تم الإبلاغ عن ثغرة في تصميم الخصوصية في عميل سطح مكتب مفتوح المصدر للذكاء الاصطناعي Cherry Studio بعد أن اكتشفها المستخدمون: بعد إيقاف خيار «إرسال تقارير الأخطاء والإحصاءات بشكل مجهول»، يواصل العميل إرسال بيانات تعريف تتضمن معرف الجهاز ومعطيات النظام وبنية وحدة المعالجة المركزية. بعد أن نشر مستخدم GitHub Yuerchu لقطة شاشة لعملية التقاط الحزم ضمن Issue #14387 ، اعترف المطور kangfenmao في التعليقات بأن المشكلة حقيقية.
بنية المشكلة: ثلاث حالات أحداث بدرجات متفاوتة من الالتزام بإعداد «الإيقاف»
(المصدر:Github)
وفقًا لتدقيق الشيفرة، يقوم عميل Cherry Studio بالإبلاغ عن ثلاث أنواع من الأحداث، لكن سلوك الأنواع الثلاثة غير متسق جذريًا:
محادثة الذكاء الاصطناعي: يلتزم عادةً بإعدادات المستخدم، ولا يتم الإبلاغ بعد الإيقاف.
بدء التطبيق: يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
فحص التحديثات: كذلك يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
تتضمن كل طلبات الإرسال معرف جهاز مخصص، بالإضافة إلى إصدار نظام التشغيل وبنية وحدة المعالجة المركزية ورقم إصدار التطبيق، ما يشكل مجموعة تعريفية للتعقب طويل الأمد لهذا الجهاز.
تدقيق الشيفرة: تم إزالة التبديل عمدًا في 22 مارس
عند مراجعة الشيفرة التي تم مشاركتها من المجتمع، تبين أنه عندما تم إدخال آلية الإبلاغ هذه لأول مرة في فبراير 2026 كانت التبديلات فعّالة لجميع أنواع الأحداث الثلاثة. ومع ذلك، في 22 مارس، قدم الصيانة kangfenmao بنفسه تعديلًا، إذ لم يقتصر الأمر على حذف منطق التحقق من تبديل بدء التطبيق وفحص التحديثات، بل قام أيضًا بإدخال المزيد من معلومات تعريف الجهاز في رؤوس الطلبات.
تم تشغيل هذا الرمز المعيب بشكل متواصل في الإصدارات الأربعة v1.8.3 وv1.8.4 وv1.9.0 وv1.9.1 لمدة تقارب شهر، قبل أن يكتشفه المجتمع ويتم الكشف عنه علنًا.
ثغرة أقدم: سكربت خفي لإعادة تشغيل التبديل عند الترقية بشكل صامت
عند تتبع كود الإصدارات الأقدم، اكتشف المجتمع طبقة أخرى من المشكلة: عندما تمت إضافة ميزة التحليل لأول مرة في فبراير 2025، تم أيضًا تضمين سكربت ترقية — بحيث عند الترقية من إصدار قديم، يتم تشغيل تبديل «الإحصاءات المجهولة» تلقائيًا مرة واحدة. بعد ذلك، ورغم أن خادم خدمة التحليل الخلفي انتقل لاحقًا من Google Analytics إلى PostHog وSentry، ثم إلى analytics.cherry-ai.com الحالي الذي تم بناؤه ذاتيًا، فإن هذا السكربت الذي يقوم بتشغيل التبديل تلقائيًا لم تتم إزالته.
الأثر الفعلي هو: المستخدمون الذين قاموا بتثبيت Cherry Studio قبل فبراير 2025 ثم أجروا أي ترقية بعد ذلك، بغض النظر عما إذا كانوا قد أغلقوا الإعداد يدويًا سابقًا، سيتم تشغيله مرة أخرى بهدوء بعد كل ترقية، ما يتطلب إيقافه يدويًا مرة ثانية بعد الترقية.
الأسئلة الشائعة
ما هي معلومات الأجهزة التي تجمعها Cherry Studio بالتحديد؟
وفقًا لتدقيق الشيفرة، تتضمن كل طلبات الإبلاغ ما يلي: معرف جهاز فريد (للتعقب المستمر عبر الجلسات)، وإصدار نظام التشغيل، وبنية وحدة المعالجة المركزية، ورقم إصدار التطبيق. يمكن أن تتيح هذه المعلومات مجتمعة إجراء تعريف وتتبع طويل الأمد لجهاز محدد على خادم التحليل، وحتى بدون الاسم أو معلومات الحساب يمكنها تكوين بصمة جهاز فعّالة.
هل يتم إرسال بيانات حساسة مثل محتوى الدردشة ومفاتيح API؟
صرّح المطور kangfenmao بشكل واضح بأن البيانات الحساسة مثل محتوى الدردشة ومدخلات المستخدم والملفات ومفاتيح API لا تمر عبر مسار الإبلاغ هذا، وبالتالي لا تقع ضمن نطاق البيانات المتأثرة. ما يتم إرساله حاليًا هو فقط بيانات تعريفية من نوع الأجهزة (metadata).
ما الإجراء الذي يجب على المستخدمين المتأثرين اتخاذه الآن؟
تم دمج نسخة الإصلاح عبر PR #14390، ويُنصح بتحديثها فورًا إلى أحدث إصدار. بعد التحديث، يجب التأكد يدويًا من أن تبديل إحصاءات الخصوصية في وضع الإيقاف—نظرًا لمشكلة سكربتات الترقية القديمة، قد تؤدي عملية الترقية نفسها مرة أخرى إلى تشغيل التبديل. إذا كانت متطلبات الخصوصية لديك مرتفعة، يُنصح بعد التحديث بالتحقق عبر أدوات مراقبة الشبكة من أن إرسال الطلبات إلى analytics.cherry-ai.com قد توقف.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تطلق Particle Network خريطة طريق الحسابات الشاملة، وتطرح حزمة تطوير الإيداع الشاملة (SDK) وحسابات وكيل ذكاء اصطناعي
وفقاً لـChainCatcher، أطلقت Particle Network اليوم خارطة طريق المرحلة التالية للحسابات الشاملة (Universal Accounts)، مقدمة منتجين جديدين خلال الأشهر المقبلة: Universal Deposit SDK، الذي يمكّن المطورين من إضافة إيداعات متعددة السلاسل بحوالي 10 أسطر من الشيفرة، وUniversal Agent Accounts،
GateNewsمنذ 6 س
ارتفعت إيرادات شركة Riot Platforms في الربع الأول من عام 2026 إلى 167.2 مليون دولار مع إطلاق مركز بيانات
أفادت شركة تعدين البيتكوين Riot Platforms بأن إيراداتها الفصلية الإجمالية بلغت 167.2 مليون دولار في الربع الأول من 2026، مقارنة بـ 161.4 مليون دولار في الفترة نفسها من 2025، إذ حققت الشركة 33.2 مليون دولار من عمليات مركز البيانات التي أطلقتها حديثاً لتقديم خدمات استضافة البنية التحتية للذكاء الاصطناعي. وقد دفع هذا الإنجاز الرئيس التنفيذي جيسون ليس…
CryptoFrontierمنذ 7 س
إطلاق برنامج ذكاء اصطناعي من Roblox لمنافسة Unity وEpic Games
وفقاً لـ Bloomberg، تطلق Roblox برنامجاً جديداً للذكاء الاصطناعي للتنافس مع Unity Technologies وEpic Games، اللتين تهيمن محركاتهما على تطوير ألعاب بميزانيات كبيرة. قال الرئيس التنفيذي Dave Baszucki إن الأداة تهدف إلى مساعدة المبدعين على إنشاء ألعاب متعددة اللاعبين برسومات فوتوغرافية واقعية بسهولة أكبر، مدعومة بـ ar
GateNewsمنذ 11 س
الأسطول البحري الأمريكي يوقّع عقداً بقيمة تقارب 100 مليون دولار مع Domino Data Lab لتأمين الكشف عن الألغام في مضيق هرمز
وفقاً لوكالة أنباء شينخوا، وقّعت قيادة أنظمة الحرب المعلوماتية التابعة للبحرية الأميركية مؤخراً عقداً مع شركة للذكاء الاصطناعي مقرها سان فرانسيسكو هي Domino Data Lab لاقتناء ونشر حلول برمجيات تعلّم الآلة. تبلغ قيمة العقد قرابة 100 مليون دولار إذا تم تنفيذه بالكامل، ويهدف إلى
GateNewsمنذ 13 س
XAI Grok يدعم الأصوات المخصّصة: استنساخ مدته دقيقتان والتحقق من الهوية على مرحلتين
أطلقت xAI Grok Custom Voices، حيث يمكن عبر وحدة التحكم تسجيل صوت لمدة نحو دقيقة واحدة، وإنتاج نموذج صوتي مخصص جاهز للاستخدام في TTS وVoice Agent API خلال دقيقتين. وتم في الوقت نفسه طرح Grok 4.3 وVoice Library. ولمنع الاستنساخ، تستخدم المنصة تحققاً على مرحلتين: يقرأ المستخدم جملة للتحقق أولاً، ثم تتم مقارنة speaker embedding لضمان أن الشخص نفسه فقط يمكنه إنشاء الصوت. ويُوحّد Voice Library إدارة الأصوات المخصصة والأصوات المبنية مسبقاً، ويضم أكثر من 80 نوعاً وبـ 28 لغة، مع التوسع لاحقاً.
ChainNewsAbmediaمنذ 15 س
إصدار سطح المكتب من OpenAI Codex يضيف وظيفة الحيوانات الأليفة: 3 تلميحات للحالات، والتفريخ بحسب لغة الاستخدام
طرحت OpenAI إصدار سطح المكتب من Codex مؤخرًا ميزة «الحيوانات الأليفة» (Pets)، ما يتيح للمطورين أثناء البرمجة الإحاطة الفورية بحالة مهام Codex عبر شخصيات متحركة عائمة. ووفقًا لوثائق OpenAI الرسمية، فإن تراكب الحيوانات الأليفة (overlay) يقوم بتبديل 3
ChainNewsAbmediaمنذ 16 س
