema é real.
Estrutura do problema: três tipos de eventos apresentam níveis diferentes de conformidade com a configuração “desativar”
(Fonte: Github)
De acordo com auditoria de código, o cliente do Cherry Studio relata três tipos de eventos, mas existe uma inconsistência fundamental no comportamento de cada um:
Conversa de IA: segue normalmente as preferências do usuário; após o desligamento, não reporta.
Inicialização do aplicativo: contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Verificação de atualização: também contorna diretamente a configuração de desligamento; independentemente de como o usuário tenha configurado, sempre reporta.
Cada solicitação enviada traz um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operacional, a arquitetura de CPU e o número da versão do aplicativo, formando um conjunto de identificação para rastreamento de longo prazo desta máquina.
Auditoria de código: a chave foi removida de propósito em 22 de março
A comunidade vasculhou o código e descobriu que, quando esse mecanismo de reporte foi adicionado em fevereiro de 2026, a chave funcionava para os três tipos de eventos. No entanto, em 22 de março, o mantenedor kangfenmao enviou uma alteração por conta própria: não apenas removeu a lógica de verificação das chaves de inicialização do aplicativo e verificação de atualização, como também inseriu mais informações de identificação do dispositivo nos cabeçalhos das solicitações.
Esse código com o problema ficou executando continuamente por cerca de um mês entre as versões v1.8.3, v1.8.4, v1.9.0 e v1.9.1, até ser descoberto pela comunidade e divulgado publicamente.
Falha antiga ainda mais cedo: um script oculto para reativar silenciosamente a chave após upgrade
Ao acompanhar o código de versões mais antigas, a comunidade encontrou outra camada de problema: em fevereiro de 2025, quando a função de análise foi adicionada pela primeira vez, também foi embutido um script de upgrade. Assim que o usuário faz upgrade a partir de uma versão antiga, a chave de “estatísticas anônimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado do Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atual (hospedado por conta própria), esse script que reativa automaticamente a chave nunca foi removido.
O impacto real é o seguinte: para usuários que instalaram o Cherry Studio antes de fevereiro de 2025 e, depois disso, fizeram qualquer upgrade, independentemente de terem desligado manualmente a configuração anteriormente, a chave será reativada silenciosamente a cada upgrade. Isso exige que a chave seja desligada manualmente novamente após o upgrade.
Perguntas frequentes
O Cherry Studio coleta especificamente quais informações do dispositivo?
De acordo com a auditoria do código, cada solicitação de reporte inclui: um ID de dispositivo único (mantém rastreamento entre sessões), a versão do sistema operacional, a arquitetura da CPU e o número da versão do aplicativo. A combinação dessas informações permite identificar e rastrear um dispositivo específico no backend de análises por um longo período; mesmo sem nome ou informações de conta, ainda consegue formar uma impressão digital (fingerprint) de dispositivo eficaz.
Conteúdo de chat, chaves de API e outros dados sensíveis também são enviados?
O desenvolvedor kangfenmao afirmou claramente que dados sensíveis como conteúdo do chat, entradas do usuário, documentos e chaves de API não passam por esse canal de reporte, portanto não estão dentro do escopo afetado. O que está sendo enviado até agora são apenas metadados de identificação do dispositivo (metadata).
Que ação os usuários afetados devem tomar agora?
A versão com correção foi integrada via PR #14390; recomenda-se atualizar imediatamente para a versão mais recente. Após atualizar, deve-se confirmar manualmente se a chave de estatísticas de privacidade está desligada — devido ao problema do script antigo de upgrade, o próprio processo de upgrade pode novamente ligar a chave. Se houver exigência alta de privacidade, recomenda-se, após a atualização, verificar usando uma ferramenta de monitoramento de rede se as solicitações para analytics.cherry-ai.com foram realmente interrompidas.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
ProCap Financial faz parceria com a Kalshi para oferecer serviço de pesquisa em mercados de previsão
Resumo: ProCap Financial, liderada por Anthony Pompliano, faz parceria com a Kalshi para oferecer pesquisa com IA usando os dados em tempo real da Kalshi dentro do ProCap Insights. O serviço, o primeiro a licenciar dados da Kalshi para uma empresa de pesquisa paga, tem como objetivo publicar análises de mercado, estratégias e sinais de precificação incorreta em meio a uma regulamentação e prioridades de fiscalização em evolução.
Resumo: A ProCap faz parceria com a Kalshi para fornecer pesquisa orientada por IA sobre mercados de previsão, integrando dados da Kalshi; tem como objetivo revelar precificações incorretas, tendências e estratégias em meio a uma regulamentação em evolução.
GateNews4h atrás
Cobo Lança Carteira Agentic com IA que Suporta 80+ Blockchains com Segurança de Computação Multipartite
Mensagem do Gate News, 21 de abril — A empresa de custódia de ativos digitais Cobo, com sede em Singapura, revelou em 20 de abril a Cobo Agentic Wallet, um novo produto projetado para permitir que sistemas de inteligência artificial executem transações na blockchain de forma independente dentro de um framework seguro e controlado. A carteira permite
GateNews9h atrás
DDC Enterprise Lança Sistema Operacional de IA de Tesouraria de Bitcoin com Estrutura Treasury Graph
Mensagem de Notícias da Gate, 21 de abril — A DDC Enterprise, uma empresa de capital aberto dos EUA, anunciou o lançamento da "DDC Treasury Intelligence Platform", um sistema operacional de IA projetado para a gestão do caixa de reserva de bitcoin em empresas. Desenvolvida em colaboração com a Appnovation, a plataforma utiliza grandes modelos de linguagem
GateNews10h atrás
Portal lança 2.0 com foco em IA nativa, liderado pelo ex-diretor da Ubisoft, Benjamin Charbit
Mensagem do Gate News, 21 de abril — A Portal, uma plataforma de jogos cross-chain, anunciou o lançamento do Portal 2.0, impulsionado por uma nova equipe de liderança apoiada pela Animoca Brands. Benjamin Charbit, ex-diretor de jogos da Ubisoft, foi nomeado CEO. A plataforma está mudando seu foco estratégico para
GateNews10h atrás
O Bitcoin ultrapassa $75K enquanto as esperanças de cessar-fogo impulsionam a alta
O Bitcoin subiu com a demanda dos ETFs, enquanto mineradores venderam BTC; as margens se apertaram e as mudanças com foco em IA/HPC podem transformar mineradores em players de data center de IA, potencialmente elevando as avaliações à medida que a demanda por IA cresce.
Resumo: O Bitcoin subiu com a demanda dos ETFs, em meio a vendas de mineradores e margens apertadas. O relatório destaca uma virada estratégica de mineradores públicos em direção à infraestrutura de IA/HPC, sinalizando uma possível mudança do puro mining de bitcoin para serviços de data center de IA e múltiplos de avaliação mais altos.
CryptoFrontier13h atrás
O lançamento do framework de agentes de IA para conformidade financeira e pagamentos da MetaComp em Singapura
A MetaComp estreia o StableX Know Your Agent para IA regulada em pagamentos, combinando análises multi-fornecedor para reduzir drasticamente taxas de “clean” falsas, com o AgentX Skills oferecendo suporte ao Claude; busca possibilitar finanças transfronteiriças auditáveis por meio de AI Skills baixáveis.
Resumo: A MetaComp apresenta o framework StableX Know Your Agent para governar agentes de IA em pagamentos e gestão de patrimônio regulados, cobrindo identidade, permissões, monitoramento, auditoria e interações entre agentes. Ele reduz falsos positivos por meio de análises paralelas de múltiplos fornecedores e permite finanças transfronteiriças auditáveis por meio de AI Skills baixáveis (AgentX), começando com suporte ao Claude e expansão em regiões.
GateNews14h atrás
