Selon les nouvelles de ME, le 20 avril (UTC+8), selon les données de Beating, le client AI open source Cherry Studio a été découvert par les utilisateurs comme présentant un dysfonctionnement de l’interrupteur de confidentialité. L’utilisateur GitHub Yuerchu a publié des captures d’écran de capture de paquets dans l’issue #14387 : même après avoir désactivé l’option « Envoyer anonymement des rapports d’erreurs et des statistiques », le client continue d’envoyer des requêtes vers analytics.cherry-ai.com. Cherry Studio, dirigé par le développeur chinois kangfenmao, prend en charge l’agrégation de plusieurs grands modèles et une base de connaissances locale, et est l’un des clients AI de bureau open source les plus populaires en Chine. Le client envoie trois types d’événements : chaque conversation AI, chaque démarrage de l’application et chaque vérification de mise à jour. Seule la conversation respecte les paramètres utilisateur ; les deux autres contournent directement l’interrupteur. Chaque requête inclut un ID d’appareil unique, ainsi que des informations système, l’architecture CPU et la version de l’application, ce qui équivaut à un suivi persistant de cet ordinateur. L’analyse du code révèle que lors de l’ajout de ce mécanisme de transmission en février 2026, l’interrupteur fonctionnait correctement. Le 22 mars, le mainteneur kangfenmao a modifié lui-même le code, supprimant la vérification de l’interrupteur et intégrant davantage d’informations sur l’appareil dans les en-têtes des requêtes. Cette modification a été déployée dans les versions v1.8.3, v1.8.4, v1.9.0 et v1.9.1 pendant un mois. kangfenmao a reconnu le problème dans l’issue, expliquant que différents événements utilisaient des logiques distinctes pour vérifier l’interrupteur, et que les requêtes liées au démarrage de l’application et à la vérification des mises à jour n’étaient pas bloquées après désactivation du paramètre ; les données sensibles telles que le contenu des conversations, les entrées utilisateur, les fichiers et les clés API ne transitaient pas par ce canal. Le PR #14390 de correction a été fusionné, unifiant désormais les trois événements sous un seul interrupteur. Il existe toutefois une couche plus ancienne à cette affaire. La communauté a retrouvé dans le code ancien qu’au moment où la fonction d’analyse a été ajoutée pour la première fois en février 2025, un script de mise à jour a été intégré en même temps : tout utilisateur ayant mis à jour depuis une version antérieure voyait automatiquement son interrupteur « Statistiques anonymes » activé une fois. Depuis lors, le backend du service d’analyse a été remplacé plusieurs fois — passant de Google Analytics à PostHog, puis à Sentry, avant d’arriver à analytics.cherry-ai.com actuel — mais ce code d’activation automatique n’a jamais été supprimé. Autrement dit, tout utilisateur ayant installé Cherry Studio avant février 2025 et ayant effectué une mise à jour par la suite a vu son interrupteur réactivé automatiquement lors de la mise à jour, même s’il l’avait manuellement désactivé auparavant ; pour le désactiver à nouveau, il faut effectuer une nouvelle mise à jour puis le désactiver manuellement. (Source : BlockBeats)
Le commutateur de confidentialité de Cherry Studio s'est révélé inefficace, les informations de l'appareil sont toujours envoyées
KuCoinFlashPartager
Résumé
Les actualités sur l’IA et la crypto ont émergé le 20 avril (UTC+8) lorsque MetaEra a rapporté que Cherry Studio, un client IA open-source, continuait d’envoyer des données d’appareil même après que les utilisateurs avaient désactivé le commutateur de confidentialité. L’utilisateur GitHub Yuerchu a partagé des captures de paquets montrant que les requêtes vers analytics.cherry-ai.com persistaient. Le développeur kangfenmao a confirmé que le problème provenait d’une logique de commutateur incohérente entre les types d’événements. Un correctif a été fusionné pour uniformiser le commutateur pour tous les événements. Par ailleurs, un script de mise à jour de février 2025 a réactivé l’analytique pour les utilisateurs plus anciens, remplaçant ainsi les paramètres précédents. Les données sur l’inflation et la surveillance réglementaire restent des préoccupations majeures pour le secteur.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.