谷歌浏览器未经同意静默安装4GB AI模型,大规模设备部署引发气候灾难
两周前,我写了关于 Anthropic 在安装了 Claude Desktop 的每台机器上的七个基于 Chromium 的浏览器中静默注册 Native Messaging 桥接器的文章 [1]。其模式是:在用户启动产品 A 时安装,在不询问的情况下将配置写入用户安装的产品 B、C、D、E、F、G、H 中。跨越供应商信任边界。没有征得同意的对话框。没有退出 UI。如果用户手动删除,每次启动 Claude Desktop 时它都会重新自我安装。
本周我发现了由谷歌执行的同样模式。谷歌浏览器(Google Chrome)正在伸向用户的机器,在不询问的情况下将一个 4 GB 的设备端 AI 模型文件写入磁盘。该文件名为 weights.bin。它位于 OptGuideOnDeviceModel 目录中。这是 Gemini Nano(谷歌的设备端 LLM)的权重文件。Chrome 没有询问。Chrome 没有将其呈现给用户。如果用户删除了它,Chrome 会重新下载它。
法律分析与我对 Anthropic 案例给出的分析相同。环境分析是新的。以 Chrome 的规模,一次模型推送的气候账单(由整个地球以大气二氧化碳形式支付)在六千到六万吨二氧化碳当量排放之间,具体取决于接收推送的设备数量。这是一家公司单方面决定二十亿人的默认浏览器将大规模分发一个他们没有要求的 4 GB 二进制文件的环境成本。
依我的专业意见,这直接违反了 2002/58/EC 指令(电子隐私指令)第 5(3) 条 [2],违反了 GDPR 第 5(1) 条关于合法性、公平性和透明度的原则 [3],违反了 GDPR 第 25 条关于通过设计保护数据的要求 [3],并且造成的环境损害规模足以构成《企业可持续发展报告指令》(CSRD)范围内企业的应报告事件 [4]。
磁盘上有什么以及它是如何到达的
在任何安装了 Chrome 的机器上,在用户配置文件中,都有一个名为 OptGuideOnDeviceModel 的目录。里面有一个名为 weights.bin 的文件。该文件大约 4 GB。它是 Gemini Nano 的权重文件。Chrome 使用它来支持谷歌以“帮我写”、设备端欺诈检测和其他 AI 辅助浏览器功能为名推广的功能。
该文件的出现没有任何同意提示。Chrome 设置中没有标有“下载 4 GB AI 模型”的复选框。当 Chrome 的 AI 功能处于活动状态时,下载会被触发,而这些功能在最近的 Chrome 版本中默认是激活的。在任何满足硬件要求的机器上,Chrome 都将用户的硬件视为投放目标并写入模型。
删除和重新下载的循环已在多个关于 Windows 安装的独立报告中记录 [5][6][7][8]——用户删除,Chrome 重新下载,用户再次删除,Chrome 再次重新下载。使删除生效的唯一方法是禁用 Chrome 的 AI 功能(通过 chrome://flags 或家庭用户通常没有的企业策略工具),或者完全卸载 Chrome [5]。在 macOS 上,文件权限为 600,归用户所有(因此原则上可以删除),但在字节写入后,Chrome 将安装状态保存在 Local State 中,一旦变体服务器下次告诉 Chrome 该配置文件符合条件,下载就会再次触发——架构相同,只有文件权限不同。
我如何在新创建的 Apple Silicon 配置文件上验证这一点
大多数关于此行为的现有报告来自注意到磁盘空间被占用的 Windows 用户——这很有用,但谷歌可以(而且可能会)试图将这些报告定性为来自非代表性配置的轶事。因此我去寻找另一个平台上的干净证据。
我找到的证据是 macOS 本身。内核维护一个名为 .fseventsd 的文件系统事件日志——它在操作系统级别记录每次文件创建、修改和删除,独立于任何应用程序日志。Chrome 无法编辑它,谷歌无法远程访问它,并且记录这些事件的页面文件在它们引用的文件被删除后仍然存在。
我在 2026 年 4 月 23 日创建了一个 Chrome 用户数据目录来运行自动审计(WebSentinel 100 站点隐私扫描之一)。审计驱动程序完全使用 Chrome DevTools Protocol——它加载一个页面,在不输入任何内容的情况下停留五分钟,捕获事件,在站点之间关闭 Chrome——并且该配置文件在其存在的任何时间点都没有接收到来自人类的键盘或鼠标输入。Chrome 中的每个“AI 模式”界面都未被触及——事实上 Chrome 中的每个 UI 界面都未被触及,审计驱动程序仅通过 CDP 与文档交互,并且从未访问过 omnibox。到 4 月 29 日,该配置文件包含 4 GB 的 OptGuideOnDeviceModel 权重——我知道这一点,因为在清理过程中常规的 du -sh 命令捕获了审计配置文件目录。
我回到 .fseventsd 询问这 4 GB 到底是在什么时候出现的。macOS 给了我答案,精确到字节,按三个连续的页面文件排列:
- 2026 年 4 月 24 日,16:38:54 CEST(14:38:54 UTC)——Chrome 在审计配置文件中创建 OptGuideOnDeviceModel 目录(页面文件 0000000003f7f339)。 - 2026 年 4 月 24 日,16:47:22 CEST(14:47:22 UTC)——三个并发的解压器子进程在 /private/var/folders/.../com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.*/ 中生成临时目录。其中一个(5xzqPo)写入了 weights.bin、manifest.json、_metadata/verified_contents.json 和 on_device_model_execution_config.pb。第二个写入证书吊销列表更新。第三个写入浏览器预加载数据更新。Chrome 将安全更新、预加载刷新和一个 4 GB 的 AI 模型批处理到同一个空闲窗口中,仿佛它们等价(页面文件 00000000040c8855)。 - 2026 年 4 月 24 日,16:53:22 CEST(14:53:22 UTC)——解压后的 weights.bin 被移动到最终位置 OptGuideOnDeviceModel/2025.8.8.1141/weights.bin,同时移动的还有 adapter_cache.bin、encoder_cache.bin、_metadata/verified_contents.json 和执行配置。同时,另外四个模型目标(在 Chrome 的优化指南枚举中编号为 40、49、51 和 59)在 optimization_guide_model_store 中注册了新条目——这些是与 LLM 配对的较小的文本安全和提示路由模型。在此之前,这些目标都不存在于配置文件中(页面文件 00000000040d0f9c)。
总安装时间,从目录创建到最终移动:14 分 28 秒。在此期间对配置文件的用户操作:无。审计驱动程序要么在第三方主页上停留,要么在站点之间转换——解压器在后台触发,而一个标签页正在等待五分钟计时器到期。
那个 fseventsd 记录中的命名,如果有的话,是最具破坏性的细节。临时目录是 com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.5xzqPo——前缀 com.google.Chrome.chrome_chrome_* 是 Google Chrome 本身使用的包 ID 和子进程命名约定。它不是 com.google.GoogleUpdater.*,也不是 com.google.GoogleSoftwareUpdate.*。写入者是 Chrome——用户已安装并信任用于加载网页的浏览器进程——主动伸入用户的文件系统,在前台标签页执行完全无关的操作时,放下一个 4 GB 的 ML 二进制文件。
同一台机器上还有另外三份佐证证据:
- Chrome 自己的审计配置文件 Local State JSON 包含一个 optimization_guide.on_device 块,其中包含 model_validation_result: { attempt_count: 1, result: 2, component_version: "2025.8.8.1141" }。Chrome 运行了模型。component_version 与 fseventsd 事件记录为路径组件的版本字符串匹配。两个独立证据,同一件制品。同一块报告了 performance_class: 6、vram_mb: "36864"——Chrome 描述了 my 硬件(读取 GPU,读取统一内存总量)以决定我是否有资格获得模型推送,在此之前任何面向用户的 AI 功能都未出现。
- Chrome 的审计配置文件 ChromeFeatureState 在 enable-features 块中列出了 OnDeviceModelBackgroundDownload<OnDeviceModelBackgroundDownload 和 ShowOnDeviceAiSettings<OnDeviceModelBackgroundDownload。第一个标志是触发静默下载的。第二个标志是在 chrome://settings 中显示设备端 AI 部分的。两者都由同一个 rollout 标志控制——这意味着根据 Chrome 自己的架构,在用户有任何设置 UI 可以拒绝它之前,安装就已经开始了。允许你发现该功能的设置页面与安装同步启用——这是设计,不是疏忽。
- GoogleUpdater 日志记录了设备端模型控制组件(appid {44fc7fe2-65ce-487c-93f4-edee46eeaaab})从 http://edgedl.me.gvt1.com/edgedl/diffgen-puffin/%7B44fc7fe2-65ce-487c-93f4-edee46eeaaab%7D/... 下载——一个 7 MB 的压缩控制文件,于 2026 年 4 月 20 日到达,比相关审计配置文件的创建时间早三天。那是上游控制平面:它独立于配置文件,由每小时触发一次的 LaunchAgent 自动启动,URL 是纯 HTTP(完整性由包内的 CRX-3 签名验证,而非传输安全)。控制组件为 Chrome 提供了指向实际权重的清单,然后 Chrome 的进程内 OnDeviceModelComponentInstaller——一个与 GoogleUpdater 不同的代码路径——直接从谷歌的 CDN 获取多 GB 的权重。
因此,我们现在有一个四向证据链——macOS 内核文件系统事件、Chrome 自己的每个配置文件状态、Chrome 的运行时功能标志和谷歌的组件更新程序日志——四项都同意相同的行为,即:一个 4 GB 的 AI 模型在未经同意、未经通知的情况下,于一个周二下午,14 分 28 秒内,到达了此用户的磁盘上,并且该配置文件未接收任何人类输入。
关于 OptGuideOnDeviceModel 目录和 weights.bin 文件的报告已经在社区论坛中流传了一年多——2026 年的新变化是规模和可验证性。Chrome 的全球市场份额保持在 64% 以上 [9][10],Chrome 的全球用户群在 34.5 亿到 38.3 亿之间(取决于你相信哪个 2026 年的估计)[9][11],谷歌正以越来越激进的姿态将 Gemini 功能整合到 Chrome 中。这种行为不再影响少数平台上的少数高级用户——它正在影响数亿台设备,涵盖 Chrome 支持的每个桌面操作系统。
逐点与 Anthropic 对比
相同的暗模式剧本。我重复我在 Claude Desktop 文章 [1] 中的分类,因为模式完全相同,这正是关键所在。
1. 跨信任边界的强制捆绑。Anthropic 安装 Claude Desktop,然后写入 Brave、Edge、Arc、Vivaldi、Opera 和 Chromium。谷歌安装 Chrome,然后在未经授权的情况下将 4 GB AI 模型写入用户配置文件目录。二进制文件不是 Chrome。这是一个单独训练的机器学习模型,具有单独的目的、单独的数据保护配置文件和单独的同意足迹。
2. 不可见的默认设置,无选择加入。首次启动时没有对话框。设置中没有复选框。模型被下载;用户几个月后才发现,那时他们的磁盘已满 [5][6][7]。
3. 删除比安装更困难。添加文件零点击。删除它需要 (a) 发现文件存在,(b) 理解它是什么,(c) 导航到隐藏的用户配置文件路径,(d) 删除它(在 Windows 上,还需要先清除只读属性),(e) 接受 Chrome 会在下一个符合条件的窗口静默重新下载,除非用户还导航到 chrome://flags、企业策略或平台特定配置工具来禁用底层 Chrome AI 功能 [5]。这些步骤没有一个是在普通用户会看到的地方记录的——在默认 Chrome 中甚至没有暗示它们。
4. 预置用户未请求的功能。Nano 模型存在于用户磁盘上,以便使用它的 Chrome 功能在用户调用时可以立即运行。用户尚未调用任何这些功能。模型仍然存在,占用 4 GB。
5. 通过通用命名扩大范围。OptGuideOnDeviceModel 是 Chrome 内部术语,意为“优化指南设备端模型存储”。查看磁盘使用情况的用户,即使大致知道自己在看什么,也不会将 OptGuideOnDeviceModel/weights.bin 匹配到“Gemini Nano LLM 权重”。准确的命名应该是 GeminiNanoLLM/weights.bin。谷歌选择混淆名称。
6. 注册到用户未配置的资源。未打开 Chrome AI 功能的用户仍然获得模型。打开过一次并决定不感兴趣的用户仍然获得模型。文件的存在与用户对任何由其驱动的功能的实际使用脱钩。
7. 文档缺口。谷歌面向用户的关于 Chrome AI 功能的文档,没有以与 4 GB 静默下载相称的突出程度告诉用户,该功能可用的代价是磁盘上出现一个 4 GB 的文件。这种行为在好奇的管理员会找到的地方有记录。但在普通用户在安装 Chrome 之前或 Chrome 决定开始推送模型之前查看的地方没有记录。
8. 每次运行时自动重新安装。与 Claude Desktop 相同。删除文件,Chrome 重新创建它。用户的删除被视为需要纠正的暂时状态,而非需要尊重的指令。
9. 对任何未来用户同意的追溯生存。如果谷歌将来开始询问用户“您希望 Chrome 下载 4 GB AI 模型吗”,该提示不会追溯性地使已经发生在数亿台设备上的静默安装合法化。信任关系的损害已经造成。字节已经移动。大气已经被写入。
10. 代码签名,通过正常发布渠道发布。这不是测试版行为。这是 Chrome 稳定版。
“AI 模式”药丸是锦上添花
这里是应该让在场的每一位隐私律师放下咖啡的部分。当 Chrome 147 针对符合条件的配置文件启动时,omnibox——窗口顶部的地址栏,整个浏览器中最显眼的位置——在 URL 字段右侧呈现一个“AI 模式”药丸。一个合理的用户,在 2026 年看到“AI 模式”位于浏览器最突出的 UI 元素中,并知道 Chrome 中设备端 LLM 的广泛存在以及磁盘上已静默安装的 4 GB Gemini Nano 二进制文件,将会做出一个看似明显的推断——可见的 AI 模式正在使用设备端模型,他们的查询留在设备上,本地模型是驱动这个看起来本地的界面的东西。
那种推断的每一部分都是错误的。Chrome 147 omnibox 中的 AI 模式药丸是一个基于云的搜索生成体验界面——用户键入的每个查询都会通过网络发送到谷歌的服务器,由谷歌托管的模型处理。设备端 Nano 模型完全未被 AI 模式 UI 流程调用。它们是完全独立的代码路径——浏览器中最显眼 AI 功能并不使用用户被静默给予的本地模型,而使用本地模型的功能(文本区域中的“帮我写”、标签组 AI 建议、智能粘贴、页面摘要)则被埋在 textarea 上下文菜单和标签组右键菜单深处,普通用户平均来说永远不会发现。
想想这种安排实际上是什么。用户支付了静默安装的存储成本(磁盘上 4 GB,加上静默下载的带宽)。用户最显眼的 AI 体验——他们实际看到并点击的药丸——根本不提供任何设备端好处,因为它无论如何都路由到谷歌的服务器。因此,设备端模型是强加给用户的沉没成本,在透明度最重要的界面处没有抵消性的透明度好处。换句话说,如果设备端安装赋予了用户明确的“你的 AI 模式查询留在你的设备上”属性,那么安装将有一个可辩护的隐私框架(存储更差,数据流更好)。但它没有——安装给了谷歌一个未来选项资源(模型可以被其他 Chrome 子系统调用而无需进一步的服务器往返),代价是用户的磁盘和带宽,而标题性 AI 界面一如既往地将用户的查询发送给谷歌。本地模型是定位在用户设备上的谷歌方面资产——它不是用户方面的资产,有人可能会说它不过是掩人耳目的手法,以掩盖一个事实:可见的 AI 模式实际上并不使用本地模型。
这种安排本身至少涉及 EDPB 指南 03/2022 [20] 中编录的三个欺骗性设计模式系列。它是误导性信息,因为可见的标签“AI 模式”对处理发生地产生了错误印象——标签没有说“基于云”或“查询发送给谷歌”,了解设备端 AI 的合理用户会从磁盘上存在的 4 GB 设备端模型推断本地性。它是跳过,因为用户没有被给予一个在仅本地和基于云的 AI 界面之间选择的机会——两者由同一个上游 rollout 同时开启,没有每个功能的同意。它是阻碍,因为关闭 AI 模式并不会同时移除设备端安装,而移除设备端安装也不会关闭 AI 模式——两者是独立控制的,发现这两个控件需要知道 chrome://flags 和 chrome://settings/ai,这两个在默认 Chrome 中都不明显。
因此:不仅是未经同意的安装,而且是一个未经同意的安装,同时充当并行基于云端界面的掩护,该界面就用户输入内容的处理地点向用户进行了错误表述。两层都加重了同意问题。
为什么这在欧洲经济区和英国是非法的
2002/58/EC 指令(电子隐私指令)第 5(3) 条禁止在未事先获得用户自由给予、具体、知情且明确的同意的情况下,在用户或订户的终端设备中存储信息或获取已存储的信息,除非是为了提供用户明确要求的信息社会服务而严格必要 [2]。4 GB Gemini Nano 权重文件是存储在用户终端设备中的信息。用户未同意。用户尚未请求任何严格需要 4 GB 设备端 LLM 的服务。Chrome 无需该文件即可正常运行。第 5(3) 条的直接违反。
GDPR 第 5(1) 条要求个人数据的处理对数据主体合法、公平且透明 [3]。当用户的硬件被分析以确定是否符合模型推送资格时,当安装事件被记录在谷歌的服务器上时,当模型驱动的设备端功能处理用户提示(无论这些提示是否离开设备)时,所有这些处理的合法性、公平性和透明度都依赖于用户被告知(以通俗语言)正在发生什么。它们没有。
GDPR 第 25 条要求控制者实施适当的技术和组织措施,以确保默认情况下只有每个特定目的所需的个人数据被处理 [3]。在用户磁盘上预先放置 4 GB AI 模型,以应对用户将来可能调用 AI 功能的偶然性,是按默认最小化原则的架构对立面,而且设备的分析