El cliente de escritorio de IA de código abierto Cherry Studio presenta una falla de privacidad tras ser descubierto por usuarios: al desactivar la opción de “enviar informes de errores y estadísticas de datos de forma anónima”, el cliente sigue enviando datos de identificación que incluyen el ID del dispositivo, información del sistema y la arquitectura de la CPU. El usuario de GitHub Yuerchu publicó capturas del tráfico en Issue #14387 , y el desarrollador kangfenmao reconoció en los comentarios que el problema es real.
Estructura del problema: distintos niveles de cumplimiento de la opción de “desactivar” para tres tipos de eventos
(Fuente:Github)
Según una auditoría del código, el cliente de Cherry Studio informa tres tipos de eventos, pero el comportamiento de los tres es fundamentalmente inconsistente:
Diálogos de IA: cumple normalmente con la configuración del usuario; después de desactivarlo, no se informa.
Inicio de la aplicación: elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Comprobación de actualizaciones: también elude directamente la configuración del interruptor; se informa independientemente de cómo el usuario la configure.
Cada solicitud enviada incluye un ID de dispositivo exclusivo, además de la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación, formando una combinación de identificación de seguimiento a largo plazo de ese dispositivo.
Auditoría del código: el interruptor se eliminó a propósito el 22 de marzo
Al revisar el código, la comunidad encontró que cuando el mecanismo de reporte se añadió por primera vez en febrero de 2026, el interruptor era efectivo para los tres tipos de eventos. Sin embargo, el 22 de marzo, el mantenedor kangfenmao envió una modificación: no solo eliminó la lógica de verificación del interruptor de inicio de la aplicación y de comprobación de actualizaciones, sino que también, de paso, introdujo más información de identificación del dispositivo en los encabezados de la solicitud.
Este código con el problema se ejecutó continuamente durante aproximadamente un mes en cuatro versiones: v1.8.3, v1.8.4, v1.9.0 y v1.9.1, hasta que la comunidad lo descubrió y lo divulgó públicamente.
Fallos antiguos aún más tempranos: un script oculto que reabre en silencio el interruptor al actualizar
Al rastrear el código de versiones anteriores, la comunidad también descubrió otra capa de problemas: cuando la función de análisis se incorporó por primera vez en febrero de 2025, también se incrustó un script de actualización. Solo para los usuarios que vienen de una versión anterior, el interruptor de “estadísticas anónimas” se activa automáticamente una vez. Después, aunque el backend del servicio de análisis cambió sucesivamente de Google Analytics a PostHog y a Sentry, y luego a analytics.cherry-ai.com, el script que vuelve a abrir automáticamente el interruptor nunca se eliminó.
El impacto real es este: los usuarios que instalaron Cherry Studio antes de febrero de 2025 y luego realizaron cualquier actualización, sin importar si anteriormente lo habían apagado manualmente, después de cada actualización el interruptor vuelve a abrirse en silencio, y es necesario cerrarlo manualmente de nuevo tras la actualización.
Preguntas frecuentes
¿Qué información de dispositivos recopila específicamente Cherry Studio?
Según la auditoría del código, cada solicitud de reporte contiene: un ID de dispositivo único (seguimiento continuo entre sesiones), la versión del sistema operativo, la arquitectura de la CPU y el número de versión de la aplicación. La combinación de esta información permite realizar identificación y seguimiento a largo plazo de dispositivos específicos en el backend de análisis; incluso sin datos de nombre o cuenta, puede formar una huella de dispositivo efectiva.
¿También se envía contenido del chat, claves de API u otros datos sensibles?
El desarrollador kangfenmao indica con claridad que los datos sensibles como el contenido del chat, las entradas del usuario, los documentos y las claves de API no pasan por este canal de reporte, y no están dentro del alcance de los datos afectados. Por el momento, lo que se transmite únicamente son metadatos de tipo identificación de dispositivos (metadata).
¿Qué acción deben tomar ahora los usuarios afectados?
La versión corregida se ha fusionado mediante PR #14390, y se recomienda actualizar de inmediato a la versión más reciente. Después de actualizar, se debe confirmar manualmente que el interruptor de estadísticas de privacidad está en estado de apagado. Debido al problema del script de actualización anterior, la propia actualización podría volver a abrir el interruptor. Si tiene requisitos más estrictos de privacidad, se recomienda verificar después de la actualización, mediante herramientas de monitoreo de red, si se ha detenido el envío de solicitudes a analytics.cherry-ai.com.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
DeepSeek V4-Flash se lanza en Ollama Cloud, servidor en EE. UU.: Claude Code, OpenClaw con un clic para conectar
Ollama Cloud ha publicado DeepSeek V4-Flash, con inferencia en servidores en Estados Unidos, y ofrece tres conjuntos de comandos de un solo clic para conectarse a Claude Code, OpenClaw y Hermes. V4-Flash/V4-Pro adoptan una arquitectura MoE, cuentan con soporte nativo de contexto 1M, y reducen costos con compresión Token-wise + atención dispersa DSA, logrando una reducción del 27% en FLOPs por token y una disminución del 10% en caché KV en escenarios de 1M. La API es compatible con OpenAI ChatCompletions y Anthropic, lo que facilita el cambio entre múltiples flujos de trabajo, y reduce el costo y el riesgo de soberanía de los datos.
ChainNewsAbmediahace13h
OristaPay lanza un sistema de pagos impulsado por IA en Telegram, habilita liquidaciones instantáneas de USDT en TON
Mensaje de Gate News, 24 de abril — OristaPay, una marca que opera bajo RD Technologies, anunció una vía de pago completa que permite a los agentes de IA ejecutar transacciones dentro del ecosistema de Telegram durante el Festival Web3 de Hong Kong. El sistema permite a los usuarios activar transacciones de activos digitales mediante interacciones de lenguaje natural sin salir de la interfaz de chat.
Durante una demostración en vivo, un agente de IA impulsado por BytePlus procesó una solicitud de servicio, interpretó la intención del usuario e inició el pago a través del canal de OristaPay. La transacción se completó al instante usando USDT en la red de blockchain TON. La infraestructura de la plataforma se construye sobre cinco capacidades financieras fundamentales: cuentas por cobrar, cuentas por pagar, depósitos, remesas y gestión patrimonial, creando un ecosistema unificado que conecta activos de blockchain con casos de uso comerciales.
OristaPay proporciona a los desarrolladores interfaces estandarizadas para integrar funcionalidades de pago en aplicaciones de IA con una complejidad mínima. La plataforma opera bajo el marco regulatorio de Hong Kong, posicionándola como una solución segura para empresas que hacen la transición hacia el comercio basado en Web3. La iniciativa busca abordar las limitaciones de las pasarelas de pago tradicionales combinando modelos de lenguaje a gran escala, infraestructura blockchain y plataformas sociales en un único ecosistema financiero.
GateNewshace17h
DBS amplía el programa de GenAI de Spark para las PYMES de Singapur
DBS anunció el 24 de abril la expansión de su programa Spark GenAI, desarrollado en asociación con Enterprise Singapore y la Autoridad de Desarrollo de Infocomm Media (IMDA), para apoyar a las pequeñas y medianas empresas locales (SMEs) en la adopción de inteligencia artificial. El programa utiliza una estructura de tres niveles
CryptoFrontierhace17h
Succinct Labs lanza la app iPhone ZCAM usando criptografía para combatir contenido generado por IA
Mensaje de Gate News, 24 de abril — Succinct Labs, respaldada por Paradigm, presentó ZCAM el jueves, una app para iPhone que usa criptografía para crear huellas digitales de fotos y videos con el fin de combatir el contenido generado y modificado por IA. La app firma fotos y videos en el momento de la captura, produciendo un registro a prueba de manipulaciones
GateNewshace21h
Claude amplía la funcionalidad de conectividad a aplicaciones cotidianas, integrando herramientas para el ocio y el entretenimiento y para el gasto de consumo
Claude amplía Connectors, agrega herramientas cotidianas como AllTrails, Booking, Instacart, Audible, Spotify, TripAdvisor, y puede ayudar en tareas de ocio, viajes y declaración de impuestos en las conversaciones, recomendar dinámicamente herramientas según el contexto y poder usar varias herramientas al mismo tiempo. Disponible en escritorio, en pruebas en dispositivos móviles; mantiene la privacidad sin anuncios y basada en la autorización, y no usa datos para entrenar.
ChainNewsAbmedia04-24 00:35
