Chrome 開了一個危險的頭：偷偷給數(shù)億電腦塞 4GB Gemini 模型，占硬盤、耗算力、刪了自動重下

編譯 | Tina

Chrome 正在把你的電腦變成它的 AI 算力節(jié)點，沒問過你，沒通知你，而且刪了還會自動重下。

安全研究員 Alexander Hanff（網(wǎng)名 ThatPrivacyGuy）報告稱，Chrome 一直在靜默安裝本地 Gemini Nano 大模型。它會以一個名為 weights.bin 的文件形式，存放在用戶 Chrome 配置目錄下的 OptGuideOnDeviceModel 文件夾中。

只要 Chrome 判斷你的設備滿足硬件要求，這個 4GB 的下載就會自動發(fā)生。整個過程既不會請求授權，也不會發(fā)送任何通知。此外，如果你找到并刪除該文件，Chrome 會自動下載一份新的副本并恢復它。

事件引發(fā)爭議后，谷歌昨天發(fā)表聲明稱，自 2024 年起他們就開始為 Chrome 提供 Gemini Nano 這一輕量級“本地模型”，并表示已逐步推出關閉選項。但聲明回避了透明度和用戶同意的核心問題——從頭到尾，沒人問過你同不同意。

1 14 分 28 秒：Chrome 如何把 Gemini Nano 寫進用戶磁盤

就在不久前，也就是 2026 年 5 月初，Alexander Hanff 公開了自己的發(fā)現(xiàn)。而在此之前兩周，他剛剛揭露過 Anthropic 的一項類似操作：Claude Desktop 會在用戶電腦上，悄悄向七個基于 Chromium 的瀏覽器注冊一個“橋接程序”。換句話說，用戶啟動產(chǎn)品 A 時，Anthropic 會安裝這個橋接程序，并在未經(jīng)用戶許可的情況下，把配置信息寫入用戶安裝的產(chǎn)品 B、C、D、E、F、G、H 中（如 Brave、Edge、Arc、Vivaldi、Opera 等）。

并且這涉及到對大約 300 萬臺 Claude Desktop 用戶設備進行了瀏覽器自動化預授權，當時，Hanff 寫道：“這種做法突破了廠商的信任邊界。沒有征求用戶同意的對話框，也沒有退出選項。”

他沒想到的是，僅僅兩周后，他又在 Google Chrome 上發(fā)現(xiàn)了幾乎相同的模式。

在任何安裝了 Chrome 瀏覽器的設備上，用戶配置文件中都有一個名為 OptGuideOnDeviceModel 的目錄。該目錄下有一個名為 weights.bin 的文件。該文件大小約為 4 GB，是 Gemini Nano 權重文件，可用于運行設備端推理，也是 Google Prompt API 背后的基礎組件之一。

關鍵是，Google 壓根沒問你。在 Chrome 設置里，并沒有一個清楚的選項寫著：“是否允許 Chrome 下載一個約 4GB 的本地 AI 模型？”也沒有彈窗提示用戶：接下來瀏覽器會占用你的磁盤空間，下載一個用于 AI 功能的模型文件。下載會在 Chrome 的 AI 功能啟用時觸發(fā)，而這些功能在最新版本的 Chrome 中默認啟用。在任何滿足硬件要求的設備上，Chrome 都會將用戶的硬件視為交付目標并寫入模型。

更麻煩的是，刪除并不能解決問題。

已經(jīng)有多個 Windows 用戶報告了同樣的循環(huán)：用戶手動刪除，過一段時間，Chrome 又把它下載回來；用戶再次刪除，Chrome 再次恢復。這個過程反復發(fā)生，唯一的辦法是去 chrome://flags 里關閉相關 AI 功能，或者徹底卸載 Chrome。

在 macOS 上，情況略有不同：該文件權限為 600，歸用戶所有（因此理論上可以刪除）。但 Chrome 會在寫入文件后，將安裝狀態(tài)保存在 Local State 中，一旦 Chrome 的灰度配置服務器再次判斷該配置文件符合條件，下載就會再次觸發(fā)。也就是說，權限機制不同，但整體邏輯一樣：用戶刪掉的，只是文件本身；Chrome 仍然認為它應該存在。

Hanff 還在一臺全新的 macOS 設備上進行了獨立驗證。他利用 macOS 內核維護的 .fseventsd 文件系統(tǒng)事件日志，追蹤了整個安裝過程。這個日志不受 Chrome 或 Google 控制，會記錄操作系統(tǒng)層面的文件創(chuàng)建、修改和刪除事件。

日志顯示，2026 年 4 月 24 日 16:38:54，Chrome 在審計配置文件中創(chuàng)建了 OptGuideOnDeviceModel 目錄；16:47:22，Chrome 啟動多個解包進程，其中一個開始寫入 weights.bin、模型配置和校驗文件；到 16:53:22，解包完成，weights.bin 及相關配置被移動到最終位置。

從目錄創(chuàng)建到模型落位，整個過程只用了 14 分 28 秒。而且在這段時間里，這個 Chrome 配置文件沒有任何真實用戶輸入，也從未打開過任何 AI 相關界面。前臺瀏覽器可能只是按審計流程加載網(wǎng)頁、等待倒計時結束，后臺卻已經(jīng)完成了一個約 4GB 本地 AI 模型的下載、解包和安裝。整個過程沒有彈窗，沒有通知，也沒有任何“是否允許”的對話框。

2 Google 的潛臺詞：我先下載，你不同意再自己去關

對于這場爭議，Google 的回應透露出一個關鍵信息：Gemini Nano 進入 Chrome 并不是最近才發(fā)生的事。按照官方的說法：

“自 2024 年以來，我們一直為 Chrome 瀏覽器提供 Gemini Nano，它是一款輕量級的本地安全模型。它支持重要的安全功能，例如欺詐檢測和開發(fā)者 API，而無需將您的數(shù)據(jù)發(fā)送到云端。雖然它需要占用一些本地桌面空間才能運行，但如果設備資源不足，該模型會自動卸載。今年 2 月，我們開始逐步推出一項功能，允許用戶直接在 Chrome 設置中輕松關閉和移除該模型。禁用后，該模型將不再下載或更新。”

換句話說，這項“靜默部署”已經(jīng)持續(xù)了一年多，只是最近才被大規(guī)模曝光。而在社區(qū)里，關于這個模型的討論其實更早就有跡可循：2025 年 4 月，Reddit 上有人發(fā)現(xiàn)這個緩存模型占了他 3GB 空間；到了同年 11 月，Stack Overflow 上的提問顯示它已經(jīng)漲到了 4GB。

據(jù)分析，Chrome 會下載兩個版本的 Gemini Nano：一個是適用于 GPU 的版本，體積約 4GB，根據(jù) GPU 性能的不同，可選擇“最高質量”（HIGHEST_QUALITY）或“最快推理”（FASTEST_INFERENCE）兩種運行模式；另一個是適用于沒有 GPU 的設備的 CPU 版本，體積約 2.7GB。

Google 管這個模型叫“Nano”——納米級，聽起來很小巧。但對于用戶存儲空間本就有限的設備來說，一個 4GB 的“納米”模型多少有些諷刺。

谷歌的聲明也并未真正回應外界對透明度和用戶同意的廣泛批評。其立場很明確：下載是故意的，與 Chrome 的 AI 功能有關。如果用戶不希望本地存儲這個模型，現(xiàn)在可以選擇手動退出。

更值得關注的是它的覆蓋范圍：Chrome 全球用戶大約在 34.5 億到 38.3 億之間，市場占有率長期維持在 64% 以上。即便只有部分設備滿足硬件要求，被影響的依然是數(shù)億臺桌面設備。這意味著，Google 正在進行的，已經(jīng)不是一次普通功能更新，而是一場全球規(guī)模的“本地 AI 預部署實驗”。

令人費解的事情之一是 Chrome 地址欄上那個顯眼的“AI 模式”按鈕，實際上依賴的是云端處理，而不是本地的 Gemini Nano 模型。這就讓人不得不問：既然那個最常用的 AI 功能根本用不到本地模型，那 Chrome 為什么非要提前把這 4GB 塞進你的硬盤？

有開發(fā)者給出了一個合理猜測：這本質上是一個概念驗證方案——它既能把計算成本轉移到用戶設備上，同時還能繼續(xù)收集查詢元數(shù)據(jù)。

如果有足夠多的 Chrome 用戶安裝了它，Google 就可以開始做分組實驗，對比“云端完整版模型”和“設備端 Nano 模型”生成的結果差異。如果本地模型的輸出質量足夠接近，或者用戶能夠接受，那么 Google 就可以逐步把這些查詢從自己的服務器卸載到用戶設備上，而且不會遭遇太大的阻力。

現(xiàn)在，無論是設備性能（尤其是手機），還是模型優(yōu)化技術，都已經(jīng)成熟到這樣一種程度：大多數(shù)普通用戶（非開發(fā)者、非 IT 從業(yè)者）根本不會注意到，自己搜索“蘋果派怎么做”時看到的結果，到底來自本地模型，還是來自數(shù)據(jù)中心里的大型云端模型。

但這一切的代價，遠不止占點硬盤空間。

Hanff 認為，Chrome 正在向數(shù)億臺設備推送一個 4GB 的二進制文件，這會帶來可衡量、可量化，而且相當令人擔憂的環(huán)境影響。

按照他的測算，僅把這個 4GB 模型傳輸?shù)揭慌_設備，就會產(chǎn)生約 0.06 kg 二氧化碳當量排放。如果覆蓋 5 億臺設備，總排放將達到 3 萬噸 CO?e，相當于 6500 輛汽車一整年的尾氣排放；如果覆蓋 10 億臺設備，這一數(shù)字將升至 6 萬噸。而這還只是初始推送的成本。用戶刪除后重新下載、模型后續(xù)更新、本地推理運行，都會繼續(xù)把這筆賬往上推。

但比氣候賬單更值得警惕的，是這件事背后的趨勢。Anthropic 和 Google 做了同一件事：先動手，讓用戶自己去發(fā)現(xiàn)后果。用戶的設備被當成了部署目標，而不是由用戶主動控制的東西。對平臺受益的功能默認開啟、藏在角落、難以移除——轉向設備端 AI，非但沒有改變這種暗黑模式，反而在加速它。

Chrome 這個“危險的頭”已經(jīng)開了。而且，這不是 Google 一家的事——Anthropic 試過了，Google 鋪開了，微軟、蘋果會站在旁邊看嗎？“本地算力強征”是否會在從個別廠商的試探，變成整個行業(yè)的默認選項？

也許唯一能讓這個趨勢停下來的，不是某家公司的“良心發(fā)現(xiàn)”，而是足夠多的用戶知道這件事、感到不舒服，并且開始追問一句：我的設備，到底誰說了算？

https://news.ycombinator.com/item?id=48019219

https://adsm.dev/posts/prompt-api/

聲明：本文為 InfoQ 整理，不代表平臺觀點，未經(jīng)許可禁止轉載。

會議推薦

世界模型的下一個突破在哪？Agent 從 Demo 到工程化還差什么？安全與可信這道坎怎么過？研發(fā)體系不重構，還能撐多久？

AICon 上海站 2026，4 大核心專題等你來：世界模型與多模態(tài)智能突破、Agent 架構與工程化實踐、Agent 安全與可信治理、企業(yè)級研發(fā)體系重構。14 個專題全面開放征稿。

誠摯邀請你登臺分享實戰(zhàn)經(jīng)驗。AICon 2026，期待與你同行。