Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
GateRouter
Lựa chọn thông minh từ hơn 40 mô hình AI, với 0% phí bổ sung
Cherry Studio công tắc quyền riêng tư không hoạt động, tắt thống kê nhưng vẫn gửi thông tin thiết bị ra ngoài
Ứng dụng AI máy tính để bàn mã nguồn mở Cherry Studio bị người dùng phát hiện lỗ hổng về thiết kế quyền riêng tư: sau khi tắt tùy chọn “Gửi sai báo cáo lỗi và thống kê dữ liệu ẩn danh”, ứng dụng khách vẫn tiếp tục gửi dữ liệu nhận dạng bao gồm ID thiết bị, thông tin hệ thống và kiến trúc CPU. Người dùng GitHub Yuerchu đã đăng ảnh chụp bắt gói trong Issue #14387 , sau đó nhà phát triển kangfenmao thừa nhận trong phần bình luận rằng vấn đề là có thật.
Cấu trúc vấn đề: ba loại sự kiện có mức độ tuân thủ với cài đặt “tắt” khác nhau
(Nguồn:Github)
Theo phân tích mã, ứng dụng khách Cherry Studio báo cáo ba loại sự kiện, nhưng hành vi của ba loại sự kiện lại có sự không nhất quán mang tính cốt lõi:
Cuộc đối thoại AI: bình thường tuân thủ đúng theo công tắc của người dùng; sau khi tắt thì không báo cáo.
Khởi chạy ứng dụng: trực tiếp vượt qua công tắc, bất kể người dùng đã thiết lập thế nào đều vẫn báo cáo.
Kiểm tra cập nhật: tương tự, trực tiếp vượt qua công tắc, bất kể người dùng đã thiết lập thế nào đều vẫn báo cáo.
Mỗi yêu cầu được gửi đi đều kèm theo một ID thiết bị riêng, cùng với phiên bản hệ điều hành, kiến trúc CPU và mã phiên bản ứng dụng, tạo thành một tổ hợp nhận diện để theo dõi dài hạn chiếc thiết bị này.
Phân tích mã: công tắc bị cố tình xóa vào ngày 22 tháng 3
Nhìn lại mã nguồn trong cộng đồng cho thấy, khi cơ chế báo cáo này vừa được thêm vào vào tháng 2 năm 2026, công tắc đối với cả ba loại sự kiện đều có hiệu lực. Tuy nhiên đến ngày 22 tháng 3, người phụ trách bảo trì kangfenmao tự tay gửi một thay đổi: không chỉ xóa logic phán đoán công tắc của khởi chạy ứng dụng và kiểm tra cập nhật, mà còn nhét thêm nhiều thông tin nhận dạng thiết bị hơn vào phần đầu (header) của yêu cầu.
Đoạn mã lỗi này đã chạy liên tục trong bốn phiên bản v1.8.3, v1.8.4, v1.9.0, v1.9.1 trong khoảng một tháng, trước khi bị cộng đồng phát hiện và công khai tiết lộ.
Lỗ hổng cũ sớm hơn: script ẩn tự bật lại công tắc khởi động sau nâng cấp
Khi theo dõi mã của các bản cũ, cộng đồng lại phát hiện thêm một lớp vấn đề khác: vào thời điểm tháng 2 năm 2025, khi chức năng phân tích được thêm lần đầu, một đoạn script nâng cấp cũng đã được nhúng vào—chỉ cần người dùng nâng cấp từ phiên bản cũ lên thì “công tắc thống kê ẩn danh” sẽ được tự động bật lên một lần. Sau đó, backend dịch vụ phân tích lần lượt chuyển từ Google Analytics sang PostHog và Sentry, rồi sang hiện tại là analytics.cherry-ai.com do tự xây dựng, nhưng đoạn script tự động bật công tắc này vẫn không bị xóa.
Tác động thực tế là: với những người đã cài Cherry Studio trước tháng 2 năm 2025 và sau đó có bất kỳ lần nâng cấp nào, bất kể trước đó họ đã từng tự tay tắt cài đặt này hay chưa, thì sau mỗi lần nâng cấp công tắc sẽ bị lặng lẽ bật lại; họ cần phải thủ công tắt lại công tắc sau khi nâng cấp.
Các câu hỏi thường gặp
Cherry Studio cụ thể thu thập những thông tin thiết bị nào?
Theo phân tích mã, mỗi yêu cầu báo cáo bao gồm: ID thiết bị duy nhất (duy trì theo dõi xuyên suốt các phiên), phiên bản hệ điều hành, kiến trúc CPU, và mã phiên bản ứng dụng. Tổ hợp các thông tin này có thể dùng ở backend phân tích để nhận diện và theo dõi dài hạn một thiết bị cụ thể; ngay cả khi không có thông tin tên hoặc tài khoản, vẫn có thể tạo ra một dấu vân tay thiết bị hiệu quả.
Dữ liệu nhạy cảm như nội dung trò chuyện, khóa API… có cũng bị gửi đi không?
Nhà phát triển kangfenmao khẳng định rõ rằng nội dung trò chuyện, thao tác nhập của người dùng, tài liệu và các khóa API—những dữ liệu nhạy cảm—không đi theo kênh báo cáo này, và không nằm trong phạm vi dữ liệu bị ảnh hưởng. Hiện chỉ có những siêu dữ liệu dạng nhận diện thiết bị (metadata) được gửi đi.
Người dùng bị ảnh hưởng hiện nên làm gì?
Phiên bản đã được sửa đã được hợp nhất thông qua PR #14390; khuyến nghị cập nhật ngay lên phiên bản mới nhất. Sau khi cập nhật, cần tự tay xác nhận công tắc thống kê quyền riêng tư đang ở trạng thái tắt—do lỗi của script nâng cấp cũ, bản thân quá trình nâng cấp có thể lại bật công tắc lên. Nếu yêu cầu về quyền riêng tư cao hơn, khuyến nghị sau khi cập nhật hãy xác minh bằng công cụ giám sát mạng rằng việc gửi yêu cầu tới analytics.cherry-ai.com đã dừng hẳn.