تم الإبلاغ عن ثغرة في تصميم الخصوصية في عميل سطح مكتب مفتوح المصدر للذكاء الاصطناعي Cherry Studio بعد أن اكتشفها المستخدمون: بعد إيقاف خيار «إرسال تقارير الأخطاء والإحصاءات بشكل مجهول»، يواصل العميل إرسال بيانات تعريف تتضمن معرف الجهاز ومعطيات النظام وبنية وحدة المعالجة المركزية. بعد أن نشر مستخدم GitHub Yuerchu لقطة شاشة لعملية التقاط الحزم ضمن Issue #14387 ، اعترف المطور kangfenmao في التعليقات بأن المشكلة حقيقية.
بنية المشكلة: ثلاث حالات أحداث بدرجات متفاوتة من الالتزام بإعداد «الإيقاف»
(المصدر:Github)
وفقًا لتدقيق الشيفرة، يقوم عميل Cherry Studio بالإبلاغ عن ثلاث أنواع من الأحداث، لكن سلوك الأنواع الثلاثة غير متسق جذريًا:
محادثة الذكاء الاصطناعي: يلتزم عادةً بإعدادات المستخدم، ولا يتم الإبلاغ بعد الإيقاف.
بدء التطبيق: يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
فحص التحديثات: كذلك يتجاوز مباشرة إعدادات التبديل، بغض النظر عن كيفية إعداد المستخدم، سيتم الإبلاغ.
تتضمن كل طلبات الإرسال معرف جهاز مخصص، بالإضافة إلى إصدار نظام التشغيل وبنية وحدة المعالجة المركزية ورقم إصدار التطبيق، ما يشكل مجموعة تعريفية للتعقب طويل الأمد لهذا الجهاز.
تدقيق الشيفرة: تم إزالة التبديل عمدًا في 22 مارس
عند مراجعة الشيفرة التي تم مشاركتها من المجتمع، تبين أنه عندما تم إدخال آلية الإبلاغ هذه لأول مرة في فبراير 2026 كانت التبديلات فعّالة لجميع أنواع الأحداث الثلاثة. ومع ذلك، في 22 مارس، قدم الصيانة kangfenmao بنفسه تعديلًا، إذ لم يقتصر الأمر على حذف منطق التحقق من تبديل بدء التطبيق وفحص التحديثات، بل قام أيضًا بإدخال المزيد من معلومات تعريف الجهاز في رؤوس الطلبات.
تم تشغيل هذا الرمز المعيب بشكل متواصل في الإصدارات الأربعة v1.8.3 وv1.8.4 وv1.9.0 وv1.9.1 لمدة تقارب شهر، قبل أن يكتشفه المجتمع ويتم الكشف عنه علنًا.
ثغرة أقدم: سكربت خفي لإعادة تشغيل التبديل عند الترقية بشكل صامت
عند تتبع كود الإصدارات الأقدم، اكتشف المجتمع طبقة أخرى من المشكلة: عندما تمت إضافة ميزة التحليل لأول مرة في فبراير 2025، تم أيضًا تضمين سكربت ترقية — بحيث عند الترقية من إصدار قديم، يتم تشغيل تبديل «الإحصاءات المجهولة» تلقائيًا مرة واحدة. بعد ذلك، ورغم أن خادم خدمة التحليل الخلفي انتقل لاحقًا من Google Analytics إلى PostHog وSentry، ثم إلى analytics.cherry-ai.com الحالي الذي تم بناؤه ذاتيًا، فإن هذا السكربت الذي يقوم بتشغيل التبديل تلقائيًا لم تتم إزالته.
الأثر الفعلي هو: المستخدمون الذين قاموا بتثبيت Cherry Studio قبل فبراير 2025 ثم أجروا أي ترقية بعد ذلك، بغض النظر عما إذا كانوا قد أغلقوا الإعداد يدويًا سابقًا، سيتم تشغيله مرة أخرى بهدوء بعد كل ترقية، ما يتطلب إيقافه يدويًا مرة ثانية بعد الترقية.
الأسئلة الشائعة
ما هي معلومات الأجهزة التي تجمعها Cherry Studio بالتحديد؟
وفقًا لتدقيق الشيفرة، تتضمن كل طلبات الإبلاغ ما يلي: معرف جهاز فريد (للتعقب المستمر عبر الجلسات)، وإصدار نظام التشغيل، وبنية وحدة المعالجة المركزية، ورقم إصدار التطبيق. يمكن أن تتيح هذه المعلومات مجتمعة إجراء تعريف وتتبع طويل الأمد لجهاز محدد على خادم التحليل، وحتى بدون الاسم أو معلومات الحساب يمكنها تكوين بصمة جهاز فعّالة.
هل يتم إرسال بيانات حساسة مثل محتوى الدردشة ومفاتيح API؟
صرّح المطور kangfenmao بشكل واضح بأن البيانات الحساسة مثل محتوى الدردشة ومدخلات المستخدم والملفات ومفاتيح API لا تمر عبر مسار الإبلاغ هذا، وبالتالي لا تقع ضمن نطاق البيانات المتأثرة. ما يتم إرساله حاليًا هو فقط بيانات تعريفية من نوع الأجهزة (metadata).
ما الإجراء الذي يجب على المستخدمين المتأثرين اتخاذه الآن؟
تم دمج نسخة الإصلاح عبر PR #14390، ويُنصح بتحديثها فورًا إلى أحدث إصدار. بعد التحديث، يجب التأكد يدويًا من أن تبديل إحصاءات الخصوصية في وضع الإيقاف—نظرًا لمشكلة سكربتات الترقية القديمة، قد تؤدي عملية الترقية نفسها مرة أخرى إلى تشغيل التبديل. إذا كانت متطلبات الخصوصية لديك مرتفعة، يُنصح بعد التحديث بالتحقق عبر أدوات مراقبة الشبكة من أن إرسال الطلبات إلى analytics.cherry-ai.com قد توقف.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
新加坡 MetaComp 推出面向金融合规与支付的 AI 代理框架
MetaComp 推出 StableX 了解你的代理(Know Your Agent),面向受监管的支付领域引入合规的人工智能,并通过多供应商分析来降低误判清洁率;AgentX Skills 支持 Claude;目标是通过可下载的 AI Skills 实现可审计的跨境金融。
摘要:MetaComp 推出 StableX 了解你的代理框架,用于在受监管的支付与财富管理中治理 AI 代理,涵盖身份、权限、监控、审计以及代理到代理的交互。它通过来自多个供应商的并行分析来减少误报,并通过可下载的 AI Skills (AgentX) 实现可审计的跨境金融;起步支持 Claude,并计划在各地区扩展。
GateNewsمنذ 32 د
DeepX与现代汽车集团为机器人开发低功耗AI芯片平台
正在与韩国DeepX以及现代汽车集团的机器人实验室合作,双方共同开发面向实时机器人应用的低功耗AI计算平台。该合作将利用DeepX的DX-M2芯片,旨在以更低成本和更低能耗优化机器人性能,体现了行业向专用芯片发展的趋势。
GateNewsمنذ 2 س
渣打银行(Standard Chartered)与 A*STAR 启动 1180 万美元 AI 银行创新实验室
渣打银行(Standard Chartered)和 A*STAR 已合作三年,投入 S$15 百万资金,打造面向银行创新实验室(AI for Banking Innovation Lab)的人工智能,聚焦欺诈检测与自然语言处理,在保持“安全优先”理念的同时提升银行能力。
GateNewsمنذ 4 س
LG 电子发布面向 AI 数据中心的 1.4MW 直连芯片散热单元
在 2026 年数据中心世界(Data Center World 2026)上,LG 电子发布了面向 AI 数据中心的先进散热与能源解决方案,展示了多种技术以提升能效并缩短部署时间,与 $70 十亿美元的 AI 基础设施投资战略保持一致。
GateNewsمنذ 4 س
Xiaomi تفتح باب الاختبار التجريبي المحدود لـ Xiaomi miclaw على أجهزة الكمبيوتر الشخصي وMac ومكبرات الصوت الذكية
أطلقت Xiaomi نسخة تجريبية محدودة من Xiaomi miclaw على أجهزة الكمبيوتر الشخصي وMac ومكبرات الصوت الذكية في 21 أبريل. فهي تعزز مهام على مستوى النظام مثل تنظيم المستندات وتحليل البيانات، وتعزز التعاون عبر الأجهزة. يمكن للمستخدمين التقديم للاختبار عبر مجتمع Xiaomi.
GateNewsمنذ 6 س
أطلقت Adobe مجموعة أدوات CX Enterprise للذكاء الاصطناعي لأتمتة التسويق المؤسسي بالشراكة مع OpenAI وAnthropic
أطلقت شركة Adobe برنامج CX Enterprise، وهي مجموعة أدوات ذكاء اصطناعي تهدف إلى أتمتة وتسويق رقمي مخصص لعملاء المؤسسات. وهو يتكامل مع المنصات الرئيسية ويعتمد من قبل كبرى وكالات الإعلان لتعزيز تفاعل العملاء وتحسين أداء التسويق.
GateNewsمنذ 7 س
