El cliente de escritorio de IA de código abierto Cherry Studio presenta una falla de privacidad tras ser descubierto por usuarios: al desactivar la opción de “enviar informes de errores y estadísticas de datos de forma anónima”, el cliente sigue enviando datos de identificación que incluyen el ID del dispositivo, información del sistema y la arquitectura de la CPU. El usuario de GitHub Yuerchu publicó capturas del tráfico en Issue #14387 , y el desarrollador kangfenmao reconoció en los comentarios que el problema es real.
Estructura del problema: distintos niveles de cumplimiento de la opción de “desactivar” para tres tipos de eventos
(Fuente:Github)
Según una auditoría del código, el cliente de Cherry Studio informa tres tipos de eventos, pero el comportamiento de los tres es fundamentalmente inconsistente:
Diálogos de IA: cumple normalmente con la configuración del usuario; después de desactivarlo, no se informa.
Inicio de la aplicación: elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Comprobación de actualizaciones: también elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Cada solicitud enviada incluye un ID de dispositivo exclusivo, además de la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación, formando una combinación de identificación de seguimiento a largo plazo de ese dispositivo.
Auditoría del código: el interruptor se eliminó a propósito el 22 de marzo
Al revisar el código, la comunidad encontró que cuando el mecanismo de reporte se añadió por primera vez en febrero de 2026, el interruptor era efectivo para los tres tipos de eventos. Sin embargo, el 22 de marzo, el mantenedor kangfenmao envió una modificación: no solo eliminó la lógica de verificación del interruptor de inicio de la aplicación y de comprobación de actualizaciones, sino que también, de paso, introdujo más información de identificación del dispositivo en los encabezados de la solicitud.
Este código con el problema se ejecutó continuamente durante aproximadamente un mes en cuatro versiones: v1.8.3, v1.8.4, v1.9.0 y v1.9.1, hasta que la comunidad lo descubrió y lo divulgó públicamente.
Fallos antiguos aún más tempranos: un script oculto que reabre en silencio el interruptor al actualizar
Al rastrear el código de versiones anteriores, la comunidad también descubrió otra capa de problemas: cuando la función de análisis se incorporó por primera vez en febrero de 2025, también se incrustó un script de actualización. Solo para los usuarios que vienen de una versión anterior, el interruptor de “estadísticas anónimas” se activa automáticamente una vez. Después, aunque el backend del servicio de análisis cambió sucesivamente de Google Analytics a PostHog y a Sentry, y luego a analytics.cherry-ai.com, el script que vuelve a abrir automáticamente el interruptor nunca se eliminó.
El impacto real es este: los usuarios que instalaron Cherry Studio antes de febrero de 2025 y luego realizaron cualquier actualización, sin importar si anteriormente lo habían apagado manualmente, después de cada actualización el interruptor vuelve a abrirse en silencio, y es necesario cerrarlo manualmente de nuevo tras la actualización.
Preguntas frecuentes
¿Qué información de dispositivos recopila específicamente Cherry Studio?
Según la auditoría del código, cada solicitud de reporte contiene: un ID de dispositivo único (seguimiento continuo entre sesiones), la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación. La combinación de esta información permite realizar identificación y seguimiento a largo plazo de dispositivos específicos en el backend de análisis; incluso sin datos de nombre o cuenta, puede formar una huella de dispositivo efectiva.
¿También se envía contenido del chat, claves de API u otros datos sensibles?
El desarrollador kangfenmao indica con claridad que los datos sensibles como el contenido del chat, las entradas del usuario, los documentos y las claves de API no pasan por este canal de reporte, y no están dentro del alcance de los datos afectados. Por el momento, lo que se transmite únicamente son metadatos de tipo identificación de dispositivos (metadata).
¿Qué acción deben tomar ahora los usuarios afectados?
La versión corregida se ha fusionado mediante PR #14390, y se recomienda actualizar de inmediato a la versión más reciente. Después de actualizar, se debe confirmar manualmente que el interruptor de estadísticas de privacidad está en estado de apagado. Debido al problema del script de actualización anterior, la propia actualización podría volver a abrir el interruptor. Si tiene requisitos más estrictos de privacidad, se recomienda verificar después de la actualización, mediante herramientas de monitoreo de red, si se ha detenido el envío de solicitudes a analytics.cherry-ai.com.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Cobo lanza una wallet agentic impulsada por IA que admite 80+ blockchains con seguridad de computación multipartita
Mensaje de Gate News, 21 de abril — La empresa de custodia de activos digitales Cobo, con sede en Singapur, presentó el 20 de abril la Cobo Agentic Wallet, un nuevo producto diseñado para permitir que los sistemas de inteligencia artificial ejecuten transacciones en blockchain de forma independiente dentro de un marco seguro y controlado. La wallet permite
GateNewshace4h
DDC Enterprise lanza un sistema operativo de IA para tesorería de bitcoin con el marco Treasury Graph
Mensaje de Gate News, 21 de abril — DDC Enterprise, una empresa estadounidense cotizada públicamente, anunció el lanzamiento de "DDC Treasury Intelligence Platform", un sistema operativo de IA diseñado para la gestión de reservas de bitcoin a nivel empresarial. Desarrollada en colaboración con Appnovation, la plataforma aprovecha modelos de lenguaje de gran tamaño
GateNewshace5h
Portal lanza 2.0 con un enfoque nativo de IA, liderado por el ex director de Ubisoft Benjamin Charbit
Mensaje de Gate News, 21 de abril — Portal, una plataforma de juegos cross-chain, anunció el lanzamiento de Portal 2.0, impulsado por un nuevo equipo de liderazgo respaldado por Animoca Brands. Benjamin Charbit, ex director de juegos en Ubisoft, ha sido nombrado CEO. La plataforma está cambiando su enfoque estratégico hacia
GateNewshace6h
Bitcoin supera $75K mientras las esperanzas de un alto el fuego impulsan la subida
Bitcoin subió por la demanda de ETF mientras los mineros vendían BTC; los márgenes se ajustaron y los cambios enfocados en IA/HPC podrían convertir a los mineros en jugadores de centros de datos de IA, lo que potencialmente impulsaría las valoraciones a medida que crece la demanda de IA.
Resumen: Bitcoin subió por la demanda de ETF en medio de la venta de los mineros y de márgenes ajustados. El informe destaca un giro estratégico de los mineros públicos hacia la infraestructura de IA/HPC, señalando un posible cambio de la minería de bitcoin como actividad pura a servicios de centros de datos de IA y múltiplos de valoración más altos.
CryptoFrontierhace9h
新加坡的 MetaComp 推出用于金融合规与支付的 AI 代理框架
MetaComp 推出 StableX Know Your Agent,用于受监管的 AI 支付,结合多供应商分析以降低误清率,并通过 AgentX Skills 支持 Claude;旨在通过可下载的 AI Skills 实现可审计的跨境金融。
摘要:MetaComp 介绍 StableX Know Your Agent 框架,以治理受监管支付与财富管理中的 AI 代理,涵盖身份、权限、监控、审计以及代理到代理的交互。它通过来自多个供应商的并行分析降低误报,并通过可下载的 AI Skills (AgentX) 实现可审计的跨境金融;从 Claude 支持开始,并在各地区扩展。
GateNewshace10h
DeepX y el Grupo Hyundai Motor desarrollan una plataforma de chips de IA de bajo consumo para robots
DeepX de Corea del Sur y el Laboratorio de Robótica del Grupo Hyundai Motor están colaborando en una plataforma de cómputo de IA de bajo consumo para aplicaciones robóticas en tiempo real. Utilizando el chip DX-M2 de DeepX, la asociación busca optimizar la robótica con costos y consumo de energía reducidos, reflejando una tendencia hacia chips especializados en la industria.
GateNewshace12h
