A opção de privacidade do Cherry Studio não está a funcionar; mesmo ao desativar a recolha, continua a ser partilhada informação do dispositivo

Um cliente de secretária de IA open source, o Cherry Studio, foi identificado pelos utilizadores como tendo uma falha de privacidade no desenho: ao desligar a opção “Enviar anonimamente relatórios de erros e estatísticas de dados”, o cliente continua a enviar dados de identificação que incluem o ID do dispositivo, informações do sistema e a arquitetura da CPU. Após o utilizador do GitHub Yuerchu publicar capturas de ecrã da análise de tráfego na Issue #14387 , o programador kangfenmao reconheceu nos comentários que o problema é real.

Estrutura do problema: diferentes níveis de conformidade com a definição de “desligar” para três tipos de eventos

（Fonte: Github）

De acordo com uma auditoria ao código, o cliente do Cherry Studio reporta três tipos de eventos, mas há inconsistências fundamentais no comportamento de cada um:

Conversas de IA: segue normalmente as definições do utilizador; quando está desligado, não reporta.

Início da aplicação: contorna diretamente a definição, independentemente de como o utilizador a configure.

Verificação de atualizações: igualmente contorna diretamente a definição, independentemente de como o utilizador a configure.

Cada pedido enviado inclui um ID de dispositivo exclusivo e, além disso, inclui a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação, formando uma combinação de identificação para rastrear esta máquina ao longo do tempo.

Auditoria ao código: a opção foi removida propositadamente a 22 de março

Ao rever o código na comunidade, descobriu-se que, quando este mecanismo de reporte foi adicionado pela primeira vez em fevereiro de 2026, a opção era efetiva para os três tipos de eventos. Contudo, em 22 de março, o mantenedor kangfenmao submeteu uma alteração: não apenas removeu a lógica de verificação da opção para Início da aplicação e Verificação de atualizações, como também adicionou ainda mais informações de identificação do dispositivo aos cabeçalhos dos pedidos.

Este código com o problema esteve em execução de forma contínua em quatro versões — v1.8.3, v1.8.4, v1.9.0 e v1.9.1 — durante cerca de um mês, até ser descoberto pela comunidade e divulgado publicamente.

Falha antiga mais precoce: script oculto para reiniciar silenciosamente após a atualização

Ao acompanhar o código de versões antigas, a comunidade descobriu outra camada do problema: quando a funcionalidade de análise foi introduzida pela primeira vez em fevereiro de 2025, foi também embutido um script de atualização — sempre que um utilizador sobe a partir de uma versão antiga, a opção “estatísticas anónimas” é automaticamente ativada uma vez. Depois disso, embora o backend do serviço de análise tenha mudado de Google Analytics para PostHog e Sentry, e depois para o analytics.cherry-ai.com atualmente auto-hospedado, este script que reativa automaticamente a opção nunca foi removido.

O impacto real é o seguinte: utilizadores que instalaram o Cherry Studio antes de fevereiro de 2025 e que, posteriormente, fizeram quaisquer upgrades — independentemente de terem ou não desligado manualmente a definição anteriormente — terão a opção reativada silenciosamente após cada atualização, e terão de voltar a desligá-la manualmente após atualizar.

Problemas comuns

Que informações de dispositivos específicas o Cherry Studio recolhe?

De acordo com a auditoria ao código, cada pedido de reporte inclui: um ID de dispositivo único (rastreamento contínuo entre sessões), a versão do sistema operativo, a arquitetura da CPU e o número da versão da aplicação. Esta combinação de informações permite uma identificação e rastreio de longo prazo de dispositivos específicos no backend de análise; mesmo sem nome ou informações de conta, consegue formar uma impressão digital válida do dispositivo.

O conteúdo das conversas, chaves de API e outros dados sensíveis também são enviados?

O programador kangfenmao afirmou claramente que dados sensíveis como o conteúdo das conversas, entradas do utilizador, ficheiros e chaves de API não passam por este canal de reporte, não se encontram no âmbito dos dados afetados. O que está a ser transmitido atualmente são apenas metadados de identificação do dispositivo (metadata).

Que ação os utilizadores afetados devem tomar agora?

A versão corrigida foi integrada através da PR #14390, pelo que se recomenda atualizar imediatamente para a versão mais recente. Após a atualização, deve confirmar manualmente que a opção de estatísticas de privacidade está desligada — devido ao problema do script de upgrades antigos, a própria atualização pode voltar a ativar a opção. Se tiver requisitos elevados de privacidade, recomenda-se que, após a atualização, verifique através de uma ferramenta de monitorização de rede se foi interrompido o envio de pedidos para analytics.cherry-ai.com.