Klien desktop AI sumber terbuka Cherry Studio mengalami celah desain privasi yang ditemukan oleh pengguna: setelah mematikan opsi “mengirim laporan kesalahan dan statistik data secara anonim”, klien terus mengirim data identifikasi yang berisi ID perangkat, informasi sistem, dan arsitektur CPU. Pengguna GitHub Yuerchu memposting tangkapan layar hasil penangkapan paket di Issue #14387 , lalu pengembang kangfenmao mengakui dalam komentar bahwa masalahnya memang benar.
Struktur masalah: kepatuhan terhadap pengaturan “nonaktif” untuk tiga jenis kejadian tidaklah sama
(Sumber: Github)
Berdasarkan audit kode, klien Cherry Studio melaporkan tiga jenis kejadian, tetapi terdapat ketidakkonsistenan mendasar dalam perilaku ketiga kejadian tersebut:
Obrolan AI:secara normal mematuhi sakelar pengguna; setelah dimatikan, tidak melaporkan.
Peluncuran aplikasi:langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Pemeriksaan pembaruan:juga langsung melewati pengaturan sakelar; apa pun pengaturan pengguna, tetap akan melaporkan.
Setiap permintaan yang dikirim membawa ID perangkat khusus, ditambah dengan versi sistem operasi, arsitektur CPU, dan nomor versi aplikasi, membentuk kombinasi identifikasi pelacakan jangka panjang untuk perangkat tersebut.
Audit kode: sakelar secara sengaja dihapus pada 22 Maret
Dari penelusuran komunitas terhadap kode, ditemukan bahwa ketika mekanisme pelaporan ini baru ditambahkan pada Februari 2026, sakelar tersebut berlaku untuk ketiga jenis kejadian. Namun pada 22 Maret, maintainer kangfenmao sendiri mengirimkan sebuah modifikasi: bukan hanya menghapus logika penilaian sakelar untuk peluncuran aplikasi dan pemeriksaan pembaruan, tetapi juga menyelipkan lebih banyak informasi identifikasi perangkat ke dalam header permintaan.
Kode masalah ini dijalankan secara beruntun selama sekitar satu bulan pada empat versi, yaitu v1.8.3, v1.8.4, v1.9.0, dan v1.9.1, sebelum akhirnya ditemukan dan diungkapkan secara terbuka oleh komunitas.
Kekurangan lama yang lebih awal: skrip tersembunyi untuk memicu ulang “mulai ulang senyap” pada saat upgrade
Saat komunitas melacak kode versi lama, mereka juga menemukan lapisan masalah lain: ketika fungsi analitik pertama kali ditambahkan pada Februari 2025, sekaligus disisipkan sebuah skrip upgrade—selama pengguna melakukan upgrade dari versi lama, sakelar “statistik anonim” akan otomatis diaktifkan sekali. Setelah itu, backend layanan analitik sempat berganti dari Google Analytics ke PostHog dan Sentry, lalu ke analytics.cherry-ai.com yang kini dikelola sendiri, tetapi skrip yang otomatis mengaktifkan sakelar ini tidak pernah dihapus.
Dampak nyatanya adalah: pengguna yang telah memasang Cherry Studio sebelum Februari 2025 dan kemudian melakukan upgrade apa pun, terlepas dari apakah sebelumnya pernah mematikan pengaturan tersebut secara manual, akan selalu diaktifkan kembali secara senyap setiap kali setelah upgrade. Mereka perlu mematikannya kembali secara manual setelah upgrade.
FAQ
Informasi perangkat spesifik apa yang dikumpulkan Cherry Studio?
Berdasarkan audit kode, setiap permintaan pelaporan berisi: ID perangkat unik (melanjutkan pelacakan lintas sesi), versi sistem operasi, arsitektur CPU, serta nomor versi aplikasi. Kombinasi informasi ini memungkinkan backend analitik melakukan identifikasi dan pelacakan jangka panjang terhadap perangkat tertentu; meskipun tanpa nama atau informasi akun, tetap dapat membentuk sidik jari perangkat yang efektif.
Apakah data sensitif seperti isi obrolan, kunci API, dll. juga ikut terkirim?
kangfenmao selaku pengembang menyatakan dengan jelas bahwa data sensitif seperti isi obrolan, input pengguna, dokumen, dan kunci API tidak melewati jalur pelaporan ini, dan berada di luar cakupan data yang terdampak. Saat ini yang terkirim hanya metadata berupa identifikasi perangkat.
Tindakan apa yang harus dilakukan pengguna yang terdampak sekarang?
Versi perbaikan sudah digabungkan melalui PR #14390, dan disarankan untuk segera memperbarui ke versi terbaru. Setelah pembaruan, seharusnya konfirmasi secara manual bahwa sakelar statistik privasi dalam keadaan mati—karena masalah skrip upgrade lama, proses upgrade itu sendiri dapat berpotensi mengaktifkan sakelar lagi. Jika Anda memiliki persyaratan privasi yang lebih tinggi, disarankan untuk memverifikasi setelah pembaruan apakah permintaan ke analytics.cherry-ai.com telah benar-benar berhenti melalui alat pemantauan jaringan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
YouTube Menguji Alat Pencarian AI “Ask YouTube” yang Menggabungkan Jawaban Berbentuk Teks dan Video
YouTube sedang menguji fitur pencarian baru yang didukung AI bernama “Ask YouTube” yang memberikan jawaban langkah demi langkah dengan menggabungkan teks dan klip video, menurut Google. Alat ini saat ini tersedia untuk pelanggan YouTube Premium di AS yang berusia 18 tahun ke atas. Pengguna dapat mengetik kueri percakapan seperti
GateNews2jam yang lalu
Kambi Berkomitmen pada Piala Dunia Berbasis AI 100% yang Diperdagangkan Saat Otomasi Taruhan Q1 Mencapai 60%
Pemasok sportsbook B2B yang teregulasi, Kambi, melaporkan EBITDA Q1 2026 naik 63,5% year-on-year. CEO Werner Bercher mengulang pernyataannya bahwa seluruh Piala Dunia FIFA 2026 akan diberi harga dan dikelola risikonya oleh sistem trading berbasis AI miliknya, dengan data baru yang mendukung ucapannya—otomatisasi taruhan Q1 adalah
Coinpedia8jam yang lalu
Ant International Menghubungkan 150 Juta Pedagang Melalui Pembayaran Berbasis AI
Ant International mengatakan jaringan pembayarannya menghubungkan lebih dari 150 juta pedagang dengan lebih dari 2 miliar akun konsumen di seluruh dunia, mendukung lebih dari 300 metode pembayaran di 220 pasar.
Perusahaan ini menangani lebih dari 20 juta transaksi per hari rata-rata dan sedang melakukan ekspansi di Asia,
CryptoFrontier10jam yang lalu
Bandara Tokyo mulai memperkenalkan robot humanoid untuk mengangkut bagasi dan membersihkan kabin pada bulan Mei, krisis kekurangan tenaga kerja Jepang memanas
Japan Airlines mengumumkan bahwa mulai Mei 2026 di apron Bandara Haneda akan menguji robot humanoid untuk staf layanan darat, yang bertugas memuat dan membongkar kontainer kargo serta bagasi. Pengisian daya sekali kira-kira 2–3 jam, tanpa pemutusan karyawan secara keseluruhan, dengan pengujian hingga 2028. Ke depannya, robot ini berpotensi diperluas ke pembersihan kabin dan pengoperasian peralatan operasional darat; karena kekurangan tenaga kerja yang disebabkan oleh penuaan populasi dan lonjakan besar wisatawan yang masuk, robot dipandang sebagai solusi jangka panjang.
ChainNewsAbmedia10jam yang lalu
Proyek LinkedIn $450M Pendapatan Tahunan dari Alat Rekruter Berbasis AI
Menurut Reuters, LinkedIn mengumumkan pada 29 April bahwa alat perekrut berbasis AI yang dimilikinya diproyeksikan menghasilkan 450 juta dolar AS dalam penjualan tahunan selama setahun ke depan. Alat tersebut menggunakan agen AI untuk mencari profil 1 miliar anggota LinkedIn dan mengidentifikasi kandidat berdasarkan kebutuhan perekrut
GateNews11jam yang lalu
Sesi Stripe 2026: Bermitra dengan Google untuk menghadirkan belanja berbasis AI, dompet Link mendukung pembayaran mandiri untuk agent
Stripe mengumumkan 288 fitur baru dalam Sessions 2026, membangun fondasi infrastruktur bisnis native AI secara menyeluruh: mendorong integrasi belanja berbasis AI bersama Google, pembayaran mandiri oleh AI Agent, Link Wallet untuk melindungi informasi pembayaran dengan kartu virtual sekali pakai, serta mengharuskan pengguna menyetujui setiap transaksi satu per satu; Stripe Treasury ditingkatkan sepenuhnya, mendukung multi-mata uang, transfer global, transfer gratis pada hari yang sama, insentif stablecoin, dan cashback 2% tunai, yang bertujuan menjadi lapisan pembayaran inti di era ekonomi AI.
ChainNewsAbmedia11jam yang lalu
