Der Open-Source-AI-Desktop-Client Cherry Studio stößt bei Nutzern auf einen Datenschutzdesign-Mangel: Nachdem die Option „Anonyme Fehlerberichte und Datenauswertungen senden“ deaktiviert wurde, sendet der Client weiterhin identifizierende Daten, die Geräte-ID, Systeminformationen und CPU-Architektur enthalten. Der GitHub-Nutzer Yuerchu stellte nach dem Posten eines Packet-Capture-Screenshots im Issue #14387 fest, dass der Entwickler kangfenmao in den Kommentaren einräumte, das Problem sei tatsächlich vorhanden.
Aufbau des Problems: Unterschiedliche Einhaltung der „Ausschalten“-Einstellung bei drei Ereignistypen
(Quelle: Github)
Laut Code-Audit meldet der Cherry-Studio-Client drei Arten von Ereignissen, doch das Verhalten der drei Ereignistypen ist grundlegend uneinheitlich:
KI-Dialog: Hält sich normalerweise an die Benutzerschalter-Einstellung; nach dem Ausschalten wird nichts gemeldet.
App-Start: Umgeht die Schaltereinstellung direkt; unabhängig davon, wie der Nutzer sie konfiguriert, wird immer gemeldet.
Updates prüfen: Umgeht ebenfalls die Schaltereinstellung direkt; unabhängig davon, wie der Nutzer sie konfiguriert, wird immer gemeldet.
Jede gesendete Anfrage enthält eine eindeutige Geräte-ID sowie zusätzlich die Betriebssystemversion, die CPU-Architektur und die Anwendungsversionsnummer und bildet so eine Kombination zur langfristigen, gerätebezogenen Wiedererkennung.
Code-Audit: Der Schalter wurde am 22. März absichtlich entfernt
Die Community hat beim Nachschauen des Codes festgestellt, dass die Schaltereinstellung bei der Einführung dieses Reporting-Mechanismus im Februar 2026 zunächst für alle drei Arten von Ereignissen wirksam war. Am 22. März jedoch reichte der Maintainer kangfenmao selbst eine Änderung ein: Nicht nur wurden die Logik zur Abfrage der Schaltereinstellung für App-Start und Updates prüfen entfernt, es wurden gleich noch mehr Geräte-Erkennungsinformationen in den Request-Header „hineingeschoben“.
Dieser fehlerhafte Code lief in vier Versionen – v1.8.3, v1.8.4, v1.9.0, v1.9.1 – etwa einen Monat lang ununterbrochen, bis er von der Community entdeckt und öffentlich offengelegt wurde.
Noch ältere Lücke: Verstecktes Skript für stilles Re-Enable beim Upgrade
Beim Tracking des Codes älterer Versionen entdeckte die Community außerdem eine weitere Problemlage: Als die Analysefunktion erstmals im Februar 2025 hinzukam, wurde gleichzeitig ein Upgrade-Skript eingebettet. Dieses aktiviert den Schalter „Anonyme Auswertung“ automatisch genau dann, wenn Nutzer von einer alten Version upgraden. Danach wechselte der Backend-Analysedienst zwar nacheinander von Google Analytics zu PostHog und zu Sentry und schließlich zur aktuellen eigenen Lösung analytics.cherry-ai.com, doch dieses Skript zum automatischen erneuten Aktivieren des Schalters wurde nie gelöscht.
Die praktische Auswirkung ist: Nutzer, die Cherry Studio vor Februar 2025 installiert hatten und anschließend irgendein Upgrade durchgeführt haben, werden – egal ob sie die Einstellung zuvor manuell deaktiviert hatten oder nicht – nach jedem Upgrade still erneut dazu gezwungen, den Schalter zu aktivieren. Damit müssen sie nach dem Upgrade die Einstellung jedes Mal erneut manuell ausschalten.
Häufige Fragen
Welche konkreten Geräteinformationen sammelt Cherry Studio?
Laut Code-Audit enthält jede Reporting-Anfrage: eine eindeutige Geräte-ID (für die fortlaufende Verfolgung über Sitzungen hinweg), die Betriebssystemversion, die CPU-Architektur sowie die Anwendungsversionsnummer. Diese Informationskombinationen ermöglichen dem Analyse-Backend eine langfristige Identifizierung und Nachverfolgung bestimmter Geräte, auch ohne Namens- oder Kontoinformationen – es entsteht dennoch ein wirksamer Geräte-Fingerprint.
Werden auch sensible Daten wie Chat-Inhalte, API-Schlüssel usw. übermittelt?
Der Entwickler kangfenmao erklärte eindeutig, dass sensible Daten wie Chat-Inhalte, Benutzereingaben, Dateien und API-Schlüssel nicht über diesen Reporting-Kanal laufen und nicht in den betroffenen Datensatzbereich fallen. Derzeit werden lediglich Metadaten zur Geräteidentifikation (metadata) übertragen.
Welche Schritte sollten betroffene Nutzer jetzt unternehmen?
Die Fix-Version wurde über PR #14390 zusammengeführt; empfohlen wird, sofort auf die neueste Version zu aktualisieren. Nach dem Update sollte man manuell prüfen, ob der Schalter für Privatsphäre-/Datenauswertungen weiterhin auf „Aus“ steht – aufgrund des Problems mit dem alten Upgrade-Skript könnte das Upgrade den Schalter erneut aktivieren. Bei einem hohen Anspruch an die Privatsphäre wird empfohlen, nach dem Update mithilfe eines Netzwerk-Monitoring-Tools zu verifizieren, ob die Anfragen an analytics.cherry-ai.com inzwischen gestoppt wurden.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
AINFT integriert Trust Wallet für One-Click-Login in TRON- und EVM-Netzwerken
AINFT hat sich in Trust Wallet integriert und ermöglicht es Nutzern, sich problemlos mit KI-Modellen über TRON- und EVM-Netzwerke zu verbinden. Das verbessert Web3-Identitätsinteraktionen und bietet neuen Nutzern einen Willkommensbonus von 10.000 AINFT-Punkten.
GateNews6Std her
Dropbox erweitert die ChatGPT-Integration mit drei neuen Workplace-Apps
Dropbox hat seine Partnerschaft mit OpenAI verstärkt, indem es drei neue Apps in ChatGPT eingeführt hat, um den Zugriff auf Dateien, die Suche nach Inhalten im Arbeitsumfeld und das Kalender-Management zu ermöglichen. Dieser Schritt soll Dropbox inmitten rückläufiger Kundenzahlen und zunehmender Konkurrenz in der KI-Landschaft in eine Intelligence-Plattform überführen.
GateNews11Std her
Hong Kong Gas Utility Towngas geht Partnerschaft mit Tencent ein, um Cloud- und KI-Systeme auszubauen
Towngas hat eine Partnerschaft mit Tencent geschlossen, um seine Cloud-Systeme und KI-Anwendungen zu verbessern und damit an ihre Zusammenarbeit von 2020 anzuknüpfen. Die Partnerschaft konzentriert sich auf eine Smart-Energy-Plattform und Datenanalytik, um Abläufe zu straffen und den Kundenservice im Energiesektor zu verbessern.
GateNews12Std her
Cobo bringt eine KI-gestützte agentische Wallet für sichere autonome On-Chain-Transaktionen auf den Markt
Cobo hat die Cobo Agentic Wallet eingeführt und ermöglicht es KI-Agenten, On-Chain-Transaktionen unter benutzerdefinierten Kontrollen durchzuführen. Unter Nutzung von Multi-Party Computation für die Sicherheit und unter Einbindung der Protokolle Pact und Recipes unterstützt sie verschiedene Betriebsmodi für unterschiedliche Risikostufen.
GateNews13Std her
iQiyi bringt KI-Produktions-Tool auf den Markt, überarbeitet Plattform, während der Streaming-Wettbewerb zunimmt
iQiyi überarbeitet seine Plattform, um sich auf KI-generierte Inhalte zu konzentrieren, und bringt das Nadou Pro-Tool auf den Markt, um die Produktion zu unterstützen. Trotz finanzieller Schwierigkeiten und regulatorischer Herausforderungen will das Unternehmen bis 2026 einen erfolgreichen KI-Film veröffentlichen und gleichzeitig eine erhebliche Liquiditätskrise bewältigen.
GateNews14Std her
Alibaba bringt das HappyHorse-KI-Videogenerierungsmodell auf den Markt und öffnet Tests ab dem 27. April
Das KI-Videogenerierungsmodell von Alibaba, HappyHorse-1.0, wird am 27. April mit API-Tests für Unternehmenskunden beginnen und im Mai offiziell auf den Markt kommen. Entwickelt wurde es von seiner ATH Innovation Division sowie weiteren internen Teams.
GateNews14Std her
