2026-05-08 15:40
扫码打开虎嗅APP
本文来自微信公众号: InfoQ ,编译:Tina,作者:Tina,原文标题:《Chrome 开了一个危险的头:偷偷给数亿电脑塞 4GB Gemini 模型,占硬盘、耗算力、删了自动重下》
Chrome正在把你的电脑变成它的AI算力节点,没问过你,没通知你,而且删了还会自动重下。
安全研究员Alexander Hanff(网名ThatPrivacyGuy)报告称,Chrome一直在静默安装本地Gemini Nano大模型。它会以一个名为weights.bin的文件形式,存放在用户Chrome配置目录下的OptGuideOnDeviceModel文件夹中。
只要Chrome判断你的设备满足硬件要求,这个4GB的下载就会自动发生。整个过程既不会请求授权,也不会发送任何通知。此外,如果你找到并删除该文件,Chrome会自动下载一份新的副本并恢复它。
事件引发争议后,谷歌昨天发表声明称,自2024年起他们就开始为Chrome提供Gemini Nano这一轻量级“本地模型”,并表示已逐步推出关闭选项。但声明回避了透明度和用户同意的核心问题——从头到尾,没人问过你同不同意。
114分28秒:Chrome如何把Gemini Nano写进用户磁盘
就在不久前,也就是2026年5月初,Alexander Hanff公开了自己的发现。而在此之前两周,他刚刚揭露过Anthropic的一项类似操作:Claude Desktop会在用户电脑上,悄悄向七个基于Chromium的浏览器注册一个“桥接程序”。换句话说,用户启动产品A时,Anthropic会安装这个桥接程序,并在未经用户许可的情况下,把配置信息写入用户安装的产品B、C、D、E、F、G、H中(如Brave、Edge、Arc、Vivaldi、Opera等)。
并且这涉及到对大约300万台Claude Desktop用户设备进行了浏览器自动化预授权,当时,Hanff写道:“这种做法突破了厂商的信任边界。没有征求用户同意的对话框,也没有退出选项。”
他没想到的是,仅仅两周后,他又在Google Chrome上发现了几乎相同的模式。
在任何安装了Chrome浏览器的设备上,用户配置文件中都有一个名为OptGuideOnDeviceModel的目录。该目录下有一个名为weights.bin的文件。该文件大小约为4 GB,是Gemini Nano权重文件,可用于运行设备端推理,也是Google Prompt API背后的基础组件之一。
关键是,Google压根没问你。在Chrome设置里,并没有一个清楚的选项写着:“是否允许Chrome下载一个约4GB的本地AI模型?”也没有弹窗提示用户:接下来浏览器会占用你的磁盘空间,下载一个用于AI功能的模型文件。下载会在Chrome的AI功能启用时触发,而这些功能在最新版本的Chrome中默认启用。在任何满足硬件要求的设备上,Chrome都会将用户的硬件视为交付目标并写入模型。
更麻烦的是,删除并不能解决问题。
已经有多个Windows用户报告了同样的循环:用户手动删除,过一段时间,Chrome又把它下载回来;用户再次删除,Chrome再次恢复。这个过程反复发生,唯一的办法是去chrome://flags里关闭相关AI功能,或者彻底卸载Chrome。
在macOS上,情况略有不同:该文件权限为600,归用户所有(因此理论上可以删除)。但Chrome会在写入文件后,将安装状态保存在Local State中,一旦Chrome的灰度配置服务器再次判断该配置文件符合条件,下载就会再次触发。也就是说,权限机制不同,但整体逻辑一样:用户删掉的,只是文件本身;Chrome仍然认为它应该存在。
Hanff还在一台全新的macOS设备上进行了独立验证。他利用macOS内核维护的.fseventsd文件系统事件日志,追踪了整个安装过程。这个日志不受Chrome或Google控制,会记录操作系统层面的文件创建、修改和删除事件。
日志显示,2026年4月24日16:38:54,Chrome在审计配置文件中创建了OptGuideOnDeviceModel目录;16:47:22,Chrome启动多个解包进程,其中一个开始写入weights.bin、模型配置和校验文件;到16:53:22,解包完成,weights.bin及相关配置被移动到最终位置。
从目录创建到模型落位,整个过程只用了14分28秒。而且在这段时间里,这个Chrome配置文件没有任何真实用户输入,也从未打开过任何AI相关界面。前台浏览器可能只是按审计流程加载网页、等待倒计时结束,后台却已经完成了一个约4GB本地AI模型的下载、解包和安装。整个过程没有弹窗,没有通知,也没有任何“是否允许”的对话框。
对于这场争议,Google的回应透露出一个关键信息:Gemini Nano进入Chrome并不是最近才发生的事。按照官方的说法:
“自2024年以来,我们一直为Chrome浏览器提供Gemini Nano,它是一款轻量级的本地安全模型。它支持重要的安全功能,例如欺诈检测和开发者API,而无需将您的数据发送到云端。虽然它需要占用一些本地桌面空间才能运行,但如果设备资源不足,该模型会自动卸载。今年2月,我们开始逐步推出一项功能,允许用户直接在Chrome设置中轻松关闭和移除该模型。禁用后,该模型将不再下载或更新。”
换句话说,这项“静默部署”已经持续了一年多,只是最近才被大规模曝光。而在社区里,关于这个模型的讨论其实更早就有迹可循:2025年4月,Reddit上有人发现这个缓存模型占了他3GB空间;到了同年11月,Stack Overflow上的提问显示它已经涨到了4GB。
据分析,Chrome会下载两个版本的Gemini Nano:一个是适用于GPU的版本,体积约4GB,根据GPU性能的不同,可选择“最高质量”(HIGHEST_QUALITY)或“最快推理”(FASTEST_INFERENCE)两种运行模式;另一个是适用于没有GPU的设备的CPU版本,体积约2.7GB。
Google管这个模型叫“Nano”——纳米级,听起来很小巧。但对于用户存储空间本就有限的设备来说,一个4GB的“纳米”模型多少有些讽刺。
谷歌的声明也并未真正回应外界对透明度和用户同意的广泛批评。其立场很明确:下载是故意的,与Chrome的AI功能有关。如果用户不希望本地存储这个模型,现在可以选择手动退出。
更值得关注的是它的覆盖范围:Chrome全球用户大约在34.5亿到38.3亿之间,市场占有率长期维持在64%以上。即便只有部分设备满足硬件要求,被影响的依然是数亿台桌面设备。这意味着,Google正在进行的,已经不是一次普通功能更新,而是一场全球规模的“本地AI预部署实验”。
令人费解的事情之一是Chrome地址栏上那个显眼的“AI模式”按钮,实际上依赖的是云端处理,而不是本地的Gemini Nano模型。这就让人不得不问:既然那个最常用的AI功能根本用不到本地模型,那Chrome为什么非要提前把这4GB塞进你的硬盘?
有开发者给出了一个合理猜测:这本质上是一个概念验证方案——它既能把计算成本转移到用户设备上,同时还能继续收集查询元数据。
如果有足够多的Chrome用户安装了它,Google就可以开始做分组实验,对比“云端完整版模型”和“设备端Nano模型”生成的结果差异。如果本地模型的输出质量足够接近,或者用户能够接受,那么Google就可以逐步把这些查询从自己的服务器卸载到用户设备上,而且不会遭遇太大的阻力。
现在,无论是设备性能(尤其是手机),还是模型优化技术,都已经成熟到这样一种程度:大多数普通用户(非开发者、非IT从业者)根本不会注意到,自己搜索“苹果派怎么做”时看到的结果,到底来自本地模型,还是来自数据中心里的大型云端模型。
但这一切的代价,远不止占点硬盘空间。
Hanff认为,Chrome正在向数亿台设备推送一个4GB的二进制文件,这会带来可衡量、可量化,而且相当令人担忧的环境影响。
按照他的测算,仅把这个4GB模型传输到一台设备,就会产生约0.06 kg二氧化碳当量排放。如果覆盖5亿台设备,总排放将达到3万吨CO₂e,相当于6500辆汽车一整年的尾气排放;如果覆盖10亿台设备,这一数字将升至6万吨。而这还只是初始推送的成本。用户删除后重新下载、模型后续更新、本地推理运行,都会继续把这笔账往上推。
但比气候账单更值得警惕的,是这件事背后的趋势。Anthropic和Google做了同一件事:先动手,让用户自己去发现后果。用户的设备被当成了部署目标,而不是由用户主动控制的东西。对平台受益的功能默认开启、藏在角落、难以移除——转向设备端AI,非但没有改变这种暗黑模式,反而在加速它。
Chrome这个“危险的头”已经开了。而且,这不是Google一家的事——Anthropic试过了,Google铺开了,微软、苹果会站在旁边看吗?“本地算力强征”是否会在从个别厂商的试探,变成整个行业的默认选项?
也许唯一能让这个趋势停下来的,不是某家公司的“良心发现”,而是足够多的用户知道这件事、感到不舒服,并且开始追问一句:我的设备,到底谁说了算?
参考链接:
https://news.ycombinator.com/item?id=48019219
https://adsm.dev/posts/prompt-api/
